Omtrek-gebaseerde aanvalle maak 'n terugkeer: Hier is hoe om veilig te bly
INHOUDSOPGAWE:
Ons is gewoond daaraan om te hoor hoe die tradisionele netwerkomtrek dood is. Dat die koms van wolktoepassings, tuiswerk en alomteenwoordige mobiele toestelle 'n meer vloeiende, verspreide korporatiewe IT-omgewing geskep het. Dit kan tot op 'n punt waar wees. Maar selfs al het werknemers toegang tot korporatiewe SaaS-toepassings, sal daar gewoonlik steeds 'n soort korporatiewe netwerk bestaan. En toepassings of toestelle wat aan die rand sit.
Die uitdaging vir IT-sekuriteitspanne is dat hierdie produkte toenemend deur bedreigingsakteurs aangeval word. Die situasie is so erg dat die Nasionale Kuberveiligheidsentrum (NCSC) leiding wat onlangs uitgereik is oor hoe om hierdie risiko's te versag. Netwerkverdedigers moet kennis neem.
Van dan tot nou
Soos die NCSC verduidelik, is die huidige teiken van omtrekprodukte iets van 'n terugslag na die vroeë dae van die internet, toe bedreigingsakteurs voordeel getrek het uit swak omtreksekuriteit om kwesbaarhede te ontgin en rekeninge te kaap. Dit het hulle 'n vastrapplek gegee in netwerke wat beperkte monitering gehad het - wat aanvallers in staat gestel het om vir lang tydperke ongesiens te bly.
Maar uiteindelik het netwerkverdedigers ingehaal en hierdie dienste moeiliker gemaak om te kompromitteer. Bedreigingsakteurs het daarna hul aandag gevestig op onveilige kliëntsagteware en blaaiers, en uitvissing-e-posse.
Nou swaai die pendulum weer terug. Kliëntsagteware word toenemend ontwerp met sekuriteit in gedagte (dink: sandkaste, hele herskrywings en geheue-veilige tale) en Office-makro's word by verstek geblokkeer. Volgens die NCSC dwing dit bedreigingsakteurs om hul aandag terug te vestig op omtreksprodukte.
Waarom omtrekaanvalle 'n terugkeer maak
"Omdat hulle weet dat hulle minder geneig is om op swak wagwoorde of verkeerde konfigurasies staat te maak, kyk hulle toenemend na produkte op die netwerkomtrek (soos lêeroordragtoepassings, firewalls en VPN's), en vind nuwe nul-dag kwesbaarhede in hierdie produkte, en wals reg in,” waarsku die NCSC. "Sodra 'n kwesbaarheid bekend is, sluit ander aanvallers aan, wat lei tot massa-uitbuiting."
Om hierdie nul-dae te vind, is nie so moeilik as wat dit mag lyk nie – want kode in sulke produkte is gewoonlik minder geneig om deur ontwerp veilig te wees as kliëntsagteware, sê die agentskap. Hierdie omtrek-gebaseerde aanbiedinge ly ook aan 'n gebrek aan effektiewe aantekening, anders as kliënttoestelle wat vandag toenemend "hoë-end" opsporing- en reaksienutsgoed gebruik. Dit alles maak hulle die perfekte teiken vir bedreigingsakteurs wat 'n vastrapplek wil kry in korporatiewe netwerke vir datadiefstal, afpersing en meer.
'n Waarskuwingsverhaal: Ivanti
Die NCSC se waarskuwings kom te midde van 'n vlaag aanvalle teen omtrekprodukte. Van die mees noemenswaardige was 'n reeks nul-dag-uitbuitings wat Ivanti se Connect Secure VPN-produk en sy Policy Secure-netwerktoegangsbeheer-oplossing (NAC) gerig het. CVE-2023-46805 en CVE-2024-21887 is geopenbaar deur die verkoper in Januarie, hoewel daar geglo word dat 'n Chinese bedreigingsakteur hulle al meer as 'n maand uitgebuit het om webskulpe op slagofferorganisasies se interne en eksterne webbedieners te plaas.
Weke later, dit het na vore gekom dat kuberkrakers nog 'n nul-dag (CVE-2024-21893) uitbuit om 'n aanvanklike versagting te omseil wat Ivanti vrygestel het om die oorspronklike twee nul-dag foute te hanteer. Die potensiële bedreiging vir organisasies is so akuut dat die Five Eyes-intelligensie-agentskappe a lang veiligheidsadvies aan die einde van Februarie.
"Die kwesbaarhede het 'n impak op alle ondersteunde weergawes (9.x en 22.x) en kan in 'n ketting van uitbuitings gebruik word om kwaadwillige kuberbedreiging-akteurs in staat te stel om verifikasie te omseil, kwaadwillige versoeke te skep en arbitrêre opdragte met verhoogde voorregte uit te voer," lui dit. .
Versterk omtrekverdediging
Die vraag vir CISO's is hoe om sulke bedreigings te versag. Op die lang termyn bepleit die NCSC dat verskaffers aandring om veiliger produkte te bou, en vermy dié wat nie veilige-deur-ontwerp sagteware kan bewys nie. Tog sal dit nie vandag se dreigemente verhoed nie. Die ander voorstelle kan meer uitvoerbaar wees:
1) Oorweeg weergawes van hierdie omtrekprodukte wat deur die wolk aangebied word eerder as op die perseel. Alhoewel dit dalk nog steeds nie deur ontwerp veilig is nie, sal hulle vinniger reggemaak word en moet gereeld deur die verkoper gemonitor word. Boonop, as die ergste gebeur en hulle word gekompromitteer, sal dit ten minste nie aan aanvallers 'n vastrapplek in die korporatiewe netwerk gee nie. In die beste geval kan die bedreiging-akteurs selfs jou korporatiewe data alleen laat.
2) As migrasie na 'n wolkweergawe nie moontlik is nie, skakel enige ongebruikte “koppelvlakke, portale of dienste van internet-gerigte sagteware” af of blokkeer op die firewall-vlak. Die nul-dae in daardie Ivanti-produkte het hierdie soort bykomende diens beïnvloed (in daardie geval hul “webkomponente”)
3) Maak seker dat enige interne omtrekprodukte ontwikkel word met sekuriteitsfront en -sentrum – met wolkgasheer en bedienerlose opsies wat die moeite werd is om te oorweeg om enige moontlike uitval te beperk as hulle aangeval word
Richard Werner, kuberveiligheidsadviseur by Trend Micro, voer aan dat die keuse van toepassings wat deur die wolk aangebied word (SaaS) by verstek nie 'n wondermiddel is nie.
“SaaS-benaderings word aantreklike teikens vir misdadigers wat daarop gemik is om verskeie teikens met een aanval te beïnvloed, geïllustreer deur die 2021 Kaseya-voorval,” vertel hy aan ISMS.online. "Terwyl SaaS bekende kuberrisiko's doeltreffend kan versag, moet dit nie as die uiteindelike oplossing vir die kernprobleem beskou word nie."
Hy voeg by dat die voorkoming van kwesbaarheidsuitbuiting waarskynlik uiters uitdagend sal bly – en eis 'n veelvlakkige defensiewe benadering.
"Die nakoming van die beste praktyke vir sekuriteit is van kardinale belang, maar selfs in ideale scenario's is volledige risikovermyding onbereikbaar," voer Werner aan. "Gevolglik moet maatskappye hul sekuriteitsmaatreëls aanvul met tegnologieë soos uitgebreide opsporing en reaksie (XDR), wat deur moderne wette soos NIS 2 opdrag gegee word."
Uiteindelik, as die omtrek mettertyd moeiliker word vir bedreigingsakteurs om te teiken, sal hulle na 'n ander deel van die aanvalsoppervlak beweeg wat minder goed verdedig is.
“Dit is van kardinale belang om die sikliese aard van sekuriteitsbesprekings te verstaan, waar aanvallers kwesbaarhede uitbuit en verdedigers daarna streef om dit te stuit. Hierdie verdedigingsmeganismes spoor aanvallers aan om nuwe toegangspunte te soek of hul pogings te verskerp,” sluit Werner af.
“Doeltreffendheid in verdediging word gemeet deur dit vir aanvallers te duur te maak om 'n suksesvolle pad te vind. Om sukses te bepaal, bly egter 'n uitdaging vir verdedigers vanweë verskillende aanvallerdoelwitte.”
Aangesien hierdie doelwitte aanhou verander, moet netwerkverdedigers en die verkopergemeenskap aanpas. Die uitdaging is dat behendigheid aan die aanvallende kant tot dusver die spoed van reaksie ver oortref het.
