En sofistikerad attack som riktas till penetrationen av SolarWinds Orion och den efterföljande kompromissen av tusentals kunder är slående med dess skala och potentiella konsekvenser.
För året med grymma lektioner tjänar denna attack som en mycket hög och obehaglig påminnelse - någon kan hacka. Någon. Ingen säkerhetskontroll, programvara, processer och träning kan inte blockera varje attack. Du kan alltid och bör sträva efter att minska riskerna, men att bli av med dem kommer aldrig att lyckas.
Vi erinrade också om att vi skapade en fantastisk digital infrastruktur, som, när det gäller sin kompromiss och fånga sin miljö och hemligheter, kan ha en stor inverkan på vår värld, ekonomin och livet som vi långsamt är vana vid under en pandemi. För en angripare är denna digitala infrastruktur också ett sätt att ackumulera en stor rikedom av stöld av hemligheter, immateriella rättigheter, krav på tillgång till data eller utpressning, liksom sabotage av motståndares planer, oavsett om en konkurrent eller nation.
Kommunikationsattack Solarwinds och applikationsbehörigheter
Ingen leverantör kan garantera att hans beslut helt skulle förhindra attacken på SolarWinds, och vi bör vara viktiga för sådana uttalanden. Samtidigt kan företag vidta strategiska åtgärder för att förhindra denna typ av attacker i framtiden om de inser och bestämmer ett av de grundläggande problemen med att förvalta den ärftliga infrastrukturen. Detta grundläggande säkerhetsproblem är behovet av att se till att alla ansökningar har obegränsat tillgång till allt som finns i nätverket, eller, när det gäller privilegierad tillgång, global delad tillgång till administratör eller root rättigheter.Vad är global delad administrativ tillgång? Detta är en obegränsad kontoåtkomst (poster) till miljön. Detta innebär vanligtvis att ansökan utan begränsningar behöver göra undantag från säkerhetspolitiken. Till exempel kan ett konto ingå i listan över applikationskontrollsystem och är uteslutet från antivirusprogram, så det är inte blockerat och inte markerat med en flagga. Kontot kan fungera på användarens vägnar, själva systemet eller ansökan om eventuella tillgångar eller resurser i miljön. Många cybersäkerhetspersonal kallar denna typ av åtkomst "Guds privilegier", den bär en massiv, okomplicerad risk.
Global delad administrativ åtkomst används vanligtvis i ärftliga applikationer för övervakning, hantering och automatisering av lokal teknik. Globala delade administratörskonton är service i många verktyg som är installerade på plats och arbete i våra miljöer. Detta inkluderar lösningar för nätverkshantering, sårbarhetshanteringslösningar, verktyg för att upptäcka tillgångar och lösningar för hantering av mobila enheter, och det är bara några av de flera exemplen.
Det största problemet är att dessa administrativa konton med full tillgång behövs för att fungera ordentligt, och därför kan de inte fungera med hjälp av begreppet hantering av ansökningar med de lägsta privilegierna, vilket är den bästa säkerhetspraxisen. Om dessa konton har återkallat privilegier och behörigheter kommer programmet sannolikt inte att kunna arbeta. Således är de försedda med full och obegränsad tillgång till arbete, vilket är ett massivt område för attack.
I fall av solarwinds är det precis vad som hände. Ansökan i sig kompromissad genom automatisk uppdatering, och angripare använde obegränsad privilegierad åtkomst i offremiljön med hjälp av den här applikationen. Attacking kan utföra nästan alla uppgifter förklädda av SolarWinds, och även försökt mycket svårt att inte utföra dem på system där det finns möjlighet att övervaka och säkerställa säkerheten hos avancerade leverantörer. Således blir det uppenbart som följer: Om den skadliga koden är sofistikerad för att kringgå säkerhetslösningar och utföra det bara på de objekt där det kan undvika detektion, kommer det att göra det med hjälp av globala delade administrativa privilegier. Ingen lösning kan upptäcka och blockera en sådan attack.
Förra året i vår blogg, där vi gav cybersäkerhetsprognosen för 2020, ökade vi först i skadliga automatiska uppdateringar. Således, även om det totala hotet inte var en okänd eller oväntad, skala och destruktiva konsekvenser av denna speciella attack, kommer Solarwinds att låta under lång tid.
Hur man förhindrar eller eliminerar attacker i organisationen av vilka arvade ansökningar är inblandade
Det finns en stor fråga här: Hur kan vi uppgradera våra miljöer och bero inte på applikationer och konton som kräver överdrivna privilegier, vilket är osäkert?
Först och främst, med mest sådana ärftliga applikationer, lösningar för nätverkshantering eller sårbarhetshantering, till exempel, baserat på avsökningsteknik är alla i ordning. Bara föråldrade teknik och säkerhetsmodeller för att genomföra sådana applikationer. Något kräver en förändring.
Om du tror att SolarWinds överträdelser är det värsta som någonsin hänt på cybersäkerhet, kan du vara rätt. För de yrkesverksamma inom cybersäkerhet, som är ihågkommen av Sasser, Blaster, Big Yellow, Mirai och Wannacry, kommer volymen av influenser på systemet att vara jämförbar, men mål och nyttolast av dessa maskar har ingen jämförelse med Solarwinds attack.
Allvarliga hot har redan existerat dussintals år, men aldrig innan vi har sett resursen att attackeras så sofistikerad att alla potentiella offer och konsekvenserna av attacker inte är kända för oss hittills. När sasser eller wannacry slog systemet visste deras ägare om det. Även i fallet med utpressningsvirus lär du dig om konsekvenserna under en kort tid.
I samband med SolarWinds var ett av de främsta målen för angripare att förbli obemärkt. Och glöm inte att idag finns det samma globala problem med andra ärftliga applikationer. För att anfalla angrepp på tusentals företag kan andra applikationer med globala delade administrativa privilegier i våra medier användas, vilket leder till skrämmande resultat.
Tyvärr är det inte en sårbarhet som kräver korrigering, utan snarare en obehörig användning av möjligheterna i den ansökan som behöver dessa privilegier.
Så vart ska man börja?
Först och främst måste vi identifiera och upptäcka alla applikationer i vår miljö, vilket behövs sådana överdrivna privilegier:
- Använda verktyget Enterprise Class-detektering, bestämma vilka applikationer som har samma privilegierade konto på flera system. Uppgifterna är mest troliga och kan användas för horisontell distribution.
- Gör en inventering av domänadministratörsgruppen och identifiera alla programkonton eller tjänster som är närvarande. Varje applikation som behöver domänadministratörens privilegier är en hög risk.
- Bläddra bland alla applikationer som finns i din globala antivirus-undantagslista (jämfört med undantag för specifika noder). De kommer att vara inblandade i det första och viktigaste steget i din slutpunktsäkerhetstack - förhindra skadlig kod.
- Bläddra i listan över programvara som används i företaget och avgör vilka privilegier som behövs av en applikation för att arbeta och utföra automatiska uppdateringar. Detta kan hjälpa till att avgöra om den lokala administratörens privilegier behövs eller lokala administratör står för programmets korrekta funktion. Till exempel kan ett opersonligt konto för att öka programmets privilegier ha ett konto på en lokal nod för detta ändamål.
Då måste vi genomföra var det är möjligt att hantera applikationer baserat på de allra nödvändiga privilegierna. Det innebär att alla överdrivna privilegier avlägsnas. Men som nämnts ovan är det inte alltid möjligt. Slutligen, för att eliminera behovet av globala delade privilegierade konton, kan du behöva ha följande:
- Uppdatera programmet till en nyare lösning
- Välj en ny leverantör för att lösa problemet
- Översätt arbetsbelastningen i molnet eller en annan infrastruktur
Tänk på som ett exempelvis ledningssäkerhet. Traditionella sårbarhetsskannrar använder ett globalt delat privilegierat konto (ibland mer än ett) för att fjärranslutna anslutas till mål och autentisering som ett administrativt konto för att bestämma sårbarheter. Om noden äventyras av en skadlig programvarukanning, kan den hash som används för autentisering samlas in och användas för horisontell fördelning över nätverket och upprätta en konstant närvaro.
Venndors av sårbarhetshanteringssystemen har insett detta problem och istället för att lagra ett konstant administrativt konto för skanning, är de integrerade med en föredragen åtkomstkontrolllösning (PAM) för att få ett aktuellt privilegierat konto för att slutföra skanningen. När det fanns inga PAM-lösningar minskade leverantörer av sårbarhetshanteringsverktyg också risken, utvecklade lokala agenter och verktyg som kan använda API för att utvärdera istället för ett gemensamt administrativt administrativt konto för auktoriserad skanning.
Min syn på det här exemplet är enkelt: ärftlig sårbarhetshanteringsteknik har utvecklats på ett sådant sätt att det inte längre exponerar kunder med en stor risk i samband med globala applikationskonton och tillgång till dem. Tyvärr har många andra leverantörstekniker inte förändrat sina beslut, och hotet kvarstår tills de gamla lösningarna ersätts eller moderniseras.
Om du har verktyg för att hantera vilka globala delade administrativa konton krävs, bör uppgiften för avgörande betydelse för 2021 ersätta dessa verktyg eller deras uppdatering. Se till att de lösningar du köper är utvecklade av leverantörer som redan levererar från detta hot.
Slutligen, tänk på att hantera ansökans privilegier baserat på principen om de minst nödvändiga privilegierna. PAM-lösningar är utformade för att lagra hemligheter och tillåta att applikationer fungerar med en minimiläge, även om de inte var ursprungligen utformade för att fungera med dessa applikationer.
Återvänder till vårt exempel kan sårbarhetshanteringslösningar använda UNIX och Linux-privilegier för att utföra sårbarhetsskanningar, även om de inte var försedda med sin egen privilegierade åtkomst. Privilege Management Tool utför kommandona på skannerns vägnar och returnerar resultaten. Det exekverar skannerns kommandon med de minsta privilegierna och uppfyller inte sina olämpliga kommandon, till exempel, stänger av systemet. I en mening liknar principen om de minsta privilegierna på dessa plattformar sudo och kan styra, begränsa och exekvera applikationer med privilegier, oavsett processen som ringer till kommandot. Det här är bara ett sätt att hantera privilegierad åtkomst kan tillämpas på några föråldrade applikationer i de fall där alltför stora privilegier krävs och lämplig ersättning är inte möjlig.
Minskad ciberian år 2021 och vidare: följande huvudsteg
Varje organisation kan vara målet för inkräktare, och alla tillämpningar med överdrivna privilegier kan användas mot hela bolaget. Solarwinds-händelsen måste uppmuntra oss alla att revidera och identifiera de ansökningar vars arbete är förknippat med riskerna med överdriven privilegierad åtkomst. Vi måste bestämma hur du kan mildra hotet, även om det är omöjligt att eliminera det just nu.
I slutändan kan dina ansträngningar för att minska riskerna och eliminera deras konsekvenser leda dig att ersätta applikationer eller övergång till molnet. Utan tvekan är en - begreppet privilegierad åtkomsthantering tillämplig på applikationer såväl som människor. Om dina applikationer inte styrs ordentligt kan de äventyra säkerheten för hela företaget. Och ingenting borde ha obegränsad åtkomst i din miljö. Det här är en svag länk som vi måste identifiera, radera och undvika i framtiden.
Mer intressant material på cisoclub.ru. Prenumerera på oss: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ ny | YouTube | Puls.