CyberArk Labs: Η εξέλιξη των τεχνικών κλοπής προνομιακών διαπιστευτηρίων
Κατά τη διάρκεια του περασμένου έτους, οι εταιρείες και οι οργανισμοί συνέχισαν να αγωνίζονται για να αντιμετωπίσουν τους κινδύνους στον κυβερνοχώρο, οι οποίοι δημιουργήθηκαν από τη ταχεία υιοθέτηση της τεχνολογίας.
Η υιοθέτηση της τεχνολογίας πρέπει να ευθυγραμμίζεται με αποτελεσματικές στρατηγικές διαχείρισης κινδύνων και η πρόκληση που αντιμετωπίζουν οι περισσότερες επιχειρήσεις είναι ότι οι πιο σύγχρονες τεχνολογίες συχνά στερούνται την ασφάλεια των πιο ώριμων τεχνολογιών.
Η ταχεία υϊοθέτηση νέων τεχνολογιών άφησε τους οργανισμούς εκτεθειμένους σε επιθέσεις που στοχεύουν στα προνομιακά διαπιστευτήρια. Πάρτε για παράδειγμα τις επιθέσεις στον κυβερνοχώρο που βρίσκονται στις επικεφαλίδες των ειδήσεων σε εβδομαδιαία βάση και τις παραβιάσεις δεδομένων σε εταιρείες όπως τις Yahoo! και Uber που πλημμύρισαν το σκοτεινό διαδίκτυο (dark web) με εκατομμύρια (αν όχι δισεκατομμύρια) διαπιστευτήρια (user names, passwords) για πιθανή κατάχρηση.
Στον αντίκτυπο αυτών των επιθέσεων, το νέο έτος από ότι φαίνεται θα δούμε να χρησιμοποιούνται όλο και περισσότεροι αυτοματισμοί καθώς και να επεκτείνεται το υβριδικό cloud αλλά και τα περιβάλλοντα DevOps, και όλα μαζί θα δημιουργήσουν γόνιμο έδαφος για τους επιτιθέμενους, έχοντας ως βάση την αυξανόμενη ποικιλία προνομιακών διαπιστευτηρίων που σχετίζονται με ανθρώπους αλλά και με τους μη ανθρώπινους χρήστες. Τα εν λόγω διαπιστευτήρια περιλαμβάνουν εκείνα που σχετίζονται με προγράμματα περιήγησης, καθώς και εκείνα που έχουν σχέση με συνεδρίες εργαζομένων ή και απομακρυσμένων χρηστών/ προμηθευτών, λογαριασμούς υπηρεσιών, κλειδιά πρόσβασης, ταυτότητες μηχανών, κλειδιά SSH και ενσωματωμένους κωδικούς πρόσβασης.
Με βάση μία έρευνά της CyberArk Labs πιστεύεται ότι οι επιθέσεις με βάση τα διαπιστευτήρια και το λεγόμενο “exploitation” θα γνωρίζουν ανάπτυξη και θα κυριαρχήσουν στο τοπίο απειλών το νέο έτος (2018). Ακολουθούν συγκεκριμένα παραδείγματα όπου οι κίνδυνοι για τα προνομιούχα διαπιστευτήρια είναι οι πλέον διαδεδομένοι:
Οι επιτιθέμενοι κρύβονται πίσω από machine identities – Την ώρα που οι federated identities αυξάνονται, τα σύνορα ταυτοτήτων μειώνονται μεταξύ των συσκευών και των δικτύων, δημιουργώντας ένα μάλλον συγκεχυμένο περιβάλλον ασφάλειας. Ο αριθμός των identities αναμένεται να αυξηθεί τα επόμενα χρόνια με την υιοθέτηση περιβαλλόντων προσανατολισμένων σε υπηρεσίες. Μία από τις συνέπειες είναι η εκτεταμένη επιφάνεια επίθεσης, η οποία δεν περιορίζεται πλέον στην εκμετάλλευση των διαπιστευτηρίων του διαχειριστή του domain ως πρωταρχικό στόχο. Οι ομάδες ασφάλειας πρέπει να είναι προετοιμασμένες όχι μόνο να καθορίσουν το “ποιον” αλλά και το “τι” μπορούν να εμπιστευτούν.
Κλέβοντας machine identities, οι επιτιθέμενοι μπορούν να κρατήσουν χαμηλότερο προφίλ στο δίκτυο, ενώ επιπλέον με τη χρήση των σχετικών διαπιστευτηρίων είναι σε θέση να ελέγχουν τις διαδικασίες ή ακόμη και τις πολιτικές ασφάλειας.
Για παράδειγμα, τα εργαλεία CI / CD μπορούν να μετατραπούν σε κρίσιμα σημασίας περιουσιακά στοιχεία – και τα πλέον ευαίσθητα στο δίκτυο. Όταν τα διαπιστευτήρια για αυτά τα εργαλεία αξιοποιηθούν καταλλήλως, ο εισβολέας μπορεί να αποκτήσει τον έλεγχο ολόκληρης της ροής εργασίας του DevOps και να μετατρέψει τα εργαλεία σε όπλα για να προωθήσει κακόβουλο κώδικα κ.ά.
Το χάος με τα κλειδιά οδηγεί σε ακούσιες συνέπειες – Η επικράτηση των κλειδιών SSH για την πρόσβαση σε πόρους στο σύννεφο και η έλλειψη υιοθέτησης του PKI για τα περιβάλλοντα DevOps αποτελούν τους δύο βασικούς υπόπτους για το χάος με τα κλειδιά, γεγονός που αυξάνει τους κινδύνους ασφαλείας και τις πιθανότητες έκθεσης τους ή παραβίασης μέσω απλών λαθών ή λόγω ανθρώπινου παράγοντα.
Οι ομάδες ασφαλείας πρέπει να βελτιώσουν την εποπτεία και τη διαχείριση, ώστε να αποφευχθούν να αποτελέσουν –τα κλειδιά- εύκολοι στόχοι για τους επιτιθέμενους.
Οι κύριες ανησυχίες που σχετίζονται με τα μη διαχειριζόμενα κλειδιά επικεντρώνονται στον πολλαπλασιασμό των μηχανικών και ανθρώπινων ταυτοτήτων που παρέχουν ευκαιρίες κλιμάκωσης των προνομίων. Για παράδειγμα, ένας χρήστης με πρόσβαση σε έναν machine-assigned ρόλο με προνόμια σε επίπεδο λογαριασμού ενδέχεται να είναι σε θέση να κλέψει την ταυτότητα του μηχανήματος και να επηρεάσει αρνητικά τον λογαριασμό cloud.
Επιπλέον, η χρήση προσωρινών tokens μπορεί να αποτελέσει δίκοπο μαχαίρι. Τα προσωρινά tokens αποτελούν μία βελτίωση στα στατικά κλειδιά, και συνήθως λήγουν μετά από ένα ορισμένο χρονικό διάστημα και χρησιμοποιούνται για να επιτρέπουν το δυναμικό προνόμιο. Τα προσωρινά tokens είναι σε θέση να παρέχουν καλύτερη ασφάλεια, αλλά μόνο αν είναι σωστά διαχειριζόμενα και ελεγχόμενα, συμπεριλαμβανομένου και εκείνου που έχει την εποπτεία των κλειδιών ανά πάσα στιγμή.
Ασφάλεια ως στόχος: Ο έλεγχος ταυτότητας στα διασταυρούμενα πυρά των επιτιθέμενων – Το σύννεφο (cloud) προωθεί την ενοποίηση ταυτότητας καθώς καταναλώνουμε περισσότερες “υπηρεσίες” και λιγότερη ακατέργαστη τεχνολογία. Η ενοποίηση της ταυτότητας σημαίνει περισσότερες ευκαιρίες για πλευρική μετακίνηση κατά μήκος των υπηρεσιών και μία παραβίαση της υπηρεσίας επαλήθευσης ταυτότητας μπορεί να οδηγήσει σε πλήρη απώλεια της ταυτότητας.
Οι τρέχουσες μέθοδοι επαλήθευσης ταυτότητας, όπως οι επαλήθευση δύο παραγόντων και το single sign-on πρέπει να προσαρμοστούν για να προστατευτούν από τους ανερχόμενους φορείς απειλών ή από το να στοχοποιηθούν οι ίδιοι.
Αν τα εργαλεία αυτά παραβιαστούν, δίνουν τη δυνατότητα στους επιτιθέμενους να έχουν μία άνευ προηγουμένου ευελιξία καθώς και την ικανότητα να θέσουν σε κίνδυνο τα δίκτυα σε πολύ μεγάλο βαθμό. Από άποψη άμυνας, θα μπορούσε να υιοθετηθεί η εξελισσόμενη τεχνολογία blockchain για να καταργηθεί το μοναδικό σημείο εμπιστοσύνης και αποτυχίας που επιτρέπει τεχνικές όπως είναι οι Golden Ticket και SAML.
Ο ταυτοποίηση με blockchain θα μπορούσε να χρησιμοποιηθεί για να καταργήσει την εμπιστοσύνη από το Active Directory, για παράδειγμα, και να μετακινήσει αυτή την εμπιστοσύνη σε ολόκληρο το δίκτυο. Αυτό θα ανάγκαζε τους επιτιθέμενους να θέσουν σε κίνδυνο σημαντικό μέρος των περιουσιακών στοιχείων και αισθητήρων (για συναίνεση) προτού μπορέσουν να πιστοποιήσουν την ταυτότητά τους.
Ο έλεγχος ταυτότητας και ο ευρύτερος τομέας των ελέγχων ασφαλείας θα συνεχίσει να είναι ένας δελεαστικός στόχος, δεδομένης της υψηλής δύναμης και της εμπιστοσύνης.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.