«Ретроспективный» подход
«В старые времена было так… что это были старые времена» – Слим Чарльз, «Прослушка»
На протяжении нескольких десятилетий основной задачей стратегии корпоративной безопасности была защита заданного сетевого периметра. Компании вкладывали значительные средства в межсетевые экраны, системы обнаружения вторжений, защиту конечных точек и средства сегментации, и все это строилось на предположении, что организация будет в безопасности, если злоумышленникам не дать доступа к сети.
Во времена, когда пользователи, инфраструктура и приложения в основном находились в пределах четко очерченных границ, это предположение имело смысл, но в современном мире такая среда больше не существует.
Распространение облачных вычислений, использование SaaS, гибридные модели работы, микросервисы и соединения на основе API коренным образом изменили структуру корпоративных ИТ. Критически важные системы теперь расположены за пределами традиционных центров обработки данных, а сотрудники проходят аутентификацию за пределами доверенных сетей в сценариях BYOD (использование личных устройств). Поставщики также интегрируются непосредственно во внутренние системы, что означает, что идентификация (identity) является важнейшей плоскостью управления в современных условиях.
Современные злоумышленники больше не проникают в основном через скрытые технические уязвимости или драматически обходя периметровые меры; это были старые времена. В последнее время они входят в систему с украденными учетными данными, повторно использованными токенами сеансов или неправомерно использованными разрешениями на доступ. Последующий взлом может напоминать действия легитимного пользователя, поскольку с точки зрения системы это именно то, чем он и является — «легитимный пользователь, пытающийся войти в систему для выполнения легитимных действий».
Эта современная реальность требует переосмысления того, как руководители служб кибербезопасности воспринимают риски.
Размывание периметра
По мере того как рабочие нагрузки организаций перемещались в облако, аутентификация стала ключом к доступу практически ко всему важному: финансовым системам, платформам для совместной работы, данным клиентов, интеллектуальной собственности и административным средствам управления. Доступ все меньше определяется сетевым расположением и все больше — утверждениями об идентификации и правилами авторизации, особенно в сильно федеративных контекстах. Если злоумышленнику удается выдать себя за доверенную личность, многие традиционные средства защиты оказывают минимальное сопротивление благодаря системам единого входа (SSO), охватывающим несколько плоскостей аутентификации.
Программы безопасности, которые продолжают отдавать приоритет устойчивости периметра, не вкладывая сопоставимых средств в целостность идентификационных данных, фактически защищают модель угроз вчерашнего дня и останутся позади. Это связано с тем, что фокус сместился с вопросов о том, могут ли злоумышленники достичь сети, на вопросы о том, могут ли они украсть, изменить или злоупотребить идентификационными данными, которым система обычно доверяет.
Что на самом деле эксплуатируют современные взломы
При анализе современных паттернов взломов выявляются последовательные темы. Первоначальный доступ часто является результатом атак методом подбора учетных данных с использованием ранее использованных паролей, фишинга с согласием OAuth, предоставляющего разрешения на уровне приложений, фреймворков «атакующий-в-середине» (adversary-in-the-middle), перехватывающих потоки аутентификации, или фишинговых усилий по сбору учетных данных. Эти методы атак во многих случаях не используют эксплойты нулевого дня или сложное вредоносное ПО, поскольку они используют слабые места в том, как проверяются идентификационные данные и как управляются сеансы.
Попав в среду, злоумышленники используют плохо контролируемые служебные учетные записи, избыточные привилегии или неправильно настроенные назначения ролей для горизонтального продвижения после аутентификации. Возможности для сохранения присутствия создаются служебными учетными записями с широкими разрешениями, но слабым контролем, а сеансы также могут быть воспроизведены, благодаря токенам сеансов, независимым от контекста устройства.
Здесь взломы происходят в результате манипулирования отношениями доверия, заложенными в системы идентификации.
Ограничения многофакторной аутентификации (MFA)
Важным и значительным достижением в области корпоративной безопасности стало широкое использование многофакторной аутентификации (MFA). Однако представление о том, что MFA окончательно решило проблему компрометации идентификационных данных, является скорее отражением самоуверенности, чем реальности.
В действительности, предлагаемая защита и сила аутентификации в значительной степени зависят от деталей реализации и типа. MFA, основанная на push-уведомлениях, может быть скомпрометирована с помощью тактик утомления MFA (MFA fatigue), при которых повторяющиеся запросы вынуждают пользователей одобрять вредоносные запросы. Комплекты Adversary-in-the-middle проксируют потоки аутентификации в реальном времени, перехватывая сеансовые cookie-файлы после успешной проверки MFA с помощью некоторых фишинговых наборов, таких как Starkiller, использующих в последнее время живые страницы вместо статических, которые легко обнаружить.
Фишинг на основе OAuth полностью обходит защиту, ориентированную на пароли, убеждая пользователей предоставить авторизацию приложениям, и пользователи могут быть подвергнуты социальной инженерии для совершения этого.
Привилегии как множитель ущерба
Первоначальный доступ не всегда приводит к катастрофическим последствиям, поскольку серьезность взлома определяется тем, что разрешено делать скомпрометированной учетной записи. К сожалению, многие компании имеют большой «долг по привилегиям», накопленный за годы решений, продиктованных удобством. В ИТ-средах обычно наблюдаются следующие практики: широко назначенные привилегированные роли, которые редко пересматриваются; временный доступ, предоставленный для операционной целесообразности, который никогда не отзывается; и служебные учетные записи, иногда сохраняющие обширные права без адекватного мониторинга, как упоминалось выше.
Эти практики создают среды, в которых одна скомпрометированная учетная запись может привести к раскрытию конфиденциальных данных, нарушению операций или финансовому мошенничеству.
Принцип наименьших привилегий (POLP) широко поддерживается в отрасли, но на практике его реализация неравномерна. Установление моделей доступа «точно в срок» (just-in-time), обеспечение повышения привилегий на основе утверждения и проведение непрерывного анализа доступа требуют устойчивой координации между группами безопасности, ИТ-операциями и бизнес-заинтересованными сторонами, что может быть операционно сложным и «политически» чувствительным. Однако без этой дисциплины одна скомпрометированная учетная запись может повлечь за собой гораздо больший ущерб, чем необходимо. Таким образом, безопасность идентификационных данных выходит далеко за рамки механики аутентификации и должна рассматриваться как вопрос управления, основанный на целенаправленном, последовательно применяемом управлении привилегиями.
Повышение мониторинга идентификационных данных до основной функции безопасности
С помощью решений Extended Detection and Response (XDR) многие компании усовершенствовали свои возможности обнаружения конечных точек и сетевого мониторинга; однако телеметрия, связанная с идентификационными данными, часто получает относительно меньше внимания, и защищать это несоответствие становится все труднее.
Ранние индикаторы компрометации, такие как аномальное поведение при входе в систему, невозможные или нетипичные маршруты перемещения, подозрительные правила почтовых ящиков, необычные предоставления разрешений OAuth и быстрое повышение привилегий, часто служат ранними индикаторами компрометации. Понятно, что организации сосредоточены на атаках программ-вымогателей, эксфильтрации данных и утечках, однако эти сигналы, основанные на идентификационных данных, должны собираться, коррелироваться и обрабатываться с той же серьезностью и ловкостью, что и обнаружения вредоносного ПО. Если пороговые значения настроены неправильно или оповещения рассматриваются как второстепенный шум, атаки, основанные на идентификационных данных, могут оставаться необнаруженными, выглядя при этом операционно нормальными.
Учитывая, что действительные учетные данные теперь лежат в основе многих сценариев взломов, журналы идентификационных данных следует рассматривать как основные судебно-медицинские доказательства, а не как дополнительный контекст. Центры безопасности (SOC), которые повышают мониторинг идентификационных данных до стратегического приоритета, лучше подготовлены для обнаружения и сдерживания злоупотреблений до того, как они обострятся.
Переориентация инвестиций в безопасность на риск идентификации
Распределение ресурсов и надзор руководства меняются, когда идентификация определяется как основная поверхность атаки. Поскольку они составляют фундаментальную защитную архитектуру облачного предприятия, инвестиции в более надежные методы аутентификации, аппаратные учетные данные, политики условного доступа, учитывающие контекстные сигналы риска, и строгие структуры управления привилегиями не должны рассматриваться как инкрементальные улучшения.
Согласованность бизнес-процедур и мер безопасности также имеет большое значение. Компрометация идентификационных данных должна рассматриваться как возможность в финансовых рабочих процессах, административных утверждениях и интеграциях с поставщиками. Процессы, разработанные с учетом принудительной проверки, разделения обязанностей и обнаружения аномалий, дополнительно снижают вероятность того, что одна учетная запись вызовет непропорциональный вред.
Заключение
В заключение, местоположение риска было тонко изменено развитием корпоративных ИТ и использованием облачных и гибридных сред. Решения о разрешении и аутентификации теперь должны приниматься ежедневно для защиты наиболее важных активов. Когда эти решения подвергаются манипуляциям или злоупотреблениям, последствия затрагивают не только отдельные учетные записи, но и распространяются по всему предприятию.
Эксплуатация доверия, которое компании встроили в системы идентификации, более распространена в современных взломах, чем драматические технические вторжения, обсуждавшиеся ранее. С операционной точки зрения, идентификация должна рассматриваться как основная поверхность атаки, и компании, признающие эту реальность и соответствующим образом проектирующие свои среды, будут лучше подготовлены к работе с текущим ландшафтом угроз, а не с тем, который они изначально намеревались защищать.
Эта статья публикуется в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Oludolamu Onimole
