Kehäpohjaiset hyökkäykset tekevät paluun: Näin pysyt turvassa
Sisällysluettelo:
Olemme tottuneet kuulemaan, kuinka perinteinen verkon kehä on kuollut. Pilvisovellusten, kotityöskentelyn ja kaikkialla olevien mobiililaitteiden tulo on luonut sujuvamman, hajautetumman yrityksen IT-ympäristön. Se voi olla totta tiettyyn pisteeseen asti. Mutta vaikka työntekijät käyttävät yrityksen SaaS-sovelluksia, siellä on yleensä silti olemassa jonkinlainen yritysverkko. Ja sovellukset tai laitteet, jotka ovat sen reunalla.
IT-tietoturvatiimien haasteena on, että nämä tuotteet joutuvat yhä useammin uhkien hyökkäyksen kohteeksi. Tilanne on niin huono, että National Cyber Security Center (NCSC) äskettäin julkaistu ohje miten näitä riskejä voidaan pienentää. Verkon puolustajien tulee huomioida.
Sieltä nyt
Kuten NCSC selittää, nykyinen kehätuotteiden kohdistus on eräänlainen takaisku Internetin alkuaikaan, jolloin uhkatoimijat käyttivät hyväkseen kehikosta turvallisuutta hyödyntääkseen haavoittuvuuksia ja kaapatakseen tilejä. Tämä antoi heille jalansijan verkkoihin, joiden valvonta oli rajoitettua, mikä antoi hyökkääjille mahdollisuuden viipyä pitkiä aikoja näkymättömissä.
Kuitenkin lopulta verkon puolustajat tarttuivat kiinni ja tekivät näistä palveluista vaikeampaa tinkiä. Uhkailijat kiinnittivät myöhemmin huomionsa turvattomiin asiakasohjelmistoihin ja selaimiin sekä tietojenkalasteluviesteihin.
Nyt heiluri heilahtaa taas taaksepäin. Asiakasohjelmistot suunnitellaan yhä useammin turvallisuutta ajatellen (ajattele hiekkalaatikoita, kokonaisia uudelleenkirjoituksia ja muistiturvallisia kieliä), ja Office-makrot estetään oletusarvoisesti. NCSC:n mukaan tämä pakottaa uhkatoimijat kääntämään huomionsa takaisin perimetrituotteisiin.
Miksi kehähyökkäykset tekevät paluun?
"Tieten, että he eivät todennäköisesti pysty luottamaan huonoihin salasanoihin tai virheellisiin määrityksiin, he etsivät yhä useammin verkon kehällä olevia tuotteita (kuten tiedostonsiirtosovelluksia, palomuureja ja VPN-verkkoja) ja löytävät näistä tuotteista uusia nollapäivän haavoittuvuuksia, ja valssi suoraan sisään”, NCSC varoittaa. "Kun haavoittuvuus on tiedossa, muut hyökkääjät liittyvät siihen, mikä johtaa massahyökkäämiseen."
Näiden nollapäivien löytäminen ei ole niin vaikeaa kuin miltä se saattaa näyttää – koska tällaisten tuotteiden koodi on tyypillisesti vähemmän turvallinen suunnittelultaan kuin asiakasohjelmisto, virasto sanoo. Nämä kehäpohjaiset tarjoukset kärsivät myös tehokkaan kirjauksen puutteesta, toisin kuin asiakaslaitteet, jotka käyttävät nykyään yhä useammin "high-end" tunnistus- ja vastaustyökaluja. Kaikki tämä tekee niistä täydellisen kohteen uhkatoimijoille, jotka haluavat saada jalansijaa yritysverkostoissa datavarkauksia, kiristystä ja muuta varten.
Varoitustarina: Ivanti
NCSC:n varoitukset tulevat keskellä lukuisia hyökkäyksiä kehätuotteita vastaan. Merkittävimpiä olivat sarja nollapäivän hyväksikäyttöjä, jotka kohdistuivat Ivantin Connect Secure VPN -tuotteeseen ja sen Policy Secure Network Access Control (NAC) -ratkaisuun. CVE-2023-46805 ja CVE-2024-21887 paljastettiin myyjä tammikuussa, vaikka uskotaan, että kiinalainen uhkatoimija oli käyttänyt niitä hyväkseen yli kuukauden ajan sijoittaakseen verkkokuoret uhriorganisaatioiden sisäisille ja ulkoisille web-palvelimille.
Viikkoja myöhemmin, se tuli esiin että hakkerit käyttivät toista nollapäivää (CVE-2024-21893) ohittaakseen alkuperäisen lieventämisen, jonka Ivanti julkaisi käsitelläkseen kaksi alkuperäistä nollapäivävirhettä. Mahdollinen uhka organisaatioille on niin akuutti, että Five Eyes -tiedustelupalvelut julkaisivat a pitkä turvallisuusneuvonta helmikuun lopussa.
"Haavoittuvuudet vaikuttavat kaikkiin tuettuihin versioihin (9.x ja 22.x), ja niitä voidaan käyttää hyväksikäyttöketjussa, jotta haitalliset kyberuhkien toimijat voivat ohittaa todennuksen, laatia haitallisia pyyntöjä ja suorittaa mielivaltaisia komentoja korotetuilla oikeuksilla", se huomauttaa. .
Kehäpuolustusten tukeminen
CISO:n kysymys on, kuinka tällaisia uhkia voidaan lieventää. Pitkällä aikavälillä NCSC kannattaa sitä, että myyjiä painostetaan rakentamaan turvallisempia tuotteita ja vältyttäisiin sellaisilta, jotka eivät pysty osoittamaan turvallisia ohjelmistoja. Se ei kuitenkaan estä tämän päivän uhkia. Sen muut ehdotukset voivat olla käyttökelpoisempia:
1) Harkitse näiden perimetrituotteiden pilvipalveluita eikä paikallisia versioita. Vaikka nämä eivät ehkä vieläkään ole turvallisia, ne korjataan nopeammin, ja myyjän tulee valvoa niitä säännöllisesti. Lisäksi, jos pahin tapahtuu ja ne vaarantuvat, se ei ainakaan anna hyökkääjille jalansijaa yritysverkostoon. Parhaimmassa tapauksessa uhkatekijät voivat jopa jättää yritystietosi rauhaan.
2) Jos siirtyminen pilviversioon ei ole mahdollista, sammuta tai estä palomuuritasolla kaikki käyttämättömät "internet-ohjelmistojen rajapinnat, portaalit tai palvelut". Nollapäivät näissä Ivanti-tuotteissa vaikuttivat tällaiseen lisäpalveluun (tässä tapauksessa niiden "verkkokomponentteihin").
3) Varmista, että kaikki sisäiset kehätuotteet on kehitetty turvallisuuden etupuolella ja keskellä – pilvipalveluilla ja palvelimettomilla vaihtoehdoilla, joita kannattaa harkita, jotta voidaan rajoittaa mahdollisia putoamisia, jos niihin hyökätään.
Richard Werner, Trend Micron kyberturvallisuusneuvoja, väittää, että pilvipalveluiden (SaaS) sovellusten valitseminen oletuksena ei ole ihmelääke.
"SaaS-lähestymistapaista tulee houkuttelevia kohteita rikollisille, jotka pyrkivät lyömään useita kohteita yhdellä hyökkäyksellä, esimerkkinä 2021 Kaseyan tapaus”, hän kertoo ISMS.onlinelle. "Vaikka SaaS voi vähentää tunnettuja kyberriskejä tehokkaasti, sitä ei pidä nähdä lopullisena ratkaisuna ydinongelmaan."
Hän lisää, että haavoittuvuuksien hyödyntämisen estäminen tulee todennäköisesti olemaan erittäin haastavaa – ja vaatii monitasoista puolustusta.
"Parhaiden turvallisuuskäytäntöjen noudattaminen on ratkaisevan tärkeää, mutta jopa ihanteellisissa skenaarioissa riskien täydellinen välttäminen on mahdotonta", Werner väittää. "Siksi yritysten on täydennettävä turvatoimiaan teknologioilla, kuten laajennetulla havainnolla ja vasteella (XDR), jotka ovat nykyaikaisten lakien, kuten NIS 2:n, edellyttämiä."
Viime kädessä, jos uhkatekijöiden on vaikeampi kohdistaa äärialuetta, he siirtyvät hyökkäyspinnan toiselle osalle, joka on huonommin suojattu.
”On tärkeää ymmärtää turvallisuuskeskustelujen syklinen luonne, jossa hyökkääjät käyttävät hyväkseen haavoittuvuuksia ja puolustajat pyrkivät estämään ne. Nämä puolustusmekanismit saavat hyökkääjät etsimään uusia sisääntulokohtia tai tehostamaan ponnistelujaan”, Werner päättää.
”Puolustuksen tehokkuutta mitataan sillä, että hyökkääjille on liian kallista löytää onnistunut polku. Menestyksen mittaaminen on kuitenkin edelleen haastavaa puolustajille vaihtelevien hyökkääjien maalien vuoksi.
Koska nämä tavoitteet muuttuvat jatkuvasti, verkon puolustajien ja toimittajayhteisön on mukauduttava. Haasteena on, että tähän asti hyökkäävän puolen ketteryys on ylittänyt reaktionopeuden.
