Софистициран напад насочен кон пенетрација на Orion Solarwinds и последователниот компромис на илјадници свои клиенти е впечатлив со својата скала и потенцијални последици.
За годината на суровите лекции, овој напад служи како многу гласен и непријатен потсетник - секој може да го пробие. Секој. Нема безбедносна контрола, софтвер, процеси и обука не може да го блокира секој напад. Секогаш можете да се стремите да ги намалите ризиците, но за да се ослободите од нив никогаш нема да успеат.
Ние, исто така, потсетиме дека создадовме неверојатна дигитална инфраструктура, која во случај на неговиот компромис и ја фати својата околина и тајни, може да има огромно влијание врз нашиот свет, економијата и животот на кој полека сме навикнати за време на пандемијата. За напаѓачот, оваа дигитална инфраструктура исто така е средство за акумулирање на огромно богатство од кражба на тајни, интелектуална сопственост, барања за пристап до податоци или уцена, како и саботажа на противничките планови, без разлика дали се натпреварувач или нација.
Комуникациски напади Соларници и примена примена
Ниту еден продавач не може да гарантира дека неговата одлука целосно ќе го спречи нападот врз соларните страни, а ние треба да внимаваме на таквите изјави. Во исто време, компаниите можат да преземат стратешки чекори за да се спречи овој вид напади во иднина ако сфатат и да одлучат еден од основните проблеми во управувањето со наследената инфраструктура. Овој основен безбедносен проблем е потребата да се осигура дека секоја апликација има неограничен пристап до сè што е во мрежата, или, во смисла на привилегиран пристап, глобален споделен пристап со администраторските или коренските права.Што е глобален споделен административен пристап? Ова е неограничен пристап до сметката (записи) на животната средина. Ова обично значи дека апликацијата без ограничувања треба да направи исклучоци од безбедносните политики. На пример, сметката може да биде вклучена во листата на системи за контрола на апликации и е исклучена од анти-вирусен софтвер, така што не е блокиран и не е означен со знаме. Сметката може да работи во име на корисникот, самиот систем или примена на било какви средства или ресурси во животната средина. Многу професионалци од сајбер-безбедноста го нарекуваат овој вид пристап "Бог привилегии", тој носи голем, недоверлив ризик.
Глобалниот заеднички административен пристап обично се користи во наследените апликации за следење, управување и автоматизација на локалната технологија. Глобални споделени администраторски сметки се сервисираат во многу алатки кои се инсталирани на премисата и работат во нашите средини. Ова вклучува решенија за управување со мрежата, решенија за управување со слабости, алатки за откривање на средства и решенија за управување со мобилни уреди, и ова се само некои од повеќекратните примери.
Главниот проблем е што овие административни сметки со целосен пристап се потребни за да работат правилно, и затоа не можат да работат со користење на концептот на управување со апликации со најниски привилегии, што е најдобрата безбедносна пракса. Ако овие сметки ги укинаа привилегиите и дозволите, апликацијата, најверојатно, нема да може да работи. Така, тие се обезбедени со целосен и неограничен пристап до работа, што е огромна област за напад.
Во случај на соларните страни, токму тоа се случило. Самата апликација беше компромитирана преку автоматско ажурирање, а напаѓачите користеа неограничен привилегиран пристап во животната средина користејќи ја оваа апликација. Напаѓањето може да врши речиси сите задачи маскирани од соларните страни, па дури и се обиде многу тешко да не ги извршуваат на системи на кои има средства за следење и обезбедување на безбедноста на напредните продавачи. Така, станува очигледно на следниов начин: Ако малициозен код е доволно софистициран за да ги заобиколи безбедносните решенија и да го изврши само на тие објекти каде што може да избегне откривање, тоа ќе го стори тоа користејќи глобални заеднички административни привилегии. Ниту едно решение не може да открие и да го блокира таков напад.
Минатата година во нашиот блог, во кој му ја дадовме прогнозата за сајбер-безбедноста за 2020 година, за прв пат ставивме зголемување на злонамерни автоматски ажурирања. Така, иако вкупната закана не беше непозната или неочекувана, скала и деструктивни последици од овој конкретен напад соларинд ќе звучи долго време.
Како да се спречат или да се елиминираат нападите во организацијата на кои се вклучени наследни апликации
Тука има големо прашање: Како можеме да ги надградиме нашите средини и не зависиме од апликациите и сметките кои бараат прекумерни привилегии, што е небезбедно?
Прво на сите, со претежно такви наследени апликации, решенија за управување со мрежата или управување со слабости, на пример, врз основа на технологијата на скенирање се во ред. Само застарена технологија и безбедносни модели за спроведување на такви апликации. Нешто бара промена.
Ако мислите дека прекршувањата на соларните се најлошото нешто што некогаш се случило во областа на сајбер-безбедноста, може да биде во право. За оние професионалци во областа на сајбер-безбедноста, кои се паметини од Сасер, Бластер, Биг Жолт, Мираи и Ваднежани, обемот на влијанија врз системот ќе биде споредлив, но целта и товарот на овие црви немаат никаква споредба со Напад на соларнди.
Сериозните закани веќе постоеле десетици години, но никогаш порано не сме виделе дека ресурсот да биде нападнат толку софистициран дека сите потенцијални жртви и последиците од нападите не ни се познати досега. Кога Sasser или Wannacry го погоди системот, нивните сопственици знаеја за тоа. Дури и во случај на изнудување вируси, ќе дознаете за последиците за краток временски период.
Во врска со Solarwinds Една од главните цели на напаѓачите беше да остане незабележано. И не заборавајте дека денес истиот глобален проблем постои со други наследни апликации. За организирање на напади врз илјадници компании, може да се користат и други апликации со глобални споделени административни привилегии во нашите медиуми, што ќе доведе до застрашувачки резултати.
За жал, ова не е ранливост која бара корекција, туку неовластена употреба на способностите на апликацијата која има потреба од овие привилегии.
Па каде да започнете?
Прво на сите, ние треба да ги идентификуваме и откриеме сите апликации во нашата средина, на кои им се потребни такви прекумерни привилегии:
- Користење на алатката за откривање на претпријатието, утврди кои апликации имаат иста привилегирана сметка на повеќе системи. Сериозните акредитиви се најверојатно и можат да се користат за хоризонтална дистрибуција.
- Направете инвентар на групата на администратори на доменот и ги идентификува сите сметки на апликации или услуги. Секоја апликација која има потреба од привилегии на администраторот на доменот е висок ризик.
- Прелистајте ги сите апликации кои се во вашата глобална антивирусна листа на исклучоци (во споредба со исклучоците на одредени јазли). Тие ќе бидат вклучени во првиот и најважниот чекор од безбедносниот стек на крајната точка - спречи малициозен софтвер.
- Прелистајте ја листата на софтвер што се користи во претпријатието и утврди кои привилегии се потребни со барање за работа и вршење на автоматски ажурирања. Ова може да помогне да се утврди дали привилегиите на локалниот администратор се потребни или локалните административни сметки за правилното работење на апликацијата. На пример, безлична сметка за зголемување на привилегиите на апликацијата може да има сметка на локален јазол за оваа намена.
Потоа мораме да спроведеме каде е можно да управувате со апликациите врз основа на минималните потребните привилегии. Тоа подразбира отстранување на сите прекумерни привилегии на апликацијата. Сепак, како што е споменато погоре, тоа не е секогаш можно. Конечно, за да се елиминира потребата за глобални споделени привилегирани сметки, можеби ќе треба на следниов начин:
- Ажурирајте ја апликацијата со понов раствор
- Изберете нов продавач за решавање на проблемот
- Преведи обемот на работа во облакот или друга инфраструктура
Размислете како примери за управување со пропусти. Традиционалните скенери за ранливост користат глобална споделена привилегирана сметка (понекогаш повеќе од една) за далечинско поврзување со цел и автентикација како административна сметка за утврдување на слабостите. Ако јазолот е компромитиран со скенирање на малициозни софтвер, тогаш хашот што се користи за автентикација може да се собере и да се користи за хоризонтална дистрибуција преку мрежата и да се воспостави постојано присуство.
Venndors на системите за управување со ранливост го реализираа овој проблем и наместо да складираат постојана административна сметка за скенирање, тие се интегрирани со претпочитано решение за контрола на пристап (ПАМ) за да добијат тековна привилегирана сметка за комплетирање на скенирањето. Кога немаше ПЕМ решенија, продавачите на алатки за управување со слабости, исто така, го намалија ризикот, развивање на локални агенти и алатки кои можат да го користат API за да се оцени наместо единствена заедничка административна сметка за овластено скенирање.
Мојата гледна точка на овој пример е едноставна: наследна технологија за управување со ранливост еволуираше на таков начин што повеќе не ги изложува клиентите со огромен ризик поврзан со глобалните апликациски сметки и пристап до нив. За жал, многу други технологии на добавувачи не ги сменија своите одлуки, а заканата останува додека старите решенија не се заменат или модернизираат.
Ако имате алатки за управување со кои се потребни глобални споделени административни сметки, тогаш задачата од огромно значење за 2021 година треба да ги замени овие алатки или нивно ажурирање. Осигурајте се дека решенијата што ги купувате се развиени од продавачите кои веќе ги доставуваат од оваа закана.
Конечно, размислете за управување со привилегии на апликации врз основа на принципот на најмалку неопходните привилегии. ПЕМ решенија се дизајнирани да ги зачуваат тајните и да им овозможат на апликациите да работат со минимално ниво на привилегија, дури и ако тие не биле првично дизајнирани да работат со овие апликации.
Враќање во нашиот пример, решенијата за управување со слабости можат да ги користат привилегиите Unix и Linux за да ги извршуваат ранливоста скенира, дури и ако не им беа обезбедени со свој привилегиран пристап. Алатката за управување со привилегии ги извршува командите во име на скенерот и ги враќа резултатите. Го извршува командите на скенерот со најмалите привилегии и не ги исполнува своите несоодветни команди, на пример, го исклучува системот. Во извесна смисла, принципот на најмалите привилегии на овие платформи наликува на судо и може да ги контролира, ограничува и извршува апликациите со привилегии, без оглед на процесот што ја нарекува командата. Ова е само еден начин за управување со привилегиран пристап може да се примени на некои застарени апликации во случаи кога се потребни прекумерни привилегии и соодветната замена не е можна.
Намален циверски во 2021 година и понатаму: следните главни чекори
Секоја организација може да биде цел на натрапниците, и секоја апликација со прекумерни привилегии може да се користи против целата компанија. Инцидентот на Solarwinds мора да ги поттикне сите нас да ги ревидираат и идентификуваат тие апликации чија работа е поврзана со ризиците од прекумерниот привилегиран пристап. Ние мора да утврдиме како можете да ја омекнете заканата, дури и ако е невозможно да го елиминирате токму сега.
На крајот на краиштата, вашите напори за намалување на ризиците и елиминирање на нивните последици може да ве доведат до заменување на апликации или транзиција кон облакот. Несомнено еден - концептот на привилегирано управување со пристапот е применлив за апликации, како и на луѓето. Ако вашите апликации не се контролираат правилно, тие можат да ја загрозат безбедноста на целото претпријатие. И ништо не треба да има неограничен пристап во вашата околина. Ова е една слаба врска што мора да ја идентификуваме, да ги избришеме и да се избегнеме во иднина.
Повеќе интересен материјал на cisoclub.ru. Претплатете се на нас: Фејсбук | VK | Твитер | Instagram | Телеграма | Зен | Messenger | ICQ New | YouTube | Пулс.