Faqja Kryesore / Artikuj /

Menaxhimi i aplikacioneve bazuar në privilegjet minimale të nevojshme - Mësimi që rezulton nga një incident me Solarwinds Orion

Anonim
Menaxhimi i aplikacioneve bazuar në privilegjet minimale të nevojshme - Mësimi që rezulton nga një incident me Solarwinds Orion 18609_1

Një sulm i sofistikuar i drejtuar në depërtimin e Solarwinds Orion dhe kompromisi pasues i mijëra klientëve të saj është e habitshme me shkallën e saj dhe pasojat e mundshme.

Për vitin e mësimeve mizore, ky sulm shërben si një kujtesë shumë e lartë dhe e pakëndshme - çdokush mund të hack. Kushdo. Asnjë kontroll i sigurisë, softuer, procese dhe trajnim nuk mund të bllokojë çdo sulm. Ju gjithmonë mund dhe duhet të përpiqeni të reduktoni rreziqet, por për të hequr qafe prej tyre nuk do të ketë kurrë sukses.

Ne gjithashtu kujtojmë se ne kemi krijuar një infrastrukturë dixhitale të mahnitshme, e cila, në rastin e kompromisit të saj dhe për të kapur mjedisin dhe sekretet e saj, mund të ketë një ndikim të madh në botën tonë, ekonominë dhe jetën për të cilën ne jemi të mësuar ngadalë për të gjatë një pandemie. Për një sulmues, kjo infrastrukturë digjitale është gjithashtu një mjet për të akumuluar një pasuri të madhe me vjedhje të sekreteve, pronës intelektuale, kërkesave për qasje në të dhëna ose shantazh, si dhe sabotazh të planeve kundërshtare, qoftë një konkurrent apo komb.

Sulmi i komunikimit Solarwinds dhe privilegje të aplikimit

Asnjë shitës nuk mund të garantojë se vendimi i tij do të parandalonte plotësisht sulmin ndaj solarwindings, dhe ne duhet të ruhammë nga deklarata të tilla. Në të njëjtën kohë, kompanitë mund të ndërmarrin hapa strategjikë për të parandaluar këtë lloj sulmesh në të ardhmen nëse ata e kuptojnë dhe vendosin një nga problemet themelore të menaxhimit të infrastrukturës së trashëguar. Ky problem themelor i sigurisë është nevoja për të siguruar që çdo aplikacion të ketë qasje të pakufizuar në gjithçka që është në rrjet, ose në aspektin e qasjes së privilegjuar, qasjen globale të përbashkët me administratorin ose të drejtat e rrënjës.

Çfarë është qasja globale e përbashkët administrative? Ky është një akses i pakufizuar i llogarisë (shënimeve) në mjedis. Kjo zakonisht do të thotë se aplikacioni pa kufizime duhet të bëjë përjashtime nga politikat e sigurisë. Për shembull, një llogari mund të përfshihet në listën e sistemeve të kontrollit të aplikimit dhe përjashtohet nga softueri anti-virus, kështu që nuk është bllokuar dhe nuk është shënuar me një flamur. Llogaria mund të punojë në emër të përdoruesit, vetë sistemin ose aplikimin në ndonjë pasuri ose burim në mjedis. Shumë profesionistë të sigurisë kibernetike e quajnë këtë lloj qasjeje "Privilegat e Perëndisë", ajo mbart një rrezik masiv dhe të pakomplikueshëm.

Qasja administrative globale e përbashkët përdoret zakonisht në aplikimet e trashëguara për monitorimin, menaxhimin dhe automatizimin e teknologjisë lokale. Llogaritë e administratorit global të përbashkët janë duke shërbyer në shumë mjete që janë instaluar në premisat dhe punojnë në mjediset tona. Kjo përfshin zgjidhjet për menaxhimin e rrjetit, zgjidhjet e menaxhimit të cenueshmërisë, mjetet për zbulimin e aktiveve dhe zgjidhjet për menaxhimin e pajisjeve mobile, dhe këto janë vetëm disa nga shembujt e shumëfishtë.

Problemi kryesor është se këto llogari administrative me qasje të plotë janë të nevojshme për të punuar si duhet, prandaj ata nuk mund të punojnë duke përdorur konceptin e menaxhimit të aplikacioneve me privilegjet më të ulëta, që është praktika më e mirë e sigurisë. Nëse këto llogari kanë revokuar privilegjet dhe lejet, aplikacioni ka shumë të ngjarë të mos jetë në gjendje të punojë. Kështu, ato janë të pajisura me qasje të plotë dhe të pakufizuar në punë, e cila është një zonë masive për sulmin.

Në rastin e Solarwinds, kjo është pikërisht ajo që ndodhi. Vetë aplikimi u komprometua përmes përditësimit automatik dhe sulmuesit përdorën qasje të pakufizuar të privilegjuar në mjedisin e viktimës duke përdorur këtë kërkesë. Sulmimi mund të kryejë pothuajse çdo detyrë të maskuar nga solarwinds, dhe madje u përpoq shumë të mos i kryejnë ato në sistemet në të cilat ekzistojnë mjete monitorimi dhe sigurimi i sigurisë së shitësve të avancuar. Kështu, bëhet e qartë si më poshtë: Nëse kodi me qëllim të keq është mjaft i sofistikuar për të anashkaluar zgjidhjet e sigurisë dhe për të kryer atë vetëm në ato objekte ku mund të shmangë zbulimin, do ta bëjë këtë duke përdorur privilegjet globale të përbashkëta administrative. Asnjë zgjidhje nuk mund të zbulojë dhe të bllokojë një sulm të tillë.

Vitin e kaluar në blogun tonë, në të cilin i dhamë parashikimin e sigurisë kibernetike për vitin 2020, së pari vendosim një rritje në përditësime automatike me qëllim të keq. Kështu, edhe pse kërcënimi i përgjithshëm nuk ishte një pasojat e panjohura ose të papritura, shkallë dhe destruktive të këtij sulmi të veçantë që solarwinds do të tingëllojë për një kohë të gjatë.

Si të parandaloni ose eliminoni sulme në organizimin e të cilave aplikacionet e trashëguara janë të përfshira

Ka një pyetje të madhe këtu: Si mund të përmirësojmë mjediset tona dhe të mos varemi nga aplikimet dhe llogaritë që kërkojnë privilegje të tepruara, e cila është e pasigurt?

Para së gjithash, me më së shumti aplikacione të tilla të trashëguara, zgjidhjet për menaxhimin e rrjetit ose menaxhimin e dobësive, për shembull, bazuar në teknologjinë e skanimit janë të gjitha në rregull. Vetëm modelet e vjetruara dhe modelet e sigurisë për të zbatuar aplikacione të tilla. Diçka kërkon një ndryshim.

Nëse mendoni se shkeljet e Solarwinds janë gjëja më e keqe që ka ndodhur ndonjëherë në fushën e sigurisë kibernetike, mund të keni të drejtë. Për ata profesionistë në fushën e sigurisë kibernetike, të cilat mbahen mend nga sasser, blaster, të verdhë të madhe, Mirai dhe Wannacry, vëllimi i ndikimeve në sistem do të jetë i krahasueshëm, por objektivi dhe ngarkesa e këtyre krimbave nuk kanë ndonjë krahasim me Solarwinds sulmi.

Kërcënimet serioze kanë ekzistuar tashmë dhjetëra vjet, por kurrë më parë para se të kemi parë burimin për t'u sulmuar kaq i sofistikuar se të gjitha viktimat e mundshme dhe pasojat e sulmeve nuk janë të njohura deri më tani. Kur sasser ose wannacry goditi sistemin, pronarët e tyre e dinin për këtë. Edhe në rastin e viruseve të zhvatjes, do të mësoni për pasojat për një periudhë të shkurtër kohore.

Në lidhje me Solarwinds një nga qëllimet kryesore të sulmuesve ishte të mbeteshin pa u vënë re. Dhe mos harroni se sot i njëjti problem global ekziston me aplikacione të tjera të trashëguara. Për organizimin e sulmeve në mijëra kompani, mund të përdoren aplikime të tjera me privilegje të përbashkëta globale të përbashkëta në mediat tona, të cilat do të çojnë në rezultate të tmerrshme.

Për fat të keq, kjo nuk është një dobësi që kërkon korrigjim, por një përdorim i paautorizuar i aftësive të aplikimit që ka nevojë për këto privilegje.

Pra, ku të filloni?

Para së gjithash, ne duhet të identifikojmë dhe zbulojmë të gjitha aplikacionet në mjedisin tonë, të cilat janë të nevojshme privilegje të tilla të tepruara:

  • Përdorimi i mjetit të zbulimit të klasës së ndërmarrjes, përcaktoni cilat aplikacione kanë të njëjtin llogari të privilegjuar në sisteme të shumëfishta. Kredencialet kanë më shumë gjasa të jenë të zakonshme dhe mund të përdoren për shpërndarje horizontale.
  • Bëni një inventar të grupit të Administratorëve të Domainit dhe identifikoni të gjitha llogaritë ose shërbimet e aplikimit të pranishëm. Çdo aplikim që ka nevojë për privilegjet e administratorit të domain-it është një rrezik i lartë.
  • Shfletoni të gjitha aplikacionet që janë në listën tuaj globale të përjashtimit të antivirus (në krahasim me përjashtimet nga nyjet specifike). Ata do të përfshihen në hapin e parë dhe më të rëndësishëm të stack tuaj të sigurisë të sigurisë - parandaloni malware.
  • Shfletoni listën e softuerit të përdorur në ndërmarrje dhe të përcaktojë se cilat privilegje janë të nevojshme nga një aplikacion për të punuar dhe për të kryer përditësime automatike. Kjo mund të ndihmojë në përcaktimin nëse nevojiten privilegjet e administratorit lokal ose administratori lokal përbën operacionin e duhur të aplikacionit. Për shembull, një llogari e papërcaktuar për rritjen e privilegjeve të aplikacionit mund të ketë një llogari në një nyje lokale për këtë qëllim.

Pastaj duhet të zbatojmë aty ku është e mundur të menaxhojmë aplikacionet bazuar në privilegjet minimale të nevojshme. Kjo nënkupton heqjen e të gjitha privilegjeve të tepruara të aplikacionit. Megjithatë, siç u përmend më lart, nuk është gjithmonë e mundur. Së fundi, për të eliminuar nevojën për llogaritë globale të privilegjuara të privilegjuara, mund të keni nevojë si më poshtë:

  • Përditësoni aplikacionin në një zgjidhje më të re
  • Zgjidhni një shitës të ri për të zgjidhur problemin
  • Përkthejeni ngarkesën e punës në cloud ose një infrastrukturë tjetër

Konsideroni si një shembull dobësi të menaxhimit. Skanerët tradicionalë të cenueshmërisë përdorin një llogari globale të privilegjuar (nganjëherë më shumë se një) për t'u lidhur me distancë për të synuar dhe vërtetuar si një llogari administrative për të përcaktuar dobësitë. Nëse nyja është e komprometuar nga një skanim i softuerit me qëllim të keq, atëherë hash përdoret për autentifikim mund të mblidhet dhe përdoret për shpërndarje horizontale mbi rrjet dhe të krijojë një prani të vazhdueshme.

Vennndors e sistemeve të menaxhimit të cenueshmërisë e kanë kuptuar këtë problem dhe në vend që të ruajnë një llogari të vazhdueshme administrative për skanimin, ato janë të integruara me një zgjidhje të kontrollit të qasjes së preferuar (PAM) për të marrë një llogari aktuale të privilegjuar për të përfunduar skanimin. Kur nuk kishte zgjidhje PAM, shitësit e mjeteve të menaxhimit të dobësive gjithashtu reduktuan rrezikun, zhvillimin e agjentëve dhe mjeteve lokale që mund të përdorin API për të vlerësuar në vend të një llogarie të përbashkët administrative për skanimin e autorizuar.

Pikëpamja ime për këtë shembull është e thjeshtë: teknologjia e trashëguar e menaxhimit të cenueshmërisë ka evoluar në mënyrë të tillë që të mos e ekspozojë klientët me një rrezik të madh që lidhet me llogaritë globale të aplikimit dhe qasjen në to. Për fat të keq, shumë teknologji të tjera të shitësve nuk kanë ndryshuar vendimet e tyre, dhe kërcënimi mbetet derisa zgjidhjet e vjetra të zëvendësohen ose modernizohen.

Nëse keni mjete për të menaxhuar cilat llogaritë administrative të përbashkëta globale janë të nevojshme, atëherë detyra me rëndësi të madhe për vitin 2021 duhet të zëvendësojë këto mjete ose përditësimin e tyre. Sigurohuni që zgjidhjet që blini janë zhvilluar nga shitësit që tashmë ofrojnë nga ky kërcënim.

Së fundi, mendoni për menaxhimin e privilegjeve të aplikacioneve bazuar në parimin e privilegjeve më pak të nevojshme. Zgjidhjet PAM janë të dizajnuara për të ruajtur sekretet dhe për të lejuar aplikimet për të punuar me një nivel minimal të privilegjit, edhe nëse nuk janë projektuar fillimisht për të punuar me këto aplikacione.

Duke u kthyer në shembullin tonë, zgjidhjet e menaxhimit të dobësive mund të përdorin privilegjet e Unix dhe Linux për të kryer skanime të cenueshmërisë, edhe nëse nuk janë siguruar me qasjen e tyre të privilegjuar. Mjeti i menaxhimit të privilegjve ekzekuton komandat në emër të skanerit dhe i kthen rezultatet. Ai ekzekuton komandat e skanerit me privilegjet më të vogla dhe nuk përmbushin komandat e saj të papërshtatshme, për shembull, duke e fikur sistemin. Në një kuptim, parimi i privilegjeve më të vogla në këto platforma i ngjan sudo dhe mund të kontrollojë, kufizojë dhe ekzekutojë aplikacionet me privilegje, pavarësisht nga procesi që e quajnë komandën. Kjo është vetëm një mënyrë për të menaxhuar qasjen e privilegjuar mund të aplikohet në disa aplikacione të vjetruara në rastet kur kërkohet privilegje të tepërta dhe zëvendësimi i duhur nuk është i mundur.

Reduktuar Ciberian në vitin 2021 dhe më tej: hapat e mëposhtëm kryesorë

Çdo organizatë mund të jetë objektivi i ndërhyrës, dhe çdo aplikim me privilegje të tepruar mund të përdoret kundër të gjithë kompanisë. Incidenti i Solarwinds duhet të inkurajojë të gjithë ne që të rishikojmë dhe identifikojmë ato aplikacione, puna e të cilëve është e lidhur me rreziqet e qasjes së tepruar të privilegjuar. Ne duhet të përcaktojmë se si mund ta zbutni kërcënimin, edhe nëse është e pamundur të eliminoni atë tani.

Në fund të fundit, përpjekjet tuaja për të zvogëluar rreziqet dhe për të eliminuar pasojat e tyre mund t'ju çojnë në zëvendësimin e aplikacioneve ose kalimit në re. Pa dyshim, një - koncepti i menaxhimit të privilegjuar të qasjes është i zbatueshëm për aplikimet si dhe për njerëzit. Nëse aplikacionet tuaja nuk kontrollohen siç duhet, ata mund të rrezikojnë sigurinë e të gjithë ndërmarrjes. Dhe asgjë nuk duhet të ketë qasje të pakufizuar në mjedisin tuaj. Kjo është një lidhje e dobët që ne duhet të identifikojmë, fshijmë dhe të shmangim në të ardhmen.

Materiale më interesante në Cisoclub.ru. Regjistrohu për ne: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ New | YouTube | Impuls.

Lexo më shumë

Për shkak të asaj që vetë Benny Hill, dhe shfaqja e tij eliminuan Margaret Thatcher
Epo, ishte qesharake. Të gjithë fëmijëria e shfaqjes së Benny Hill ishte duke shikuar kanalin TV6 të Moskës. Është interesante të shikosh skicat e tij...
Ndërtesat e reja pranë parqeve së shpejti nuk do të jenë: vende të lira në zonat e gjelbra në mungesë
Kohët e fundit, në Moskë ka një mungesë të një strehimi të klasit të biznesit në parqe. Në vitin 2021, vetëm dy projekte erdhën në treg pranë vargjeve...
Vlerësimi i makinës kineze autobradids në Rusi
Pas shitjes së shkurtit 2021 në radhë të parë të "Kinës kineze" të tregut të makinave ruse përsëri, haval me një rezultat prej 2 158 shitur një makinë...
Cila është lartësia që mund të shihni se toka është e rrumbullakët?
Arritjet shkencore në aspektin e studimit të tokës dhe hapësirës së jashtme ofruan shumë prova që tregojnë formën e raundit të saj. Duke qenë në sipërfaqen...
Çdo gjë rreth Apple Watch Series 7: Data e lëshimit, thashethemet, karakteristikat dhe çmimet
Nga viti 2015 deri në vitin 2020, gjeneratat e reja Apple Watch del jashtë çdo vit. E zakonshme në muajin e parë të vjeshtës. Asgjë nuk e pengon Apple...
Beteja për Moskën në ditarin e gjeneralit Wehrmacht
Megjithëse gjenerali Gothhard Heinritz nuk i shkroi kujtimet e veta për "rritjen lindore", pas tij kishte letra të hollësishme të familjes dhe një...
5 filma me skena seksi real
Ku mund të gjeni armë më të mirë në Assassins Creed Odisea: Hyde nga Armët legjendare
Shkencëtarët zbuluan rregullsitë kur njerëzit silleshin në vende publike (infografikë vizuale)
Viti i gjarprit: 8 fakte të mahnitshme për zvarranikët
Si për të punuar Pink Salon - Japanese Blowjob bare
Si të bëni një pellg në vend me duart tuaja - një klasë master hap pas hapi me një foto
Pazar në Belek: Këshilla dhe Rekomandime
Natalia Vodyanova bëri një fotografi fantazi të një djali 5-vjeçar
Masazh i prostatës: Si ta bëni një njeri për veten tuaj? Pamje, metoda, teknikë, përfitime dhe skema të masazhit të prostatës në vetvete me një gisht dhe massager për trajtimin e prostatit në shtëpi. Si dhe si mund ta masash vetë prostatën veten?
25 foto, rreth vendit ku mund të fshiheni
Fundi i filmit: 5 Probleme të jetës suaj në të cilën pornografia është për të fajësuar
Osmozë e kundërt - si funksionon dhe krahasimi i filtrave më të mirë shtëpiak me karakteristikat dhe çmimet
India u sulmua nga një virus i ri i panjohur për shkencën
7 Llojet e bërjes së bizhuterive me lidhje të ftohtë: vida, fole, thumba dhe më shumë
Si të lani qethin me dorë
pidhi i lagur
Një truk i ri i LinkedIn ju lejon të kërkoni fshehurazi punë pa e gjetur shefi juaj
Divorci më mësoi më shumë për martesën sesa martesa ime
Momentet më të mira të stilit të Cindy Crawford në kopertinën e shtatorit të Tatler
Gjithçka që duhet të dini për dermatillomania
Gëzuar ditëlindjen! Djali i Brad Pitt dhe Angelina Jolie, Maddox mbush 18 vjeç dhe po, ne ndjehemi të vjetër
Anthony Bourdain sjell Green Day një daulle të mbushur me skocez në finalen e sezonit 'Raw Craft'
Shqyrtimet e produkteve të Singletracks: Zbulimi i plotë
EMD Millipore hyn në marrëveshje përfundimtare për të blerë Biochrom
Shania Twain flet për betejën e saj me sëmundjen Lyme
15 Produkte të çuditshme Wayfair që nuk e dinit se mund t'i blini
Receta është ende djathë-burger me perime të pjekura në skarë
E vërteta rreth Jennifer Aniston e mërzitur për miqësinë e Jimmy Kimmel me Kardashians
Këta 70 emra bisedash në grup me temë Hanukkah janë të domosdoshëm për të ndriçuar bisedën tuaj
Proteinat e mëngjesit të zgjimit
'Është koha': Trailblazer i Artit të Rrugës, Lady Pink, për arsyen pse ajo po pikturon përmendore për legjendat e pakënduara të grafiteve
Shikimi me dëshirë
10 banesa me qira në ishuj privatë që mund t'i gjeni në Airbnb
Scarlett Johansson e pyeti drejtpërdrejt Woody Allen për akuzat për abuzim seksual
Televizorët Samsung tani mbështesin HDR10+ me Filmat Google Play
Shkenca shpjegon se çfarë ndodh me trupin tuaj kur nuk bëni jashtëqitje çdo ditë
Kolonizimi i Titanit: teori, fakte dhe opinione ekspertësh
D-Link DHP-500AV: Analiza e këtyre PLC-ve me shpejtësi deri në 500 Mbps
4 Pyetjet që GM duhet të përgjigjet në lidhje me tërheqjen
Një partner i suksesshëm shofer Uber ndan 7 këshillat e tij kryesore
Enciklopedia e Dinozaurëve
Malecón de Mazatlán, Sinaloa, sa kohë është dhe si të shkosh atje?
Si të bëni kopje rezervë të fotografive tuaja WhatsApp në Google Photos & Texts në Google Drive

© 2024 Fakte njohëse
Lajme interesante dhe informative, artikuj, shqyrtime

uk en af am ar az be bg bn bs ca ceb cs cy da de el eo es et eu fa fi fr fy ga gl gu ha he hi hmn hr ht hu hy id ig is it ja jv ka kk km kn ko ku ky lb lo lt lv mg mk ml mn mr ms mt my ne nl no ny or pa pl ps pt ro rw sd si sk sl sm sn so sq sr st su sv sw ta te tg th tk tl tr tt ug ur uz vi xh yi yo zh-CN zh-TW zu