Софистицирани напад усмерен на продирање соларвиндса Орион и накнадно компромисе хиљада својих купаца удара се својим обим и потенцијалним последицама.
За годину сурових лекција, овај напад служи као веома гласно и непријатно подсетник - свако може да хакује. Било ко. Без безбедносне контроле, софтвер, процеси и обука не може блокирати сваки напад. Увек можете и да тежите да смањите ризике, али да их се решите, никада неће успети.
Такође смо се подсетили да смо створили невероватну дигиталну инфраструктуру која је у случају њеног компромиса и ухватила своје окружење и тајне, може имати огроман утицај на наш свет, економију и живот на који смо полако навикли на пандемију. За нападача ова дигитална инфраструктура је такође средство за накупљање великог богатства крађом тајне, интелектуалне својине, захтеве за приступ подацима или уцјењивању, као и саботажама противничких планова, било да је такмичар или нација.
Комуникацијски напади СОЛАРВИНДС и ПРИВИЛЕГЕ ПРИЈАВЕ
Ниједан продавач не може гарантовати да ће његова одлука у потпуности спречити напад на соларвиндс, а ми треба да се видимо о таквим изјавама. Истовремено, компаније могу предузети стратешке кораке да спрече ову врсту напада у будућности ако схвате и одлучују о једном од основних проблема управљања наслеђеном инфраструктуром. Овај основни безбедносни проблем је потреба да се свака апликација има неограниченим приступом свему што је у мрежи, или, у погледу привилегованог приступа, глобалног заједничког приступа са администратором или основним правима.Шта је глобални дељени административни приступ? Ово је неограничен приступ рачуну (уноси) у животну средину. То обично значи да се апликација без ограничења мора извршити изузетке од безбедносних политика. На пример, налог може бити укључен у списак система контроле апликација и искључен је из антивирусног софтвера, тако да није блокиран и није означен заставом. Рачун може да ради у име корисника, сам систем или примену о било којој имовини или ресурсима у околини. Многи стручњаци са цибер-циберцијом називају ову врсту приступа "Богу привилегијама", она носи масиван, компликован ризик.
Глобални дељени административни приступ се обично користи у наслеђеним апликацијама за надгледање, управљање и аутоматизацију локалне технологије. Глобални дељени администраторски рачуни се сервисирају у многим алатима који су инсталирани у просторијама и раде у нашем окружењу. Ово укључује решења за управљање мрежом, решења за управљање рањивошћу, алате за откривање имовине и решења за управљање мобилним уређајима и то су само неки од више примера.
Главни проблем је да су ови административни рачуни са потпуним приступом потребни да би се правилно радили и зато не могу радити користећи концепт управљања апликацијама са најнижим привилегијама, што је најбоља безбедносна пракса. Ако су ови рачуни опозвали привилегије и дозволе, апликација ће највероватније да неће моћи да ради. Стога им се пружа потпуни и неограничен приступ раду, што је масивно подручје за напад.
У случају соларница, то се управо то догодило. Сама апликација је компромитована путем аутоматског ажурирања, а нападачи су користили неограничен привилеговани приступ у животној средини користећи ову апликацију. Нападање би могло да обавља готово све задатке прерушене од стране соларвиндса, па чак и су покушали врло тешко да их не обављају на системима на којима се налази средства за праћење и обезбеђивање сигурности напредних добављача. Стога постаје очигледно: Ако је злонамерни код довољно софистициран да заобиђе безбедносна решења и обавља га само на оне предмете где то може да избегне откривање, то ће то учинити користећи Глобалне дељене административне привилегије. Ниједно решење није могло да открије и блокира такав напад.
Прошле године у нашем блогу, у којем смо дали прогнозу цибер-цибер-цибер-цибер-а, прво смо поставили пораст злонамерних аутоматског ажурирања. Стога, иако укупна претња није била непозната или неочекивана, скала и деструктивна последица овог конкретног напада Сларвинд ће дуго времена звучати.
Како спречити или елиминисати нападе у организацији која су наслеђена пријава укључена
Овде постоји велико питање: Како можемо да надоградимо наше окружење и не завидимо од апликација и рачуна који захтевају превелике привилегије, што је несигурно?
Пре свега, са углавном таквим наслеђеним апликацијама, решења за управљање мрежом или управљање рањивошћу, на пример, на основу технологије скенирања су по реду. Само застарела технологија и сигурносни модели за спровођење таквих апликација. Нешто захтева промену.
Ако мислите да су кршења соларвиндса најгора ствар која се икада догодила у области кибернерирања, можда ћете бити у праву. За оне професионалце у области цибер-цурберове, који ће се запамтити Сассер, Бластер, Биг Иеллов, Мираи и ВанАцри, обим утицаја на систем ће бити упоредиви, али циљ и корисник ових црва немају никакво поређење са Сунорвиндс напад.
Озбиљне претње већ су постојале десетине година, али никада пре него што смо видели да се ресурс нападну тако софистицираним да све потенцијалне жртве и последице напада до сада нису познати. Када је Сассер или Ваннацри погодио систем, њихови власници су знали за то. Чак и у случају изнуђивања вируса, сазнаћете о последицама у кратком временском периоду.
У вези са соларвиндсом један од главних циљева нападача био је да остане незапажено. И не заборавите да данас исти глобални проблем постоји са другим наследним апликацијама. За организацију напада на хиљаде компанија могу се користити и друге апликације са глобалним делим административним привилегијама у нашим медијима, што ће довести до застрашујућих резултата.
Нажалост, то није рањивост која захтева корекцију, већ неовлашћена употреба могућности примене које су потребне ове привилегије.
Па где да почнете?
Пре свега, морамо да идентификујемо и откријемо све апликације у нашем окружењу, које су потребне такве прекомерне привилегије:
- Помоћу алата за откривање предузећа за предузеће, утврдите које апликације имају исти привилеговани рачун на више система. Акредитиви су највероватније уобичајени и могу се користити за хоризонталну дистрибуцију.
- Направите попис групне групе Администратори домена и идентификујте све наводне рачуне или услуге. Свака апликација које су потребне привилегије администратора домена је висок ризик.
- Прегледајте све апликације које су на вашем глобалном листу за Антивирус Изузетак (у поређењу са изузецима о одређеним чворовима). Они ће бити укључени у први и најважнији корак вашег Ендпоинт сигурносног стака - спречите злонамјерни софтвер.
- Прегледајте листу софтвера који се користи у предузећу и одредите које су привилегије потребне апликацијом за рад и обављање аутоматског ажурирања. Ово може помоћи да утврди да ли су потребне привилегије локалног администратора или локални администратор на правилан рад апликације. На пример, безлични рачун за повећање привилегија апликације може имати рачун локалног чвора у ту сврху.
Тада морамо имплементирати где је могуће управљати апликацијама на основу минималних потребних привилегија. То подразумева уклањање свих прекомерних привилегија апликације. Међутим, као што је горе поменуто, то није увек могуће. Коначно, да бисте елиминисали потребу за глобалним делимичним привилегованим рачунима, можда ће вам требати на следећи начин:
- Ажурирајте апликацију на новије решење
- Изаберите новог продавца да бисте решили проблем
- Преведи радно оптерећење у облаку или другу инфраструктуру
Размотрите као пример рањивости управљања. Традиционални скенери за рањивости користе глобални дељени привилеговани рачун (понекад више од једног) да се даљински повезују на циљ и аутентификацију као административни рачун за утврђивање рањивости. Ако је чвор угрожен злонамерним скенирањем софтвера, онда се ХАСХ користи за аутентификацију може прикупити и користити за хоризонталну дистрибуцију преко мреже и успоставити стално присуство.
Венндорс система за управљање рањивошћу су реализовао овај проблем и уместо да чувају стални административни рачун за скенирање, они су интегрисани са преферираним решењем за контролу приступа (ПАМ) да би се постигао тренутни привилеговани рачун да бисте довршили скенирање. Када није било раствора ПАМ, добављачи алата за управљање рањивошћу такође су смањили ризик, развијање локалних агената и алата који могу да користе АПИ да би проценили уместо једног заједничког административног рачуна овлашћеног скенирања.
Моје гледиште на овом примеру је једноставно: наслеђена технологија управљања рањивошћу еволуирала је на такав начин да више не излаже купце са огромним ризиком повезаним са глобалним налозима и приступом њима. Нажалост, многе друге технологије добављача нису промениле своје одлуке, а претња остају све док се стара решења не замене или модернизује.
Ако имате алате за управљање којима су потребни глобални дељени административни рачуни, тада је задатак најважнијег значаја за 2021. годину требало да замени ове алате или њихово ажурирање. Проверите да ли решења коју купују развијају продавци који већ пружају из ове претње.
Коначно, размислите о управљању привилегијама апликација на основу принципа најмање потребних привилегија. ПАМ решења дизајнирана су за складиштење тајне и омогућавају да се апликације раде са минималним нивоом привилегија, чак и ако нису првобитно дизајниране да раде са овим апликацијама.
Повратак на наш пример, решења за управљање рањивошћу могу да користе УНИКС и Линук привилегије за обављање скенирања рањивости, чак и ако им нису дате сопствени привилегирани приступ. Алат за управљање привилегијом извршава наредбе у име скенера и враћа резултате. Површине команде скенера са најмањим привилегијама и не испуњава своје непримерене команде, на пример, искључивање система. У одређеном смислу, принцип најмањих привилегија на овим платформама подсећа на судо и може да контролише, ограничи и извршава апликације привилегијама, без обзира на поступак који позива команду. Ово је само један начин да се управљати привилегованим приступом може се применити на неке застареле апликације у случајевима када су потребне прекомерне привилегије и одговарајућа замена није могућа.
Смањени цибир у 2021. години и даље: следеће главне кораке
Свака организација може бити мета уљеза и свака апликација са прекомерним привилегијама може се користити против целокупне компаније. Инцидент соларвиндс мора да охрабри све да ревидирамо и идентификујемо те апликације чији је рад повезан са ризицима прекомерног привилегованог приступа. Морамо одредити како можете омекшати претњу, чак и ако је тренутно немогуће отклонити га одмах.
Коначно, ваши напори да смањите ризике и елиминише њихове последице може вас довести до замјене апликација или преласка у облак. Несумњиво једно - Концепт привилегованог управљања приступом применљив је на апликације као и људима. Ако се ваше апликације не контролирају правилно, могу угрозити сигурност целог предузећа. И ништа не би требало имати неограничен приступ у вашем окружењу. Ово је једна слаба веза коју морамо идентификовати, избрисати и избегавати у будућности.
Још занимљивији материјал на Цисоцлуб.ру. Претплатите се на нас: Фацебоок | ВК | Твиттер | Инстаграм | Телеграм | Зен | Мессенгер | ИЦК НОВО | ИоуТубе | Пулсе.