Sofistikovaný útok zameraný na penetráciu Solarwinds Orion a následný kompromis tisícov jeho zákazníkov je zarážajúci svojou rozsahom a potenciálnymi dôsledkami.
Za rok krutých lekcií slúži tento útok ako veľmi hlasná a nepríjemná pripomienka - niekto môže zaseknúť. Ktokoľvek. Žiadna kontrola bezpečnosti, softvér, procesov a tréningu nemôže blokovať každý útok. Môžete sa vždy a mali by ste sa usilovať o zníženie rizík, ale zbaviť sa ich nikdy nebude uspieť.
Tiež sme si pripomenuli, že sme vytvorili úžasnú digitálnu infraštruktúru, ktorá môže mať v prípade jeho kompromisu a zachytávať svoje životné prostredie a tajomstvo obrovský vplyv na náš svet, ekonomiku a život, na ktorý sme sa pomaly zvykli na počas pandémie. Pre útočníka je táto digitálna infraštruktúra tiež prostriedkom na nahromadenie obrovského bohatstva od krádeže tajomstiev, duševného vlastníctva, požiadaviek na prístup k údajom alebo vydieraniu, ako aj sabotáž súperov plánov, či už konkurenta alebo národ.
Komunikácia ATTACK SOLARWINDS A POTREBY APLIKÁCIE
Žiadny predajca nemôže zaručiť, že jeho rozhodnutie by úplne zabránilo útoku na solárneho riadu, a mali by sme si pozor na takéto vyhlásenia. Zároveň môžu spoločnosti prijať strategické kroky na zabránenie tomuto typu útokov v budúcnosti, ak si uvedomia a rozhodnú jeden zo základných problémov riadenia zdedenej infraštruktúry. Tento základný bezpečnostný problém je potreba zabezpečiť, aby akúkoľvek žiadosť mala neobmedzený prístup ku všetkému, čo je v sieti, alebo pokiaľ ide o privilegovaný prístup, globálny zdieľaný prístup s administrátorom alebo koreňovými právami.Čo je globálny spoločný administratívny prístup? Toto je neobmedzený prístupový prístup (záznamy) do životného prostredia. To zvyčajne znamená, že žiadosť bez obmedzení musí vykonať výnimky z bezpečnostných politík. Napríklad, účet môže byť zahrnutý do zoznamu systémov kontroly aplikácií a je vylúčený z antivírusového softvéru, takže nie je zablokovaný a nie je označený vlajkou. Účet môže pracovať v mene používateľa, samotného systému alebo aplikácie na akomkoľvek aktív alebo zdrojov v životnom prostredí. Mnohí profesionáli kybernetickej bezpečnosti zavolá tento typ prístupu "Bohu privilégiá", nesie masívne, nekomplikovateľné riziko.
Globálny zdieľaný administratívny prístup sa zvyčajne používa v zdedených aplikáciách na monitorovanie, správu a automatizáciu miestnych technológií. Globálne zdieľané účty správcu sú údržby v mnohých nástrojoch, ktoré sú inštalované v premysle a práca v našom prostredí. Patria sem riešenia pre správu siete, riešenia riadenia zraniteľností, nástroje na zisťovanie aktív a riešení pre správu mobilných zariadení, a to sú len niektoré z viacerých príkladov.
Hlavným problémom je, že tieto administratívne účty s plným prístupom sú potrebné na správne fungovanie, a preto nemôžu pracovať s využitím koncepcie riadiacich aplikácií s najnižším privilégiám, čo je najlepšia bezpečnostná prax. Ak tieto účty zrušili privilégiá a povolenia, aplikácia bude s najväčšou pravdepodobnosťou nebude môcť pracovať. Preto sú vybavené plným a neobmedzeným prístupom k práci, čo je masívna oblasť pre útok.
V prípade solárnych riadkov je to presne to, čo sa stalo. Samotná aplikácia bola ohrozená prostredníctvom automatickej aktualizácie a útočníci používali neobmedzený privilegovaný prístup v prostredí obete pomocou tejto aplikácie. Útoky by mohli vykonávať takmer všetky úlohy skryté Solarwinds, a dokonca sa veľmi tvrdo nevykonalo vykonávať na systémy, na ktorých existujú prostriedky na monitorovanie a zabezpečenie bezpečnosti pokročilých dodávateľov. Takto sa stáva zrejmým nasledovným: Ak je škodlivý kód sofistikovaný dostatočne sofistikovaný na obchádzanie bezpečnostných riešení a vykonávať ho len na týchto objektoch, kde sa môže vyhnúť detekcii, urobí to pomocou globálnych spoločných administratívnych privilégií. Žiadne riešenie by nemohlo odhaliť a blokovať takýto útok.
Minulý rok v našom blogu, v ktorom sme dali prognózu kybernetickej bezpečnosti na rok 2020, najprv sme zvýšili škodlivé automatické aktualizácie. Aj keď celková hrozba nebola neznáma alebo neočakávaná, rozsah a deštruktívne dôsledky tohto konkrétneho útoku Solarwinds budú zaznie dlho.
Ako zabrániť alebo eliminovať útoky v organizácii, ktoré sú zahrnuté zdedené aplikácie
Tam je veľká otázka: Ako môžeme aktualizovať naše prostredie a nezávisia od aplikácií a účtov, ktoré si vyžadujú nadmerné privilégiá, čo je nebezpečné?
V prvom rade sú v poriadku, s väčšinou takými zdedenými aplikáciami, riešenia pre správu siete alebo riadenie zraniteľností, napríklad na základe technológie skenovania. Len zastarané technológie a bezpečnostné modely na implementáciu takýchto aplikácií. Niečo si vyžaduje zmenu.
Ak si myslíte, že porušovanie Solarwinds sú najhoršie, čo sa stalo v oblasti kybernetickej bezpečnosti, môžete mať pravdu. Pre tých profesionálov v oblasti kybernetickej bezpečnosti, ktoré si spomínajú na Sasser, Blaster, Big žltá, Mirai a Wannacry, objem vplyvov na systém bude porovnateľný, ale cieľ a užitočné zaťaženie týchto červov nemajú žiadne porovnanie s Útok Solarwinds.
Závažné hrozby už existovali desiatky rokov, ale nikdy predtým, ako sme videli zdroj, ktorý sa má zaútočiť tak sofistikovaný, že všetky potenciálne obete a následky útokov nám nie sú doteraz známe. Keď sa Sasser alebo Wannacry zasiahli systém, ich vlastníci o tom vedeli. Dokonca aj v prípade výlučných vírusov sa dozviete o dôsledkoch na krátku dobu.
V súvislosti s Solarwinds bol jeden z hlavných cieľov útočníkov zostať bez povšimnutia. A nezabudnite, že dnes existuje rovnaký globálny problém s inými zdedenými aplikáciami. Pre organizáciu útokov na tisíce spoločností môžu byť použité iné aplikácie s globálnymi zdieľanými administratívnymi právami v našich médiách, čo povedie k desivom výsledkoch.
Bohužiaľ, to nie je zraniteľnosť, ktorá si vyžaduje korekciu, ale skôr neoprávnené využívanie schopností aplikácie, ktoré potrebuje tieto privilégiá.
Kde začať?
Po prvé, musíme identifikovať a detekovať všetky aplikácie v našom prostredí, ktoré sú potrebné takéto nadmerné privilégiá:
- Pomocou nástroja detekcie podnikového triedy určte, ktoré aplikácie majú rovnaký privilegovaný účet vo viacerých systémoch. Povolenia sú s najväčšou pravdepodobnosťou spoločné a môžu byť použité na horizontálnu distribúciu.
- Vytvorte zoznam skupín skupiny administrátorov domény a identifikujte všetky aplikačné účty alebo služby. Každá aplikácia, ktorá potrebuje privilégiá správcu domény, je vysoké riziko.
- Prehliadajte všetky aplikácie, ktoré sú vo vašom globálnom zozname Antivírusov (v porovnaní s výnimkami z konkrétnych uzlov). Budú zapojení do prvého a najdôležitejšieho kroku vášho koncového zabezpečenia stack - zabrániť škodlivého softvéru.
- Prehľadávať zoznam softvéru používaného v podniku a určiť, ktoré privilégiá sú potrebné aplikáciou na prácu a vykonávať automatické aktualizácie. To môže pomôcť určiť, či sú potrebné privilégiá lokálneho administrátora alebo miestne administrátorské účty pre správnu operáciu aplikácie. Napríklad neosobný účet pre zvýšenie privilégií aplikácie môže mať na tento účel účet na miestnom uzle.
Potom musíme implementovať tam, kde je možné spravovať aplikácie založené na minimálnych potrebných privilégiách. Znamená to odstránenie všetkých nadmerných privilégií aplikácie. Ako je však uvedené vyššie, nie je však vždy možné. Nakoniec, aby ste eliminovali potrebu globálnych spoločných privilegovaných účtov, môžete potrebovať takto:
- Aktualizujte aplikáciu na novšie riešenie
- Vyberte si nového dodávateľa na vyriešenie problému
- Preložiť pracovné zaťaženie v oblaku alebo inej infraštruktúre
Zvážte ako príklad zraniteľnosti riadenia. Tradičné skenery zraniteľnosti používajú globálny zdieľaný privilegovaný účet (niekedy viac ako jeden), aby sa na diaľku pripojili k cieľu a autentifikácii ako administratívny účet na určenie zraniteľnosti. Ak je uzol ohrozený skenovaním škodlivého softvéru, potom sa hash použitý na autentifikáciu môže zhromažďovať a používať na horizontálnu distribúciu cez sieť a vytvoriť neustálu prítomnosť.
Vendddors systémov riadenia zraniteľnosti si uvedomili tento problém a namiesto ukladania neustáleho administratívneho účtu pre skenovanie sú integrované s preferovaným riešením Access Controll Riešenie (PAM), aby ste získali aktuálny privilegovaný účet na dokončenie skenovania. Keď neboli žiadne otázky PAM, predajcovia nástrojov riadenia zraniteľností tiež znížili riziko, rozvoj miestnych agentov a nástrojov, ktoré môžu používať API na vyhodnotenie namiesto jedného zdieľaného administratívneho účtu pre autorizované skenovanie.
Môj názor je v tomto príklade jednoduchý: zdedená technológia riadenia zraniteľnosti sa vyvinula takým spôsobom, že už nevystavuje zákazníkom obrovské riziko spojené s globálnymi účtami žiadostí a prístup k nim. Bohužiaľ, mnoho ďalších technológií dodávateľov nezmenili svoje rozhodnutia a hrozba zostáva, kým sa staré riešenia nahradia alebo modernizujú.
Ak máte nástroje na riadenie, ktoré globálne zdieľané administratívne účty sú potrebné, potom úloha mimoriadne dôležitá pre 2021 by mala nahradiť tieto nástroje alebo ich aktualizáciu. Uistite sa, že riešenia, ktoré si kúpite, sú vyvinuté predajcami, ktoré už prinášajú z tejto hrozby.
Nakoniec premýšľajte o riadení výsad aplikácií založených na princípe najmenej potrebných oprávnení. Riešenia PAM sú navrhnuté tak, aby uložili tajomstvo a umožňovali aplikácie pracovať s minimálnou úrovňou privilégií, aj keď neboli pôvodne navrhnuté tak, aby spolupracovali s týmito aplikáciami.
Vrátenie do nášho príkladu, riešenia riadenia zraniteľnosti môžu používať unix a Linux privilégiá na vykonávanie skenovania zraniteľnosti, aj keď neboli poskytnuté vlastným privilegovaným prístupom. Nástroj na správu privilégií vykoná príkazy v mene skenera a vráti výsledky. Vykonáva príkazy skenera s najmenšími oprávneniami a nespĺňa svoje nevhodné príkazy, napríklad vypnutie systému. V istom zmysle sa zásada najmenších privilégií na týchto platformách podobá sudovi a môže kontrolovať, obmedziť a vykonávať aplikácie s privilégiá, bez ohľadu na proces, ktorým sa zavolá na príkaz. Toto je len jeden spôsob, ako riadiť privilegovaný prístup, možno aplikovať na niektoré zastarané aplikácie v prípadoch, keď sú potrebné nadmerné výsady a vhodná výmena nie je možná.
Znížený Ciberian v roku 2021 a ďalej: nasledujúce hlavné kroky
Akákoľvek organizácia môže byť cieľom votrelcov a každá aplikácia s nadmernými výsadami možno použiť proti celej spoločnosti. Incident Solarwinds musí povzbudiť všetkých z nás, aby sme mohli revidovať a identifikovať tieto aplikácie, ktorých práca je spojená s rizikami nadmerného privilegovaného prístupu. Musíme určiť, ako môžete zjemniť hrozbu, aj keď je nemožné odstrániť ho práve teraz.
Vaše snahy o zníženie rizík a odstránenie ich následkov vám môže viesť k nahradeniu aplikácií alebo prechodu na mrak. Nepochybne jeden - koncepcia privilegovaného riadenia prístupu sa vzťahuje na aplikácie, ako aj pre ľudí. Ak vaše aplikácie nie sú riadne kontrolované, môžu ohroziť bezpečnosť celého podniku. A nič by nemalo mať neobmedzený prístup vo vašom prostredí. Toto je jedno slabé spojenie, ktoré musíme v budúcnosti identifikovať, odstrániť a vyhnúť sa.
Zaujímavejší materiál na cisoclub.ru. Prihlásiť sa na nás: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NOVÉ | YouTube | Pulz.