Et sofistikert angrep rettet mot penetrasjonen av Solarwinds Orion, og det påfølgende kompromisset med tusenvis av sine kunder er slående med sin skala og potensielle konsekvenser.
For året med grusomme leksjoner, fungerer dette angrepet som en veldig høy og ubehagelig påminnelse - noen kan hack. Hvem som helst. Ingen sikkerhetskontroll, programvare, prosesser og trening kan ikke blokkere hvert angrep. Du kan alltid og bør streve for å redusere risikoen, men for å kvitte seg med dem, vil det aldri lykkes.
Vi husket også at vi opprettet en fantastisk digital infrastruktur, som i tilfelle dets kompromiss og fanger sitt miljø og hemmeligheter, kan ha stor innvirkning på vår verden, økonomien og livet som vi sakte vant til i løpet av en pandemi. For en angriper er denne digitale infrastrukturen også et middel for å samle en stor rikdom ved tyveri av hemmeligheter, immaterielle rettigheter, krav til tilgang til data eller utpressing, samt sabotasje av motstanders planer, enten en konkurrent eller en nasjon.
Kommunikasjonsangrep Solarwinds og applikasjonsrettigheter
Ingen leverandør kan garantere at hans beslutning vil helt forhindre angrepet på Solarwinds, og vi bør passe på slike uttalelser. Samtidig kan bedrifter ta strategiske skritt for å hindre denne typen angrep i fremtiden hvis de innser og bestemmer et av de grunnleggende problemene med å styre den arvelige infrastrukturen. Dette grunnleggende sikkerhetsproblemet er behovet for å sikre at enhver applikasjon har ubegrenset tilgang til alt som er i nettverket, eller i form av privilegert tilgang, global felles tilgang med administrator eller rotrettigheter.Hva er Global Shared Administrative Access? Dette er en ubegrenset kontotilgang (oppføringer) til miljøet. Dette betyr vanligvis at søknaden uten restriksjoner må gjøre unntak av sikkerhetspolitikk. For eksempel kan en konto bli inkludert i listen over applikasjonskontrollsystemer og er utelukket fra antivirusprogramvare, så det er ikke blokkert og ikke merket med et flagg. Kontoen kan fungere på vegne av brukeren, selve systemet eller søknaden om eventuelle eiendeler eller ressurs i miljøet. Mange cybersikkerhetspersonell kaller denne typen tilgang "Guds privilegier", det bærer en massiv, ukomplisert risiko.
Global Shared Administrative Access brukes vanligvis i arvelige applikasjoner for overvåking, ledelse og automatisering av lokal teknologi. Global Shared Administrator-kontoer tjener i mange verktøy som er installert på forhånd og arbeid i våre miljøer. Dette inkluderer løsninger for nettverksadministrasjon, sårbarhetsstyringsløsninger, verktøy for å oppdage eiendeler og løsninger for styring av mobile enheter, og disse er bare noen av de flere eksemplene.
Hovedproblemet er at disse administrative kontoene med full tilgang er nødvendig for å fungere skikkelig, og derfor kan de derfor ikke arbeide ved å bruke konseptet om å administrere applikasjoner med de laveste privilegier, som er den beste sikkerhetspraksis. Hvis disse kontoene har tilbakekalt privilegier og tillatelser, vil søknaden sannsynligvis ikke kunne fungere. Dermed er de forsynt med full og ubegrenset tilgang til arbeid, som er et massivt område for angrep.
I tilfelle av solarwinds, er dette akkurat det som skjedde. Søknaden selv ble kompromittert gjennom automatisk oppdatering, og angripere brukte ubegrenset privilegert tilgang i offeret miljøet ved hjelp av denne applikasjonen. Angrep kan utføre nesten alle oppgaver som er forklart av Solarwinds, og selv prøvd veldig hardt for ikke å utføre dem på systemer som det foreligger overvåking av og sikrer sikkerheten til avanserte leverandører. Dermed blir det åpenbart som følger: Hvis den ondsinnede koden er sofistikert nok til å omgå sikkerhetsløsninger og utfør det bare på de objektene der det kan unngå deteksjon, vil det gjøre dette ved hjelp av globale delte administrative privilegier. Ingen løsning kan oppdage og blokkere et slikt angrep.
I fjor i vår blogg, der vi ga CyberSecurity-varselet for 2020, legger vi først en økning i ondsinnede automatiske oppdateringer. Selv om den totale trusselen ikke var ukjent eller uventet, vil skala og destruktive konsekvenser av denne spesielle angrepet Solarwinds høres i lang tid.
Hvordan forebygge eller eliminere angrep i organisasjonen av hvilke arvelige applikasjoner er involvert
Det er et stort spørsmål her: Hvordan kan vi oppgradere våre miljøer og ikke avhenge av applikasjoner og kontoer som krever overdreven privilegier, som er usikre?
Først av alt, med for det meste slike arvelige applikasjoner, løsninger for nettverksadministrasjon eller sårbarhetsstyring, for eksempel, basert på skanningsteknologi, er alt i orden. Bare utdatert teknologi og sikkerhetsmodeller for å implementere slike applikasjoner. Noe krever en endring.
Hvis du tror at overbruddene i Solarwinds er det verste som noen gang har skjedd i cybersikkerhet, kan du være riktig. For de fagfolkene i cybersikkerhet, som blir husket av Sasser, Blaster, Big Yello, Mirai og Wannacry, vil volumet av påvirkninger på systemet være sammenlignbare, men målet og nyttelastet av disse ormene har ingen sammenligning med Solarwinds angrep.
Alvorlige trusler har allerede eksistert dusinvis av år, men aldri før vi har sett ressursen som skal angrepes så sofistikert at alle potensielle ofre og konsekvensene av angrep ikke er kjent for oss så langt. Når Sasser eller Wannacry slo systemet, visste deres eiere om det. Selv i tilfelle av utpressvirus, vil du lære om konsekvensene for en kort periode.
I forbindelse med Solarwinds var et av hovedmålene for angripere å forbli ubemerket. Og ikke glem at i dag eksisterer det samme globale problemet med andre arvelige applikasjoner. For organisering av angrep på tusenvis av selskaper kan andre applikasjoner med globale delte administrative privilegier i våre medier brukes, noe som vil føre til skremmende resultater.
Dessverre er dette ikke et sårbarhet som krever korreksjon, men snarere en uautorisert bruk av evnen til søknaden som trenger disse privilegiene.
Så hvor skal du begynne?
Først av alt må vi identifisere og oppdage alle applikasjoner i vårt miljø, som trengs slike overdrevne privilegier:
- Ved hjelp av bedriftsklassdeteksjonsverktøyet, må du avgjøre hvilke applikasjoner som har samme privilegerte konto på flere systemer. Referansen er mest sannsynlig vanlige og kan brukes til horisontal fordeling.
- Lag en oversikt over domeneadministratorer Gruppegruppen og identifiser alle søknadsregnskapene eller tjenestene til stede. Enhver applikasjon som trenger privilegiene til domenadministratoren, er en høy risiko.
- Bla gjennom alle applikasjoner som er i din globale antiviruspraksis (sammenlignet med unntak på bestemte noder). De vil være involvert i det første og viktigste trinnet i din sluttpunkts sikkerhetsstabel - forhindre skadelig programvare.
- Bla gjennom listen over programvare som brukes i bedriften og avgjøre hvilke privilegier som trengs av et program for å jobbe og utføre automatiske oppdateringer. Dette kan bidra til å avgjøre om privilegiene til den lokale administratoren er nødvendige eller lokale administratorregnskap for programmets korrekte drift. For eksempel kan en upersonlig konto for å øke privilegiene til søknaden ha en konto på en lokal node for dette formålet.
Da må vi implementere hvor det er mulig å administrere applikasjoner basert på de minste nødvendige privilegiene. Det innebærer fjerning av alle overdrevne privilegier av søknaden. Men som nevnt ovenfor, er det ikke alltid mulig. Til slutt, for å eliminere behovet for globale delte privilegerte kontoer, kan det hende du trenger som følger:
- Oppdater søknaden til en nyere løsning
- Velg en ny leverandør for å løse problemet
- Oversett arbeidsbelastning i skyen eller en annen infrastruktur
Tenk på som en eksempelbarhetsproblemer for eksempel. Tradisjonelle sårbarhetsskannere bruker en global delt privilegert konto (noen ganger mer enn en) for å koble til mål og godkjenning som en administrativ konto for å bestemme sårbarheter. Hvis noden er kompromittert av en skadelig programvareskanning, kan hashen som brukes til autentisering samles og brukes til horisontal fordeling over nettverket og etablere en konstant tilstedeværelse.
Venndors av sårbarhetsstyringssystemene har innsett dette problemet, og i stedet for å lagre en konstant administrativ konto for skanning, er de integrert med en foretrukket tilgangskontrollløsning (PAM) for å oppnå en nåværende privilegert konto for å fullføre skanningen. Når det ikke var noen PAM-løsninger, reduserte leverandørene av sårbarhetsverktøy, også risikoen, og utviklet lokale agenter og verktøy som kan bruke API til å evaluere i stedet for en enkelt delt administrativ konto for autorisert skanning.
Mitt synspunkt på dette eksemplet er enkelt: Arbeidet sårbarhetsadministrasjonsteknologi har utviklet seg på en slik måte at den ikke lenger utsetter kunder med stor risiko knyttet til globale søknadsregnskap og tilgang til dem. Dessverre har mange andre leverandører teknologier ikke forandret sine beslutninger, og trusselen forblir til de gamle løsningene erstattes eller moderniseres.
Hvis du har verktøy for å administrere hvilke globale delte administrative kontoer som kreves, bør oppgaven med avgjørelse for 2021 erstatte disse verktøyene eller oppdateringen. Pass på at løsningene du kjøper er utviklet av leverandører som allerede leverer fra denne trusselen.
Til slutt, tenk på å administrere programmene til applikasjoner basert på prinsippet om de minst nødvendige privilegiene. PAM Solutions er designet for å lagre hemmeligheter og tillate applikasjoner å jobbe med et minimum privilegium nivå, selv om de ikke var opprinnelig designet for å jobbe med disse programmene.
Retur til vårt eksempel, sårbarhetsstyringsløsninger kan bruke UNIX- og Linux-privilegier for å utføre sårbarhetsskanninger, selv om de ikke ble forsynt med sin egen privilegerte tilgang. Privilegehåndteringsverktøyet utfører kommandoene på vegne av skanneren og returnerer resultatene. Den utfører skannerkommandoene med de minste privilegier og oppfyller ikke sine upassende kommandoer, for eksempel å slå av systemet. På en måte ligner prinsippet om de minste privilegiene på disse plattformene Sudo og kan kontrollere, begrense og utføre applikasjoner med privilegier, uavhengig av prosessen som ringer kommandoen. Dette er bare en måte å håndtere privilegert tilgang kan brukes på noen utdaterte applikasjoner i tilfeller der overdreven privilegier er påkrevd, og riktig erstatning er ikke mulig.
Redusert Ciberian i 2021 og videre: Følgende hovedtrinn
Enhver organisasjon kan være målet for inntrengere, og enhver søknad med overdreven privilegier kan brukes mot hele selskapet. Solarwinds-hendelsen må oppmuntre oss til å revidere og identifisere disse applikasjonene hvis arbeid er knyttet til risikoen for overdreven privilegert tilgang. Vi må bestemme hvordan du kan myke trusselen, selv om det er umulig å eliminere det akkurat nå.
Til slutt kan din innsats for å redusere risikoen og eliminere konsekvensene føre deg til å erstatte applikasjoner eller overgang til skyen. Utvilsomt en - begrepet privilegert tilgangsstyring gjelder for applikasjoner så vel som til folk. Hvis søknadene dine ikke kontrolleres riktig, kan de skade sikkerheten til hele bedriften. Og ingenting bør ha ubegrenset tilgang i ditt miljø. Dette er en svak lenke som vi må identifisere, slette og unngå i fremtiden.
Mer interessant materiale på cisoclub.ru. Abonner på oss: Facebook | VK |. Twitter | Instagram |. Telegram | Zen | Messenger | ICQ Ny | YouTube | Puls.