Ang isang sopistikadong pag-atake na nakadirekta sa pagtagos ng SolarWinds Orion at ang kasunod na kompromiso ng libu-libong mga customer nito ay kapansin-pansin sa laki at potensyal na kahihinatnan nito.
Para sa taon ng malupit na aralin, ang pag-atake na ito ay nagsisilbing napakalakas at hindi kasiya-siyang paalala - sinuman ay maaaring sumibak. Sinuman. Walang kontrol sa seguridad, software, proseso at pagsasanay ang hindi maaaring harangan ang bawat pag-atake. Maaari mong palaging at dapat magsikap na mabawasan ang mga panganib, ngunit upang mapupuksa ang mga ito ay hindi magtatagumpay.
Naalaala din namin na lumikha kami ng isang kamangha-manghang digital na imprastraktura, na, sa kaso ng kompromiso nito at nakukuha ang kapaligiran at mga lihim nito, ay maaaring magkaroon ng malaking epekto sa ating mundo, ang ekonomiya at buhay na dahan-dahan nating bihasa sa panahon ng pandemic. Para sa isang magsasalakay, ang digital na imprastraktura na ito ay isang paraan ng pag-iipon ng isang malaking kayamanan sa pamamagitan ng pagnanakaw ng mga lihim, intelektwal na ari-arian, mga kinakailangan para sa pag-access sa data o blackmail, pati na rin ang sabotahe ng mga plano sa kalaban, maging isang katunggali o bansa.
Pag-atake ng komunikasyon SolarWinds at mga pribilehiyo ng application.
Walang garantiya ng vendor na ang kanyang desisyon ay ganap na mapipigilan ang pag-atake sa mga solarwind, at dapat naming mag-ingat sa mga naturang pahayag. Kasabay nito, ang mga kumpanya ay maaaring gumawa ng mga estratehikong hakbang upang maiwasan ang ganitong uri ng pag-atake sa hinaharap kung napagtanto nila at magpasya ang isa sa mga pangunahing problema sa pamamahala ng minanang imprastraktura. Ang pangunahing problema sa seguridad ay ang pangangailangan upang matiyak na ang anumang application ay may walang limitasyong access sa lahat ng bagay na nasa network, o, sa mga tuntunin ng privileged access, global shared access sa administrator o root rights.Ano ang global shared administrative access? Ito ay isang walang limitasyong access sa account (mga entry) sa kapaligiran. Ito ay karaniwang nangangahulugan na ang application na walang mga paghihigpit ay kailangang gumawa ng mga eksepsiyon sa mga patakaran sa seguridad. Halimbawa, ang isang account ay maaaring kasama sa listahan ng mga sistema ng kontrol ng application at hindi kasama mula sa anti-virus software, kaya hindi ito naka-block at hindi minarkahan ng bandila. Ang account ay maaaring magtrabaho sa ngalan ng gumagamit, ang sistema mismo o application sa anumang mga asset o mapagkukunan sa kapaligiran. Maraming mga propesyonal sa cybersecurity ang tumawag sa ganitong uri ng access "mga pribilehiyo ng Diyos", nagdadala ito ng napakalaking, hindi mapilit na panganib.
Ang global shared administrative access ay karaniwang ginagamit sa minanang mga application para sa pagsubaybay, pamamahala at automation ng lokal na teknolohiya. Ang global shared administrator account ay servicing sa maraming mga tool na naka-install sa-premise at gumagana sa aming mga kapaligiran. Kabilang dito ang mga solusyon para sa pamamahala ng network, mga solusyon sa pamamahala ng mga kahinaan, mga tool para sa pag-detect ng mga asset at mga solusyon para sa pamamahala ng mga mobile device, at ang mga ito ay ilan lamang sa maraming halimbawa.
Ang pangunahing problema ay ang mga administratibong account na may ganap na pag-access ay kinakailangan upang gumana nang maayos, at samakatuwid hindi sila maaaring gumana gamit ang konsepto ng pamamahala ng mga application na may pinakamababang pribilehiyo, na kung saan ay ang pinakamahusay na kasanayan sa seguridad. Kung ang mga account na ito ay nagbago ng mga pribilehiyo at mga pahintulot, ang application ay malamang na hindi makapagtrabaho. Kaya, binibigyan sila ng puno at walang limitasyong access sa trabaho, na isang napakalaking lugar para sa pag-atake.
Sa kaso ng mga solarwinds, ito ay eksakto kung ano ang nangyari. Ang application mismo ay nakompromiso sa pamamagitan ng awtomatikong pag-update, at ang mga attacker ay gumagamit ng walang limitasyong privileged access sa kapaligiran ng biktima gamit ang application na ito. Ang pag-atake ay maaaring gumanap ng halos anumang mga gawain na itinago ng mga solarwind, at kahit na sinubukan nang napakahirap na huwag gawin ang mga ito sa mga sistema kung saan may mga paraan ng pagsubaybay at pagtiyak ng kaligtasan ng mga advanced na vendor. Kaya, ito ay nagiging halata tulad ng sumusunod: Kung ang malisyosong code ay sapat na sopistikadong upang maiwasan ang mga solusyon sa seguridad at gawin lamang ito sa mga bagay na kung saan maaari itong maiwasan ang pagtuklas, ito ay gawin ito gamit ang global shared administrative privileges. Walang solusyon ang maaaring makita at harangan ang gayong pag-atake.
Noong nakaraang taon sa aming blog, kung saan binigyan namin ang cybersecurity forecast para sa 2020, una naming inilagay ang isang pagtaas sa malisyosong mga awtomatikong pag-update. Kaya, bagaman ang kabuuang banta ay hindi isang hindi alam o hindi inaasahang, sukat at mapanirang mga kahihinatnan ng partikular na pag-atake ng solarwinds ay tunog ng mahabang panahon.
Paano upang maiwasan o alisin ang mga pag-atake sa organisasyon kung saan ang mga minanang aplikasyon ay kasangkot
May isang malaking tanong dito: Paano namin mai-upgrade ang aming mga kapaligiran at hindi nakasalalay sa mga application at mga account na nangangailangan ng labis na mga pribilehiyo, na hindi ligtas?
Una sa lahat, may karamihan sa mga minanang aplikasyon, ang mga solusyon para sa pamamahala ng network o pamamahala ng mga kahinaan, halimbawa, batay sa teknolohiya ng pag-scan ay lahat sa pagkakasunud-sunod. Lamang hindi napapanahong teknolohiya at mga modelo ng seguridad upang ipatupad ang naturang mga application. Isang bagay na nangangailangan ng pagbabago.
Kung sa tingin mo na ang mga paglabag sa solarwinds ay ang pinakamasamang bagay na nangyari sa larangan ng cybersecurity, maaari kang maging tama. Para sa mga propesyonal sa larangan ng cybersecurity, na kung saan ay naalala ng Sasser, Blaster, Big Yellow, Mirai at Wannacry, ang dami ng mga impluwensya sa sistema ay maihahambing, ngunit ang target at kargamento ng mga worm na ito ay walang anumang paghahambing sa Atake ng solarwinds.
Ang malubhang pagbabanta ay umiiral na dose-dosenang mga taon, ngunit hindi pa namin nakita ang mapagkukunan upang ma-attacked kaya sopistikadong na ang lahat ng mga potensyal na biktima at ang mga kahihinatnan ng pag-atake ay hindi kilala sa amin sa ngayon. Kapag naabot ng Sasser o Wannacry ang sistema, alam ng kanilang mga may-ari ang tungkol dito. Kahit na sa kaso ng mga virus ng extortion, matututunan mo ang tungkol sa mga kahihinatnan sa loob ng maikling panahon.
May kaugnayan sa solarwinds isa sa mga pangunahing layunin ng attackers ay mananatiling hindi napapansin. At huwag kalimutan na ngayon ang parehong pandaigdigang problema ay umiiral sa iba pang mga minanang aplikasyon. Para sa organisasyon ng mga pag-atake sa libu-libong mga kumpanya, ang iba pang mga application na may pandaigdigang ibinahaging mga pribilehiyo ng administratibo sa aming media ay maaaring gamitin, na hahantong sa mga sumisindak na resulta.
Sa kasamaang palad, ito ay hindi isang kahinaan na nangangailangan ng pagwawasto, ngunit isang hindi awtorisadong paggamit ng mga kakayahan ng application na nangangailangan ng mga pribilehiyo na ito.
Kaya kung saan magsisimula?
Una sa lahat, kailangan nating kilalanin at tuklasin ang lahat ng mga application sa ating kapaligiran, na kinakailangan tulad ng labis na mga pribilehiyo:
- Gamit ang tool sa pagtuklas ng klase ng enterprise, matukoy kung aling mga application ang may parehong privileged account sa maramihang mga system. Ang mga kredensyal ay malamang na karaniwan at maaaring magamit para sa pahalang na pamamahagi.
- Gumawa ng isang imbentaryo ng grupo ng grupo ng mga administrator ng domain at tukuyin ang lahat ng mga account ng application o mga serbisyo na naroroon. Anumang application na nangangailangan ng mga pribilehiyo ng administrator ng domain ay isang mataas na panganib.
- I-browse ang lahat ng mga application na nasa iyong global antivirus exception list (kumpara sa mga eksepsiyon sa mga partikular na node). Sila ay kasangkot sa una at pinakamahalagang hakbang ng iyong endpoint security stack - maiwasan ang malware.
- I-browse ang listahan ng software na ginagamit sa enterprise at tukuyin kung aling mga pribilehiyo ang kinakailangan ng isang application upang gumana at magsagawa ng mga awtomatikong pag-update. Makakatulong ito na matukoy kung kailangan ang mga pribilehiyo ng lokal na administrator o mga lokal na administrator account para sa tamang operasyon ng application. Halimbawa, ang isang impersonal na account para sa pagtaas ng mga pribilehiyo ng aplikasyon ay maaaring magkaroon ng isang account sa isang lokal na node para sa layuning ito.
Pagkatapos ay dapat naming ipatupad kung saan posible na pamahalaan ang mga application batay sa minimum na kinakailangang mga pribilehiyo. Ipinahihiwatig nito ang pagtanggal ng lahat ng labis na pribilehiyo ng aplikasyon. Gayunpaman, tulad ng nabanggit sa itaas, hindi laging posible. Sa wakas, upang maalis ang pangangailangan para sa global shared privileged accounts, maaaring kailangan mo ang mga sumusunod:
- I-update ang application sa isang mas bagong solusyon
- Pumili ng isang bagong vendor upang malutas ang problema
- Isalin ang workload sa cloud o ibang imprastraktura
Isaalang-alang bilang isang halimbawa ng mga kahinaan sa pamamahala. Ang mga tradisyunal na mga scanner ng kahinaan ay gumagamit ng isang global shared privileged account (minsan higit sa isa) upang malayuang kumonekta sa target at pagpapatunay bilang isang administratibong account upang matukoy ang mga kahinaan. Kung ang node ay nakompromiso sa pamamagitan ng isang malisyosong pag-scan ng software, pagkatapos ay ang hash na ginagamit para sa pagpapatunay ay maaaring kolektahin at gamitin para sa pahalang na pamamahagi sa network at magtatag ng isang pare-pareho ang presensya.
Ang mga venndors ng mga sistema ng pamamahala ng kahinaan ay natanto ang problemang ito at sa halip na mag-imbak ng isang pare-parehong administratibong account para sa pag-scan, ang mga ito ay isinama sa isang ginustong access control solution (PAM) upang makakuha ng kasalukuyang privileged account upang makumpleto ang pag-scan. Kapag walang mga solusyon sa PAM, ang mga vendor ng mga tool sa pamamahala ng mga kahinaan ay nagbawas din ng panganib, pagbuo ng mga lokal na ahente at mga tool na maaaring gumamit ng API upang suriin sa halip ng isang solong ibinahaging administratibong account para sa awtorisadong pag-scan.
Ang aking pananaw sa halimbawang ito ay simple: Ang minanang teknolohiya sa pamamahala ng kahinaan ay umunlad sa isang paraan na hindi na ito nagbubunyag ng mga customer na may malaking panganib na nauugnay sa mga pandaigdigang aplikasyon ng aplikasyon at pag-access sa mga ito. Sa kasamaang palad, maraming iba pang mga teknolohiya ng vendor ang hindi nagbago ng kanilang mga desisyon, at ang pagbabanta ay nananatiling hanggang ang mga lumang solusyon ay pinalitan o pinabago.
Kung mayroon kang mga tool upang pamahalaan kung aling mga global shared administrative account ang kinakailangan, pagkatapos ay ang gawain ng higit sa lahat na kahalagahan para sa 2021 ay dapat na palitan ang mga tool na ito o ang kanilang pag-update. Siguraduhin na ang mga solusyon na iyong binuo ay binuo ng mga vendor na naghahatid mula sa banta na ito.
Sa wakas, isipin ang pamamahala ng mga pribilehiyo ng mga aplikasyon batay sa prinsipyo ng hindi bababa sa mga kinakailangang pribilehiyo. Ang mga solusyon sa PAM ay dinisenyo upang mag-imbak ng mga lihim at payagan ang mga application na gumana sa isang minimum na antas ng pribilehiyo, kahit na hindi sila orihinal na dinisenyo upang gumana sa mga application na ito.
Ang pagbalik sa aming halimbawa, ang mga solusyon sa pamamahala ng mga kahinaan ay maaaring gumamit ng mga pribilehiyo ng UNIX at Linux upang magsagawa ng mga pag-scan ng kahinaan, kahit na hindi sila ibinigay sa kanilang sariling privileged access. Ang tool ng Pamamahala ng Pribilehiyo ay nagpapatupad ng mga utos sa ngalan ng scanner at ibabalik ang mga resulta. Ginagamit nito ang mga utos ng scanner na may pinakamaliit na mga pribilehiyo at hindi tumutupad ang hindi naaangkop na mga utos nito, halimbawa, i-off ang system. Sa isang kahulugan, ang prinsipyo ng pinakamaliit na pribilehiyo sa mga platform na ito ay kahawig ng sudo at maaaring makontrol, limitahan at isagawa ang mga application na may mga pribilehiyo, anuman ang proseso ng pagtawag sa utos. Ito ay isang paraan lamang upang pamahalaan ang privileged access ay maaaring ilapat sa ilang mga hindi napapanahong mga application sa mga kaso kung saan ang mga labis na pribilehiyo ay kinakailangan at ang naaangkop na kapalit ay hindi posible.
Nabawasan ang ciberian sa 2021 at higit pa: ang mga sumusunod na pangunahing hakbang
Anumang organisasyon ay maaaring maging target ng mga intruder, at anumang application na may labis na mga pribilehiyo ay maaaring gamitin laban sa buong kumpanya. Ang insidente ng solarwinds ay dapat hikayatin ang lahat sa atin na baguhin at kilalanin ang mga application na ang trabaho ay nauugnay sa mga panganib ng labis na pribilehiyo na pag-access. Dapat nating matukoy kung paano mo mapapalambot ang banta, kahit na imposibleng alisin ito ngayon.
Sa huli, ang iyong mga pagsisikap upang mabawasan ang mga panganib at alisin ang kanilang mga kahihinatnan ay maaaring humantong sa iyo sa pagpapalit ng mga application o paglipat sa cloud. Walang alinlangang isa - ang konsepto ng privileged access management ay naaangkop sa mga application pati na rin sa mga tao. Kung ang iyong mga application ay hindi maayos na kontrolado, maaari nilang mapahamak ang kaligtasan ng buong enterprise. At walang dapat magkaroon ng walang limitasyong pag-access sa iyong kapaligiran. Ito ay isang mahina na link na dapat nating kilalanin, tanggalin at iwasan sa hinaharap.
Mas kawili-wiling materyal sa cisoclub.ru. Mag-subscribe sa amin: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Bago | Youtube | Pulso.