Một cuộc tấn công tinh vi hướng đến sự thâm nhập của orion Solarwinds và sự thỏa hiệp tiếp theo của hàng ngàn khách hàng của mình đang nổi bật với quy mô và hậu quả tiềm năng của nó.
Trong năm bài học tàn nhẫn, cuộc tấn công này phục vụ như một lời nhắc rất lớn và khó chịu - bất cứ ai cũng có thể hack. Bất kỳ ai. Không có kiểm soát an ninh, phần mềm, quy trình và đào tạo không thể chặn từng cuộc tấn công. Bạn luôn có thể luôn luôn phấn đấu để giảm thiểu rủi ro, nhưng để thoát khỏi chúng sẽ không bao giờ thành công.
Chúng tôi cũng nhớ rằng chúng tôi đã tạo ra một cơ sở hạ tầng kỹ thuật số tuyệt vời, trong trường hợp thỏa hiệp và nắm bắt môi trường và bí mật của nó, có thể có tác động lớn đến thế giới của chúng ta, nền kinh tế và cuộc sống mà chúng ta đang dần quen với một đại dịch. Đối với một kẻ tấn công, cơ sở hạ tầng kỹ thuật số này cũng là một phương tiện tích lũy một sự giàu có lớn bằng cách đánh cắp bí mật, sở hữu trí tuệ, yêu cầu truy cập vào dữ liệu hoặc tống tiền, cũng như phá hoại các kế hoạch của đối thủ, cho dù là đối thủ hoặc quốc gia.
Truyền thông tấn công Solarwinds và đặc quyền ứng dụng
Không có nhà cung cấp có thể đảm bảo rằng quyết định của ông sẽ ngăn chặn sự tấn công hoàn toàn vào Selarwinds, và chúng ta nên cẩn thận với những tuyên bố đó. Đồng thời, các công ty có thể thực hiện các bước chiến lược để ngăn chặn loại tấn công này trong tương lai nếu họ nhận ra và quyết định một trong những vấn đề cơ bản của việc quản lý cơ sở hạ tầng di truyền. Vấn đề bảo mật cơ bản này là nhu cầu đảm bảo rằng bất kỳ ứng dụng nào có quyền truy cập không giới hạn vào tất cả mọi thứ trong mạng hoặc, về quyền truy cập đặc quyền, quyền truy cập chia sẻ toàn cầu với quản trị viên hoặc quyền gốc.Truy cập quản trị chung toàn cầu là gì? Đây là một truy cập tài khoản không giới hạn (các mục) cho môi trường. Điều này thường có nghĩa là ứng dụng không có hạn chế cần phải thực hiện các ngoại lệ cho các chính sách bảo mật. Ví dụ: một tài khoản có thể được đưa vào danh sách các hệ thống điều khiển ứng dụng và được loại trừ khỏi phần mềm chống vi-rút, do đó nó không bị chặn và không được đánh dấu bằng cờ. Tài khoản có thể hoạt động thay mặt người dùng, chính hệ thống hoặc ứng dụng trên bất kỳ tài sản hoặc tài nguyên nào trong môi trường. Nhiều chuyên gia an ninh mạng gọi loại truy cập này "Đặc quyền thần", nó mang theo một rủi ro lớn, không thể hiện.
Truy cập hành chính chung toàn cầu thường được sử dụng trong các ứng dụng được thừa kế để theo dõi, quản lý và tự động hóa công nghệ địa phương. Tài khoản quản trị viên chia sẻ toàn cầu đang phục vụ trong nhiều công cụ được cài đặt tại tiền đề và làm việc trong môi trường của chúng tôi. Điều này bao gồm các giải pháp quản lý mạng, giải pháp quản lý lỗ hổng, các công cụ để phát hiện tài sản và giải pháp để quản lý các thiết bị di động và đây chỉ là một số trong nhiều ví dụ.
Vấn đề chính là các tài khoản hành chính này có quyền truy cập đầy đủ là cần thiết để hoạt động đúng, và do đó họ không thể hoạt động bằng cách sử dụng khái niệm quản lý các ứng dụng với các đặc quyền thấp nhất, đây là thực hành bảo mật tốt nhất. Nếu các tài khoản này đã thu hồi các đặc quyền và quyền, ứng dụng rất có thể sẽ không thể hoạt động. Do đó, chúng được cung cấp quyền truy cập đầy đủ và không giới hạn vào công việc, đó là một khu vực lớn để tấn công.
Trong trường hợp Solarwinds, đây chính xác là những gì đã xảy ra. Bản thân ứng dụng đã bị xâm phạm thông qua cập nhật tự động và những kẻ tấn công đã sử dụng quyền truy cập đặc quyền không giới hạn trong môi trường nạn nhân bằng ứng dụng này. Tấn công có thể thực hiện hầu hết mọi nhiệm vụ được ngụy trang bởi Solarwinds, và thậm chí đã cố gắng rất nhiều để không thực hiện chúng trên các hệ thống mà có phương tiện giám sát và đảm bảo sự an toàn của các nhà cung cấp tiên tiến. Do đó, nó trở nên rõ ràng như sau: Nếu mã độc là đủ tinh vi để phá vỡ các giải pháp bảo mật và chỉ thực hiện nó trên các đối tượng đó có thể tránh được phát hiện, nó sẽ thực hiện việc này bằng cách sử dụng các đặc quyền quản trị chung toàn cầu. Không có giải pháp nào có thể phát hiện và chặn một cuộc tấn công như vậy.
Năm ngoái trong blog của chúng tôi, trong đó chúng tôi đã đưa ra dự báo an ninh mạng cho năm 2020, trước tiên chúng tôi đã tăng sự gia tăng các bản cập nhật tự động độc hại. Do đó, mặc dù sự đe dọa của tổng số không phải là một hậu quả vô danh hoặc bất ngờ, tỷ lệ và phá hoại của cuộc tấn công đặc biệt này Solarwinds sẽ phát ra âm thanh trong một thời gian dài.
Làm thế nào để ngăn chặn hoặc loại bỏ các cuộc tấn công trong tổ chức mà các ứng dụng được di truyền có liên quan
Có một câu hỏi lớn ở đây: Làm cách nào chúng tôi có thể nâng cấp môi trường của chúng tôi và không phụ thuộc vào các ứng dụng và tài khoản yêu cầu các đặc quyền quá mức, không an toàn?
Trước hết, với hầu hết các ứng dụng được thừa kế như vậy, các giải pháp quản lý mạng hoặc quản lý lỗ hổng, ví dụ, dựa trên công nghệ quét đều theo thứ tự. Chỉ là công nghệ lỗi thời và các mô hình bảo mật để thực hiện các ứng dụng đó. Một cái gì đó đòi hỏi một sự thay đổi.
Nếu bạn nghĩ rằng các vi phạm Selarwinds là điều tồi tệ nhất từng xảy ra trong lĩnh vực an ninh mạng, bạn có thể đúng. Đối với những chuyên gia trong lĩnh vực an ninh mạng, được nhớ đến bởi Sasser, Blaster, Big Yellow, Mirai và Wannacry, khối lượng ảnh hưởng đến hệ thống sẽ có thể so sánh, nhưng mục tiêu và tải trọng của những con sâu này không có bất kỳ so sánh nào với Solarwinds tấn công.
Các mối đe dọa nghiêm trọng đã tồn tại hàng chục năm, nhưng không bao giờ trước khi chúng ta thấy nguồn lực bị tấn công rất tinh vi rằng tất cả các nạn nhân tiềm năng và hậu quả của các cuộc tấn công không được biết đến với chúng ta cho đến nay. Khi Sasser hoặc Wannacry tấn công hệ thống, chủ sở hữu của họ biết về nó. Ngay cả trong trường hợp virus tống tiền, bạn sẽ tìm hiểu về hậu quả trong một khoảng thời gian ngắn.
Liên quan đến Solarwinds, một trong những mục tiêu chính của những kẻ tấn công là không được chú ý. Và đừng quên rằng ngày nay, cùng một vấn đề toàn cầu tồn tại với các ứng dụng được kế thừa khác. Đối với việc tổ chức các cuộc tấn công vào hàng ngàn công ty, các ứng dụng khác với các đặc quyền quản trị chung toàn cầu trong phương tiện truyền thông của chúng tôi có thể được sử dụng, điều này sẽ dẫn đến kết quả đáng sợ.
Thật không may, đây không phải là một lỗ hổng đòi hỏi phải sửa chữa, mà là một cách sử dụng trái phép các khả năng của ứng dụng cần những đặc quyền này.
Vậy bắt đầu từ đâu?
Trước hết, chúng ta cần xác định và phát hiện tất cả các ứng dụng trong môi trường của chúng ta, cần có những đặc quyền quá mức như vậy:
- Sử dụng công cụ phát hiện lớp Enterprise, xác định ứng dụng nào có cùng một tài khoản đặc quyền trên nhiều hệ thống. Các thông tin có khả năng phổ biến nhất và có thể được sử dụng để phân phối ngang.
- Tạo một hàng tồn kho của nhóm nhóm Quản trị viên tên miền và xác định tất cả các tài khoản hoặc dịch vụ ứng dụng có mặt. Bất kỳ ứng dụng nào cần các đặc quyền của quản trị viên tên miền đều có nguy cơ cao.
- Duyệt tất cả các ứng dụng nằm trong danh sách ngoại lệ Antivirus toàn cầu của bạn (so với các ngoại lệ trên các nút cụ thể). Họ sẽ tham gia vào bước đầu tiên và quan trọng nhất trong ngăn xếp bảo mật điểm cuối của bạn - Ngăn chặn phần mềm độc hại.
- Duyệt danh sách phần mềm được sử dụng trong Enterprise và xác định đặc quyền nào là cần thiết bởi một ứng dụng để hoạt động và thực hiện các bản cập nhật tự động. Điều này có thể giúp xác định xem các đặc quyền của quản trị viên cục bộ là cần thiết hoặc tài khoản quản trị viên cục bộ cho hoạt động chính xác của ứng dụng. Ví dụ: một tài khoản cá nhân để tăng các đặc quyền của ứng dụng có thể có một tài khoản trên một nút cục bộ cho mục đích này.
Sau đó, chúng ta phải thực hiện nơi có thể quản lý các ứng dụng dựa trên các đặc quyền cần thiết tối thiểu. Nó ngụ ý việc loại bỏ tất cả các đặc quyền quá mức của ứng dụng. Tuy nhiên, như đã đề cập ở trên, không phải lúc nào cũng có thể. Cuối cùng, để loại bỏ nhu cầu về các tài khoản đặc quyền được chia sẻ toàn cầu, bạn có thể cần như sau:
- Cập nhật ứng dụng vào một giải pháp mới hơn
- Chọn một nhà cung cấp mới để giải quyết vấn đề
- Dịch khối lượng công việc trong đám mây hoặc cơ sở hạ tầng khác
Coi như một lỗ hổng quản lý ví dụ. Các máy quét lỗ hổng truyền thống sử dụng tài khoản đặc quyền được chia sẻ toàn cầu (đôi khi có nhiều hơn một) để kết nối từ xa với mục tiêu và xác thực dưới dạng tài khoản quản trị để xác định các lỗ hổng. Nếu nút bị xâm nhập bởi quét phần mềm độc hại, thì hàm băm được sử dụng để xác thực có thể được thu thập và được sử dụng để phân phối ngang qua mạng và thiết lập sự hiện diện không đổi.
Venndors của hệ thống quản lý lỗ hổng đã nhận ra vấn đề này và thay vì lưu trữ tài khoản quản trị không đổi để quét, chúng được tích hợp với giải pháp kiểm soát truy cập ưa thích (PAM) để có được tài khoản đặc quyền hiện tại để hoàn tất quá trình quét. Khi không có giải pháp PAM, các công cụ quản lý lỗ hổng của các công cụ quản lý lỗ hổng cũng làm giảm rủi ro, phát triển các đại lý và công cụ địa phương có thể sử dụng API để đánh giá thay vì một tài khoản quản trị được chia sẻ để quét ủy quyền.
Quan điểm của tôi về ví dụ này rất đơn giản: công nghệ quản lý lỗ hổng đã phát triển theo cách mà nó không còn tiếp xúc với khách hàng có rủi ro rất nhiều liên quan đến tài khoản ứng dụng toàn cầu và truy cập vào chúng. Thật không may, nhiều công nghệ nhà cung cấp khác đã không thay đổi quyết định của mình và các mối đe dọa vẫn còn cho đến khi các giải pháp cũ được thay thế hoặc hiện đại hóa.
Nếu bạn có các công cụ để quản lý tài khoản quản trị chung chung nào là bắt buộc, thì nhiệm vụ quan trọng tối quan đến 2021 nên thay thế các công cụ này hoặc cập nhật của họ. Đảm bảo rằng các giải pháp bạn mua được phát triển bởi các nhà cung cấp đã cung cấp từ mối đe dọa này.
Cuối cùng, hãy nghĩ về việc quản lý các đặc quyền của các ứng dụng dựa trên nguyên tắc các đặc quyền ít cần thiết nhất. Các giải pháp PAM được thiết kế để lưu trữ bí mật và cho phép các ứng dụng hoạt động với mức đặc quyền tối thiểu, ngay cả khi chúng không được thiết kế ban đầu để hoạt động với các ứng dụng này.
Trả về ví dụ của chúng tôi, các giải pháp quản lý lỗ hổng có thể sử dụng các đặc quyền Unix và Linux để thực hiện quét lỗ hổng, ngay cả khi chúng không được cung cấp quyền truy cập đặc quyền của riêng họ. Công cụ quản lý đặc quyền thực thi các lệnh thay mặt cho máy quét và trả về kết quả. Nó thực thi các lệnh máy quét với các đặc quyền nhỏ nhất và không đáp ứng các lệnh không phù hợp của nó, ví dụ, tắt hệ thống. Theo một nghĩa nào đó, nguyên tắc của các đặc quyền nhỏ nhất trên các nền tảng này giống như sudo và có thể kiểm soát, giới hạn và thực thi các ứng dụng với các đặc quyền, bất kể quá trình gọi lệnh. Đây chỉ là một cách để quản lý quyền truy cập đặc quyền có thể được áp dụng cho một số ứng dụng lỗi thời trong trường hợp yêu cầu đặc quyền quá mức và không thể thay thế phù hợp.
Giảm Ciberia vào năm 2021 và hơn nữa: Các bước chính sau đây
Bất kỳ tổ chức nào cũng có thể là mục tiêu của những kẻ xâm nhập, và bất kỳ ứng dụng nào có đặc quyền quá mức có thể được sử dụng đối với toàn bộ công ty. Sự cố Solarwinds phải khuyến khích tất cả chúng ta sửa đổi và xác định các ứng dụng đó có tác phẩm có liên quan đến rủi ro truy cập đặc quyền quá mức. Chúng ta phải xác định cách bạn có thể làm dịu mối đe dọa, ngay cả khi không thể loại bỏ nó ngay bây giờ.
Cuối cùng, những nỗ lực của bạn để giảm thiểu rủi ro và loại bỏ hậu quả của họ có thể khiến bạn thay thế các ứng dụng hoặc chuyển sang đám mây. Không còn nghi ngờ gì nữa - khái niệm quản lý truy cập đặc quyền được áp dụng cho các ứng dụng cũng như với mọi người. Nếu các ứng dụng của bạn không được kiểm soát đúng cách, chúng có thể gây nguy hiểm cho sự an toàn của toàn bộ doanh nghiệp. Và không có gì có thể có quyền truy cập không giới hạn trong môi trường của bạn. Đây là một liên kết yếu mà chúng ta phải xác định, xóa và tránh trong tương lai.
Tài liệu thú vị hơn trên Cisoclub.ru. Theo dõi chúng tôi: Facebook | Vk |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ mới |. YouTube |. Xung.