針對Solarwinds Orion滲透的複雜攻擊和成千上萬的客戶的隨後妥協是以其規模和潛在後果引起的。
對於殘忍的課程年來,這種攻擊是一個非常響亮和令人不快的提醒 - 任何人都可以破解。任何人。沒有安全控制,軟件,流程和培訓無法阻止每次攻擊。您可以隨時努力降低風險,但要擺脫它們永遠不會成功。
我們還回顧說,我們創造了一個驚人的數字基礎設施,在其妥協和捕獲環境和秘密的情況下,可能對我們的世界產生巨大影響,我們在大流行期間慢慢習慣的經濟和生活。對於攻擊者來說,這種數字基礎設施也是通過盜竊秘密,知識產權,獲取數據或勒索的要求,以及對手計劃的破壞,以及對手計劃的破壞,這也是積累巨大財富的手段。
通信攻擊Solarwinds和Application Pratileges
沒有供應商可以保證他的決定將完全防止對Solarwinds的攻擊,我們應該謹此陳述。與此同時,公司可以採取戰略步驟,以防止將來的這種攻擊在實現和決定管理繼承基礎設施的基本問題之一中。此基本安全問題是需要確保任何應用程序都無限制訪問網絡中的所有內容,或者在特權訪問權限方面,具有管理員或root權限的全局共享訪問。什麼是全球共享管理訪問權限?這是環境的無限帳戶訪問(條目)。這通常意味著沒有限制的應用程序需要對安全策略進行異常。例如,帳戶可以包含在應用程序控制系統列表中,並且被排除在防病毒軟件之外,因此它不會被阻止,而不是標記為標誌。該帳戶可以代表用戶,系統本身或在環境中的任何資產或資源上工作。許多網絡安全專業人士稱這種類型的訪問“上帝特權”,它帶來了巨大,不可難以置的風險。
全局共享管理訪問通常用於當地技術的監控,管理和自動化的繼承的應用中。全局共享管理員帳戶在許多工具中為在我們的環境中安裝的許多工具提供服務。這包括網絡管理的解決方案,漏洞管理解決方案,用於檢測管理移動設備的資產和解決方案的工具,這些都只是多個示例中的一些。
主要問題是,需要完全訪問的這些管理帳戶正常工作,因此他們無法使用具有最低權限的管理應用程序的概念,這是最好的安全實踐。如果這些帳戶已撤銷權限和權限,則應用程序將很可能無法工作。因此,它們具有完全和無限的工作進入,這是一種攻擊的大規模區域。
在Solarwinds的情況下,這正是發生的事情。應用程序本身通過自動更新受到損害,攻擊者使用此應用程序在受害者環境中使用無限的特權訪問。攻擊可能會對Solarwinds偽裝的任何任務進行執行,甚至努力努力執行它們的系統,在其中存在監控和確保先進供應商安全的系統上。因此,它變得明顯如下:如果惡意代碼更複雜以規避安全解決方案並僅在其避免檢測的那些對像上執行它,它將使用全局共享管理權限執行此操作。沒有解決方案可以檢測和阻止這種攻擊。
去年在我們的博客中,我們為2020年提供了網絡安全預測,我們首先增加了惡意自動更新。因此,雖然總威脅不是一個未知或意外的,但這種特殊攻擊的規模和破壞性後果太陽能的聲音很長一段時間。
如何防止或消除組織涉及其遺傳應用程序的攻擊
這裡有一個大問題:我們如何升級我們的環境,並不依賴於需要過度特權的應用程序和帳戶,這是不安全的?
首先,大多是這種繼承的應用程序,例如,基於掃描技術的網絡管理或漏洞管理的解決方案都是按順序的。只是過時的技術和安全模型來實施此類應用程序。需要改變。
如果您認為SolarWinds違規是網絡安全領域發生的最糟糕的事情,您可能是對的。對於網絡安全領域的專業人士,這些專業人員被薩斯,炸彈,大黃色,米拉和凡人紀念,系統對系統的影響量將是可比的,但這些蠕蟲的目標和有效載荷與該蠕蟲的目標和有效載荷沒有任何比較Solarwinds攻擊。
嚴重的威脅已經存在數十年,但在我們已經看到資源遭到攻擊之前,從未如此復雜的資源,到目前為止,我們不知道攻擊的所有潛在受害者和攻擊的後果。當薩斯或瓦南公行命中系統時,他們的主人知道它。即使在敲詐病毒的情況下,您也將在短時間內了解後果。
與Solarwinds有關攻擊者的主要目標之一是仍然沒有註意到。並且不要忘記今天與其他繼承的應用程序存在相同的全局問題。對於成千上萬公司的攻擊組織,可以使用其他具有全球共享行政權限的其他應用程序,這將導致可怕的結果。
不幸的是,這不是一種需要更正的漏洞,而是未經授權使用需要這些權限的應用程序的功能。
所以哪裡開始?
首先,我們需要識別和檢測我們環境中的所有應用程序,這是需要這種過度的權限:
- 使用企業類檢測工具,確定哪些應用程序在多個系統上具有相同的特權帳戶。憑據最有可能是常見的並且可用於水平分佈。
- 製作域管理員組組的庫存,並標識存在的所有應用程序帳戶或服務。需要域管理員權限的任何應用程序都是高風險。
- 瀏覽全局防病毒狀態列表中的所有應用程序(與特定節點的異常相比)。它們將參與終端安全堆棧的第一個和最重要的步驟 - 防止惡意軟件。
- 瀏覽企業中使用的軟件列表,並確定應用程序需要哪些權限並執行自動更新。這可以幫助確定是否需要本地管理員的權限或本地管理員帳戶的應用程序正確的操作。例如,用於增加應用程序權限的非人交腦賬戶可以在本地節點上具有賬戶以此目的。
然後我們必須在何處實現,可以根據最小必要的權限管理應用程序。它意味著刪除應用程序的所有過度特權。然而,如上所述,並不總是可能的。最後,為了消除對全局共享特權賬戶的需求,您可能需要如下:
- 將應用程序更新到更新的解決方案
- 選擇一個新供應商來解決問題
- 將工作量轉換為雲或其他基礎架構
考慮作為示例管理漏洞。傳統漏洞掃描儀使用全局共享特權帳戶(有時多個)來遠程連接到目標和身份驗證作為管理帳戶以確定漏洞。如果節點由惡意軟件掃描洩露,則可以收集用於認證的散列,並用於網絡上的水平分佈並建立常量存在。
漏洞管理系統的venndors已經意識到了這個問題,而不是存儲持續的管理賬戶進行掃描,它們與首選訪問控制解決方案(PAM)集成,以獲取當前特權帳戶以完成掃描。當沒有PAM解決方案時,漏洞管理工具的供應商也減少了風險,開發了可以使用API來評估的本地代理和工具,而不是用於授權掃描的單個共享管理帳戶。
我對這個例子的觀點很簡單:繼承的漏洞管理技術已經發展,即它不再暴露出與全球應用程序帳戶相關的巨大風險和訪問它們的巨大風險。不幸的是,許多其他供應商技術沒有改變他們的決定,威脅仍然存在,直到舊解決方案被更換或現代化。
如果您有工具來管理所需的全局共享管理帳戶,那麼2021的至關重要率的任務應替換這些工具或更新。確保您購買的解決方案是由已經從這種威脅提供的供應商開發的。
最後,考慮根據最不需要權限的原則管理應用程序的特權。 PAM解決方案旨在存儲秘密並允許應用程序使用最低權限級別,即使它們最初未設計用於與這些應用程序合作。
返回我們的示例,漏洞管理解決方案可以使用UNIX和Linux權限來執行漏洞掃描,即使它們未提供自己的特權訪問權限。權限管理工具代表掃描儀執行命令並返回結果。它執行具有最小權限的掃描儀命令,並且不符合其不適當的命令,例如,關閉系統。從某種意義上說,這些平台上最小權限的原理類似於sudo,可以控制,限制和執行具有權限的應用程序,而不管調用命令。這只是管理特權訪問的一種方法可以應用於某些過時的應用程序,因為不需要過多的權限並且不可能替換相應的替換。
2021年的纖由之人減少,進一步:以下主要步驟
任何組織都可以是入侵者的目標,並且任何具有過度特權的任何申請都可以針對整個公司使用。 Solarwinds事件必須鼓勵我們所有人修改並確定其工作與過度特權訪問的風險相關的那些申請。我們必須確定如何軟化威脅,即使現在不可能消除它。
最終,您努力降低風險並消除其後果可以導致您替換應用程序或過渡到雲。無疑是一個 - 特權訪問管理的概念適用於申請以及人員。如果您的申請不正確控制,他們可以危及整個企業的安全性。沒有任何東西在您的環境中應該無限制地訪問。這是我們必須在未來識別,刪除和避免的一個弱點鏈接。
Cisoclub.ru上的更有趣的材料。訂閱我們:Facebook | VK |推特| Instagram |電報|禪|信使| ICQ新| YouTube |脈衝。