Profesjonaliści z branży IT często mówią, że bezpieczeństwo to proces i system, a nie cel. Niedawne wydarzenia związane z firmami Uber i Rockstar Games wydają się to potwierdzać. Kolejne szczegóły ciągle się pojawiają, jednak możemy już przeanalizować te włamania i wyciągnąć lekcję w odniesieniu do własnych systemów ochrony.
Podobnie do ataku Lapsus$ na firmę Electronic Arts w lipcu 2021 r., wygląda na to, że atakujący zakupili dane logowania od cyberprzestępców specjalizujących się w kradzieży takich informacji. Te organizacje przestępcze zwykle gromadzą dane logowania masowo z wykorzystaniem phishingowych wiadomości e-mail oraz poprzez infekowanie urządzeń trojanami kradnącymi informacje. Atakujący kradną wszystkie zachowane hasła, sesyjne pliki cookie czy portfele kryptowalutowe, a następnie wystawiają je na sprzedaż w dark webie.
W swoim stanowisku Uber poinformował, że atak rozpoczął się od zakupienia przez cybergang Lapsus$ danych logowania do wewnętrznej sieci firmy, wykradzionych wcześniej od jednego z podwykonawców. Następnie atakujący wielokrotnie próbowali logować się z użyciem tych danych, aktywując mnóstwo powiadomień systemu uwierzytelniania wieloskładnikowego na telefonie wspomnianego podwykonawcy, aż w końcu ten, zmęczony ciągłymi alertami, zaakceptował jeden z nich, dając tym samym przestępcom dostęp do sieci Ubera.
Uber utrzymuje, że atakujący podnieśli swoje uprawnienia, jednak w rozmowie na Telegramie przestępcy poinformowali, że znaleźli skrypt PowerShell zawierający hasło administracyjne do jednego z narzędzi wewnętrznych firmy. Hasło to dało im „uberdostęp” do sieci korporacyjnej Ubera.
Tak wysoki poziom dostępu pozwolił przestępcom dowolnie buszować po sieci ofiary, wykonać zrzuty ekranu z wewnętrznych narzędzi i paneli chmurowych, a nawet dostać się do systemu zarządzania programem bug bounty, w ramach którego Uber płaci niezależnym badaczom za wykrywanie luk w zabezpieczeniach systemów firmy.
Co zatem można było zrobić, by nie dopuścić do takiego ataku? Przyjrzyjmy się kilku czynnikom, które umożliwiły atakującym odniesienie sukcesu, by zastanowić się, czy możemy z nich wyciągnąć jakąś lekcję dla siebie.
Uwierzytelnianie wieloskładnikowe może się okazać niewystarczające
Wraz z coraz powszechniejszym stosowaniem przez firmy uwierzytelniania wieloskładnikowego cyberprzestępcy doskonalą się w obchodzeniu tego mechanizmu. Uber wdrożył Duo, usługę powiadomień push firmy Cisco, by chronić dostęp do swojej usługi zdalnego dostępu (VPN), co należy pochwalić. Niestety cyberprzestępcy szybko zrozumieli, że bombardując ofiarę ostrzeżeniami o próbach logowania, może ona po prostu mieć ich dość i w końcu zaakceptować jedną z nich.
Co zatem można zrobić? Cóż, w idealnym świecie wszyscy używalibyśmy uwierzytelniania FIDO2, które wymaga sprzętowego tokena lub obecności przygotowanego wcześniej smartfona w pobliżu urządzenia, na którym chcemy się zalogować. Nie każdy jest jednak gotowy, by wdrożyć taką technologię, więc usługi uwierzytelniania wieloskładnikowego, takie jak wspomniane rozwiązanie Duo, oferują także podejście hybrydowe, w którym aplikacja żądająca uwierzytelniania daje użytkownikowi 6-cyfrowy kod, który należy wprowadzić zamiast klikania „Akceptuj”. W takiej sytuacji cyberprzestępca musiał by wejść w interakcję z ofiarą i przekonać ją, by wpisała ten kod w jego imieniu. Oczywiście jest to możliwe, jednak stopień skomplikowania jest znacznie większy niż w przypadku zwykłego kliknięcia błyszczącego, zielonego przycisku.
Zmniejszanie roli podnoszenia uprawnień
Mając odpowiednio dużo czasu, autoryzowany użytkownik niemal zawsze może podnieść swoje uprawnienia do konta, do którego nie powinien mieć dostępu. Kluczem do obrony przed takim atakiem jest sprawienie, by zajęło to na tyle dużo czasu, byś mógł wykryć te działania i powstrzymać je zanim dojdzie do wyrządzenia szkód.
Atakujący utrzymują, że znaleźli hasło administracyjne do systemów Ubera w pliku PowerShell, który znajdował się na współdzielonym zasobie udostępnionym użytkownikom. Jeżeli tak rzeczywiście było, nietrudno dostrzec popełnione błędy, jednak w dalszym ciągu dziwne jest, że wystarczyło to do siania aż takiego spustoszenia w sieci ofiary.
Nie znając szczegółów systemu Ubera, który został dotknięty atakiem, większość z nas mogłaby zadać pytanie: dlaczego w tym systemie nie zastosowano uwierzytelniania wieloskładnikowego? Odwracając to pytanie – czy ty w swojej sieci wymagasz uwierzytelniania wieloskładnikowego do logowania się do systemów wewnętrznych? Lekcja jest taka, że w odniesieniu do zasobów tak krytycznych jak zarządzanie uprawnieniami, dostęp do kodu źródłowego, systemy HR czy dane finansowe, powinniśmy być tak samo ostrożni, jak w przypadku dostępu do samej sieci. Nie powinniśmy zakładać, że ktoś w sieci może uzyskiwać dostęp do krytycznych systemów tylko dlatego, że miał uprawnienia pozwalające na dostęp do samej sieci.
Podobnie jak wykonywanie rozszerzonego testu penetracyjnego w okresach około jednego roku, dobrą praktyką jest także przeprowadzanie audytu środowiska wewnętrznego. Może się to wydawać zbędne, ale uwierzcie mi – w każdej odpowiednio dużej sieci wewnętrznej pojawiają się problemy i to nie tylko z prawami dostępu.
Raz nie wystarczy i nie ma czegoś takiego, jak „wewnątrz”
Pewnie słyszeliście o podejściu ZTNA (Zero-Trust Network Access), w którym użytkownik ma dostęp tylko do tego, czego potrzebuje i w momencie, w którym tego potrzebuje. Co więcej, system nigdy nie powinien ufać, że użytkownik jest tym, za kogo się podaje. Sam proces uwierzytelniania powinien być tak samo rygorystyczny zarówno przy dostępnie wewnątrz sieci, jak i z zewnątrz.
Jedną z zalet tego modelu jest możliwość całkowitego wyeliminowania obwodu sieci, a przynajmniej szansa na rezygnację z polegania na rozwiązaniach typu VPN oraz redukcja szerokich warstw ochronnych dla zasobów znajdujących się za zaporą i rozwiązaniem WAF. Owszem, zasoby będą w mniejszym stopniu „owinięte” warstwami ochrony, jednak rygorystyczne weryfikowanie, że każda próba dostępu jest autoryzowana daje w rzeczywistości znacznie lepszą kontrolę i możliwość szybszego dostrzeżenia problemu, gdy takowy się pojawi.
Twoja sieć nie powinna przypominać batona z twardą skorupą z czekolady i miękkim nadzieniem w środku. Każda dobrze zarządzana sieć powinna zakładać możliwość włamania. Dlatego nie powinno w niej leżeć nic, co mogłoby wyrządzić szkody po wpadnięciu w niepowołane ręce.
Podsumowanie
Wyciąganie dla siebie lekcji z każdej informacji o incydencie cyberbezpieczeństwa to bardzo dobra praktyka. Warto także zadawać sobie pytanie: jak mój zespół poradziłby sobie w takiej sytuacji? Nie ulega wątpliwości, że zapewnienie skutecznej ochrony sieci jest trudne, jednak korzystanie z takich lekcji do wzmocnienia bezpieczeństwa sprawia, że zadanie to staje się za każdym razem nieco łatwiejsze.
Nie powinniśmy myśleć o warstwach ochrony w taki sposób, że jedna z nich magicznie powstrzyma zdeterminowanego atakującego. Każda z nich powinna być postrzegana jako szansa na kupienie sobie dodatkowego czasu na reakcję. Ten czas pozwoli zespołowi monitorującemu systemy na odnotowanie anomalii i rozpoczęcie prac dochodzeniowych. Celem jest kupienie sobie takiej ilości czasu, by zdążyć znaleźć punkt wejścia ataku, zamknąć go i pozbyć się atakujących zanim osiągną swój cel.
Jeżeli celem cyberprzestępców jest zagnieżdżenie złośliwego oprogramowania w systemie ofiary, kradzież własności intelektualnej, a nawet przeprowadzenie ataku ransomware lub innego wymuszenia, takie działania zwykle trwają kilka dni, co powinno wystarczyć do powstrzymania ich.
Niestety, jak pokazuje przypadek firm Uber, Rockstar Games i innych ofiar cybergangu Lapsus$, należący do niego przestępcy przede wszystkim chcą trafić do nagłówków w mediach i zawstydzić swoje ofiary. Zajmuje to mniej czasu niż przeprowadzenie poważniejszych ataków, a jednocześnie, aby możliwe było powstrzymanie takich działań, sieć firmowa musi być w idealnym stanie.
Ból po wspomnianych atakach będzie tymczasowy i należy mieć nadzieję, że ostatecznie wszyscy wyciągniemy z nich lekcje, by udoskonalić własne infrastruktury. Bezpieczeństwo to ewoluujący proces i najlepsze, co możemy zrobić, to działać razem, uczyć się z błędów i podnosić poprzeczkę cyberprzestępcom.
Zabezpiecz komputery w firmie:
