Cyberangrep: Slik beskytter du dine industrielle kontrollsystemer mot hackere Se nå
Mens cloud computing-tjenester ofte blir ansett som sikrere enn å bygge applikasjoner og være vert for dem internt, betyr det ikke at disse skytjenestene er uten sine egne feil. Og med hackere som stadig ønsker å distribuere angrepene sine gjennom programvareforsyningskjeden, er skysikkerhet tilbake i søkelyset.
Cybersecurity-forskere fant sårbarheter i infrastrukturen til en stor programvare-som-en-tjenesteleverandør, som hvis utnyttet av en angriper, kunne ha blitt brukt av cyberkriminelle som en del av et skybasert angrep i forsyningskjeden.
Den uspesifiserte SaaS -leverandøren inviterte cybersikkerhetsforskere ved Palo Alto Networks til å gjennomføre en rød teamøvelse på utviklingsprogramvarepipeline for å identifisere sårbarheter i forsyningskjeden.
“På bare tre dager oppdaget en enkelt Unit 42 -forsker kritiske programvareutviklingsfeil som gjorde kunden sårbar for et angrep som ligner på SolarWinds og Kaseya VSA,” sa sikkerhetsselskapet.
I en tid da så mange bedrifter er avhengige av skytjenester, det viser hvordan feilkonfigurasjoner og sårbarheter kan ha stor innvirkning hvis de ikke blir administrert på riktig måte på grunn av hundrevis eller til og med tusenvis av selskaper som er avhengige av infrastrukturen.
SE: En vinnende strategi for cybersikkerhet (ZDNet spesialrapport)
Opprinnelig gitt den begrensede utviklertilgangen en entreprenør ville ha, forskere klarte å heve privilegier i den grad de var i stand til å få administratorrettigheter til det videre kontinuerlige integrasjons (CI) skymiljøet.
Ved å bruke denne tilgangen undersøkte forskerne alt av miljøet de kunne og var i stand til å finne og få tilgang til 26 IDAM -nøkler (Identity and Access Management). Noen av disse inneholdt hardkodede legitimasjoner som ga uautorisert tilgang til flere områder i skymiljøet, som kan utnyttes for å få administratortilgang-slik at det som burde vært en konto med begrenset tilgang, får privilegier som åpner hele miljøet.
Selv om selskapet som hadde bedt om penetrasjonstest, var i stand til å oppdage noen av aktivitetene forskerne engasjerte seg i, var det først etter at administratortilgang var oppnådd at dette var tilfellet – i tilfelle et skikkelig angrep, ville dette ha vært for sent og angriperne ville ha kompromittert systemet.
Etter øvelsen jobbet forskerne med organisasjonens sikkerhetsoperasjonssenter, DevOps, og røde og blå team for å utvikle en handlingsplan for å skjerpe sikkerheten med fokus på tidlig identifisering av mistenkelige eller ondsinnede operasjoner innenfor deres programvareutviklingsrørledning
Forskerne visste hva de lette etter, så var i stand til enkelt å identifisere feilkonfigurasjoner og sårbarheter å utnytte. Selv om dette kan innebære avansert kunnskap om disse miljøene og hvordan de kan utnyttes, er det den typen ting som spesialiserte angrepsoperasjoner som ransomware -gjenger eller nasjonalstatsstøttede Advanced Persistent Threat Groups (APT) også ville være kjent med – og aktivt vil utnytte hvis de kan, som demonstrert av nylige hendelser.
“Vellykkede angrep i forsyningskjeden er spesielt ødeleggende på grunn av den utbredte nedfallet av angrepene, for eksempel at potensielt tusenvis av nedstrøms kundemiljøer kan bli kompromittert. Risikoen for fallout -forhold bør mandat til å øke sikkerhetsmekanismer og prosedyrer som brukes for å beskytte forsyningskjeden”, Nathaniel Quist, hovedforsker ved Unit 42 i Palo Alto Networks, fortalte ZDNet.
SE: Skysikkerhet i 2021: En forretningsguide til viktige verktøy og gode fremgangsmåter
En del av grunnen til at disse miljøene kan utnyttes er fordi de er komplekse og kan være vanskelige å sikre – det er forståelig nok ikke en enkel oppgave, og sårbarheter og feilkonfigurasjoner kan snøball i den grad at med tålmodighet og riktige ferdigheter kan angriperne utnytte tilgang til tjenesteleverandører og la kundene være sårbare for angrep.
Det er en rekke ting som kan gjøres for å beskytte skymiljøer mot uautorisert tilgang, inkludert å gi tilgang til systemer og tjenester på et rollebasert grunnlag. Hvis utviklerpersonalet ikke trenger tilgang til tilgangsstyringsnøkler, er det ingen grunn til at de skal få tak i dem.
“Rollebaserte tilgangskontroller (RBAC) innenfor utviklerrollene ville ha forhindret Unit 42-forskerne i å få tilgang til alle utviklerlagrene. Hadde klienten begrenset utviklerbrukerkontoer til bare de depotene som kreves for å utføre jobben, ville det ha forhindret røde laget fra å identifisere alle de 26 hardkodede IAM -tastene, “sa Quist.
Organisasjoner bør også implementere sikkerhetskontroller og barrierer som en del av utviklingslivssyklusen. Fordi hvis dette er implementert på riktig måte, kan det være mulig å fastslå at det har vært uautorisert tilgang til systemer, noe som kan forhindre at et angrep blir sendt nedover linjen til kunder.
I dette scenariet er det fortsatt et sikkerhetsproblem å håndtere, men å håndtere det før hundrevis eller tusenvis av kunder har blitt påvirket, er en mye bedre måte å håndtere det på.
MER OM CYBERSIKKERHET
Hackere får mer hands-on med angrepene sine. Det er ikke et godt tegn Halvparten av virksomhetene kan ikke oppdage disse tegnene på trusler om intern cybersikkerhet Beste antivirusprogramvare for 2021 Supply chain -angrep blir verre , og du er ikke klar for dem Ransomware: Bare halvparten av organisasjonene kan effektivt forsvare seg mot angrep, advarer rapport
Relaterte emner:
Cloud Security TV Data Management CXO Data Senter 