Sen jälkeen, kun ShinyHuntersin hakkerointikollektiivi käytti hyväkseen "liian sallivia" Salesforcen vieraskäyttäjämäärityksiä päästäkseen käsiksi jopa 400 organisaation dataan, miten yritykset voivat vahvistaa resilienssiä?
Kate O'Flaherty
Salesforce julkaisi maaliskuussa varoitus asiakkaille, että ShinyHuntersin hakkerointikollektiivi käytti hyväkseen julkisten Experience Cloud -sivustojen virheellisiä asetuksia päästäkseen käsiksi arkaluontoisiin tietoihin ja vaatiakseen yrityksiltä kiristysrasitusta.
Hyökkääjät ilmeisesti aseistivat avoimen lähdekoodin työkalun muunnellun version. AuraInspector, jonka Mandiant kehitti alun perin massaskannaukseen ja määritysaukkojen löytämiseen jopa 400 organisaation hyökkäystä varten.
Hyökkääjät loivat osana Salesforce Aura -kehystä, jonka tarkoituksena on tunnistaa Experience Cloud -sivustojen tietoturvavirheitä. Työkalusta on versio, joka "pystyy menemään tunnistamisen ulkopuolelle ja itse asiassa poimimaan tietoja", Salesforce varoitti tiedotteessa. neuvontapalvelut.
”Tämä on nykyaikaisen hyökkääjän käsikirja”, sanoo Dean Garvey-North, Microlisen teknologiajohtaja. ”Käytä laillisia työkaluja, kohdista hyökkäykset kokoonpanon heikkouksiin alustan haavoittuvuuksien sijaan ja toimi internet-tasolla.”
Koska vastustajat käyttivät hyväkseen asiakkaita, joilla oli "liian sallivat vieraskäyttäjän asetukset", Salesforce ei ollut syypää tapaukseen – ainakaan oikeudellisesta näkökulmasta. Tapaus on erinomainen esimerkki siitä, miten pilvipalvelun konfigurointi, identiteetin paljastuminen ja jaetun vastuun mallit luovat uusia ja usein väärinymmärrettyjä riskialueita.
Kuinka organisaatiot voivat vähentää altistumista ja vahvistaa sietokykyä pilvipohjaisissa ympäristöissä, joissa riski usein piilee alustan ominaisuuksien ja asiakkaan kokoonpanon välisessä kuilussa?
Virheelliset määritykset
Kuten Salesforce-tapaus osoittaa, virheelliset määritykset, erityisesti vieraskäyttöoikeuksiin ja identiteettioikeuksiin liittyvät, ovat edelleen pysyvä tietovuotojen lähde.
Virheellisiä konfiguraatioita esiintyy edelleen, koska organisaatiot usein asettavat käytettävyyden ja nopean digitaalisen käyttöönoton turvallisuuden edelle. Tämä myöntää tahattomasti todentamattomille ulkoisille käyttäjille "laajat, sisäiset tietoluvat" sen sijaan, että niitä valvottaisiin tiukasti. "vähiten oikeuksien" käyttöoikeusmalli, sanoo Dray Agha, Huntressin turvallisuustoimintojen vanhempi päällikkö.
Käytettävyys ja tietoturva ovat ”suunnitteluvaiheessa ristiriidassa”, ja käyttöönottovaiheessa tehtyjä konfigurointipäätöksiä tarkastellaan harvoin uudelleen, sanoo Microlisen Garvey-North. ”Salesforce Experience Cloud -portaalit käyttävät erillistä vieraskäyttäjäprofiilia, jonka avulla todentamattomat kävijät voivat tarkastella julkisia sivuja tai lähettää lomakkeita kirjautumatta sisään. Kun profiili on määritetty väärin ja siinä on liiallisia käyttöoikeuksia, tiedot, joiden ei ole tarkoitus olla julkisia, tulevat suoraan haettavissa oleviksi ilman kirjautumista.”
Ongelma on rakenteellinen, Garvey-North sanoo. ”Alustat toimitetaan sallivilla oletusasetuksilla, jotta uusien asiakkaiden kanssa syntyvä kitka vähenee. Toteutustiimit optimoivat toiminnot, jotta ne toimisivat. Tietoturvatarkastukset tehdään tietyllä ajanhetkellä.”
Mutta pilvipalvelun konfigurointi ei ole staattista: ”Jokainen uusi portaali, integraatio tai ominaisuuden käyttöönotto on potentiaalinen uusi altistumispinta”, Garvey-North huomauttaa. ”Ilman jatkuvaa konfiguroinnin seurantaa luotat pohjimmiltaan siihen, että mikään ei ole muuttunut viimeisimmän tarkastuksen jälkeen.”
Kuka syyttää?
Salesforce on esimerkki siitä, miten käytettävyyttä silmällä pitäen suunnitellut ominaisuudet, kuten julkiset portaalit, API:t ja vieraskäyttö, tuovat mukanaan uusia ja usein aliarvioituja tietoturvariskejä.
Nämä ominaisuudet usein muuttavat perinteisiä tietoturvaoletuksia, sanoo Dana Simberkoff, AvePointin riski-, yksityisyys- ja tietoturvajohtaja. ”Käytettävyyslähtöinen suunnittelu siirtää usein riskin hiljaisesti alustalta asiakkaalle.”
Pilvipalveluntarjoajien ja asiakkaiden vastuun selvittäminen voi olla haastavaa – varsinkin silloin, kun ongelmat johtuvat kokoonpano-ongelmista eivätkä ydinalustan haavoittuvuuksista.
Hyökkääjien mukaan "Salesforcen rajoitus" mahdollisti tapauksen. Salesforce on kuitenkin itse tehnyt selväksi: Kyseessä ei ole alustan haavoittuvuus, vaan ongelma siinä, miten asiakkaat ovat määrittäneet vieraskäyttäjien oikeudet, Garvey-North sanoo.
Pilvipalveluntarjoajat suojaa alusta, mutta asiakkaat ovat vastuussa sen konfiguroinnista – mukaan lukien identiteetti, käyttöoikeudet ja tietojen paljastuminen. ”Tässä useimmat organisaatiot epäonnistuvat”, sanoo Stew Parkin, Assured Data Protectionin maailmanlaajuinen teknologiajohtaja. ”He päätyvät luottamaan ajankohtaisiin auditointeihin jatkuvasti muuttuvissa ympäristöissä.”
Jaetun vastuun malli on ”teoriassa vakiintunut, mutta käytännössä sitä ymmärretään jatkuvasti väärin”, lisää Microlisen Garvey-North. ”Pilvipalveluntarjoajat suojaavat infrastruktuuria ja alustaa. Asiakkaat ovat vastuussa siitä, mitä he siihen lisäävät, miten he konfiguroivat käyttöoikeudet ja miten he hallitsevat sitä ajan kuluessa. Aukko ja suurin osa tietomurroista on nyt konfiguraatiotasolla.”
Automaatio mahdollistaa hyökkäykset
Samaan aikaan hyökkääjien kyvykkyys kasvaa, ja he käyttävät automaatiota ja laillisia työkaluja heikkouksien tunnistamiseen ja hyödyntämiseen sadoissa organisaatioissa samanaikaisesti. Mandiantin teknologiajohtaja vahvistettu Shiny Hunters käytti AuraInspectoria automatisoidakseen haavoittuvuuksien tarkistuksia Salesforce-ympäristöissä laajassa mittakaavassa.
”Kun puolustajat ajattelevat pilviriskiä, he ajattelevat silti usein yksittäisten tapausten näkökulmasta”, Garvey-North sanoo.
Mutta hyökkääjät ajattelevat pinta-alan näkökulmasta. ”Mikä tahansa tuhansissa organisaatioissa esiintyvä virheellinen määritysmalli on yhden automatisoidun kampanjan päässä massahyödyntämisestä”, Garvey-North sanoo.
Samaan aikaan taktiikat, kuten lavastetut vuodot ja teeskentelykampanjat, lisäävät tällaisten tapausten vaikutusta.
ShinyHunters asetti julkisen määräajan ja varoitti, että varastetut tiedot julkaistaisiin, elleivät uhrit noudattaisi kiristysvaatimuksia.
Ryhmä suoritti rinnakkaisia visio-operaatioita, esiintyen IT-henkilöstönä ja ohjaten työntekijöitä tunnistetietojen keruusivustoille kertakirjautumisen tunnistetietojen ja monitekijätodennus (MFA-koodit). Yhdistelmä on tarkoituksellinen, Garvey-North sanoo: ”Varasta tietoja väärän konfiguroinnin avulla, kerää tunnistetiedot sosiaalisen manipuloinnin avulla ja kiristä sitten molempia käyttäen.”
Tämä tapahtuu aikana, jolloin tietosuojaan, pääsynhallintaan ja vastuuvelvollisuuteen liittyvät sääntelyodotukset kasvavat. Koska monilla alueilla on nyt tietosuojalakeja ja ryhmäkanteiden määrä on lisääntynyt, tietojen paljastumisen estäminen on nykyään usein tärkein syy kiristysvaatimusten maksamiseen.
”Vaikka sitä ei selvästikään suositella, on usein halvempaa maksaa tietojen julkistamisen estämiseksi kuin kohdata tietojen paljastumisesta aiheutuvat sakot ja oikeudenkäyntikulut”, sanoo Tony Gee, 3B Data Securityn kyberturvallisuuskonsultti.
Näkyvyyskuilun kurominen umpeen
Salesforce-hyökkäysten kaltaiset tapaukset korostavat jatkuvaa haastetta: organisaatiot ovat yhä riippuvaisempia pilvialustoista, mutta tietoturvavastuu on hajautettu eikä sitä aina ymmärretä selvästi.
Yritysten on siirryttävä pilvialustan tietoturvan riittävyyden olettamisesta kohti jatkuvampaa, järjestelmäpohjaista lähestymistapaa konfiguraation hallintaan, identiteetin hallintaan ja varmentamiseen.
Perinteinen tietoturva nojaa vahvasti staattisiin, ajanhetkiin perustuviin auditointeihin, jotka ”ovat täysin huomaamatta hienovaraisia, jatkuvia konfiguraatiovaihteluita ja API-altistuksia, jotka ovat tyypillisiä nykyaikaisille pilviriskeille”, sanoo Huntressin Agha.
Tämä jättää "vaarallisen näkyvyyskuilun, jossa oikeutettuja ominaisuuksia käytetään hiljaa väärin", hän varoittaa.
Tämän mielessä on joitakin käytännön toimenpiteitä, joita tietoturva- ja vaatimustenmukaisuusjohtajien tulisi tehdä parantaakseen näkyvyyttä ja hallintaa identiteetin, käyttöoikeuksien ja määritysasetusten suhteen.
Aghan mukaan johtajien on siirryttävä oletusarvoisesti yksityiseen tietoturva-asenteeseen tarkastamalla aktiivisesti ulkoisten vierasprofiilien käyttöoikeuksia, poistamalla käytöstä todentamattoman julkisen API-käytön, ellei se ole ehdottoman välttämätöntä, ja ottamalla käyttöön tapahtumalokien jatkuva valvonta poikkeavien datakyselyiden havaitsemiseksi.
”Ole erittäin utelias käytetystä infrastruktuurista ja oleta, että palveluntarjoaja ei ole ottanut käyttöön oletusarvoista tietoturvaa”, hän neuvoo. ”Tutki kolmannen osapuolen työkalujen kokoonpanossa käytettävissä olevia tietoturva-asetuksia.”
Keskeinen puolustusmekanismi on vahva toimittajien due diligence -tarkastus ja jatkuva kolmannen osapuolen riskienhallinta, sanoo 3B Data Securityn Gee. Hän suosittelee mahdollisimman vähäisten käyttöoikeuksien lähestymistapaa tiedon jakamiseen, jossa vain tarvittavat tiedot jaetaan kolmannen osapuolen kanssa.
Microlisen Garvey-North neuvoo kysymään toimittajilta samoja kysymyksiä, joita kysyisit omalta infrastruktuuriltasi: ”Mitkä ovat oletusarvoisesti suojatut määrityksenne, miten havaitsette poikkeavan käytön alustatasolla ja miltä ilmoitusprosessinne näyttää, kun jokin menee pieleen?”
Samaan aikaan vankan reagointiprosessin olemassaolo on Geen mukaan olennaista sakkojen ja oikeusjuttujen riskin rajoittamiseksi. ”Vahvan kyberuhkien sietokyvyn osoittamisen on nähty olevan ratkaiseva tekijä sakon suuruudessa. Toimettomuus ja kiiltävään kolmannen osapuolen markkinointiin luottaminen ei ole pätevä puolustus ja johtaa usein suurempiin sakkoihin ja helposti voitettaviin ryhmäkanteihin.”
Samaan aikaan puitteet, kuten ISO 27001 auttamaan pakottamalla tiukat ja jatkuvat riskinarvioinnit ja järjestelmälliset käyttöoikeuskäytännöt. Tämä auttaa muuttamaan pilvipalvelun tietoturvan "aseta ja unohda" -valintaruudusta "jatkuvasti hallituksi prosessiksi, joka yhdenmukaistaa monimutkaiset ympäristöt kestävien standardien kanssa", Agha sanoo.
ISO 27001 -standardi tuo aitoa lisäarvoa monimutkaisissa digitaalisissa ympäristöissä pyrkimällä selkeyttämään organisaation toimintaa: kuka omistaa minkäkin kontrollin, miltä hyväksyttävä riski näyttää ja miten tapauksia eskaloidaan ja niistä opitaan, sanoo Garvey-North. ”Hallintorakenteesta tulee yhdysside tietoturvasuunnittelukyvykkyyden ja hallitustason riskinottohalukkuuden välillä. Ilman sitä sinulla on työkaluja, joilla ei ole vastuuta.”
Laajenna tietosi
Blogi: Vähiten vastustuskyvyn tie: Miksi syvyyssuuntainen puolustus on paras vastaus pilviuhkiin
Webseminaari: ISO 27017- ja 27018-standardien teho: Pilviympäristösi suojaaminen
