Violação da Cisco: um lembrete doloroso do ponto cego do movimento lateral

Ninguém está imune a violações, como demonstrado na semana passada, quando a gigante das redes Cisco relatou uma violação do seu ambiente interno. Embora os relatórios indiquem que nenhum dano significativo foi causado, esta violação apresenta uma oportunidade para refletir sobre as lacunas críticas no cenário atual de proteção de identidade em estágios-chave de uma trajetória de ataque: o acesso inicial e subsequente movimento lateral.

A lacuna mais evidente é a falta de informações em tempo real Proteção MFA dentro de um ambiente interno. Isso significa que, uma vez que os invasores obtenham acesso inicial a uma máquina e comprometam com êxito as credenciais do usuário, eles poderão executar movimentos laterais sem restrições. Silverfort aborda essas lacunas com sua plataforma Unified Identity Protection que pode estender MFA proteção para qualquer usuário, sistema ou ambiente — incluindo aqueles que nunca tiveram essa proteção antes.

O resumo a seguir é baseado em trechos da análise de ataque publicada pela equipe de inteligência de ameaças Talos da Cisco e concentra-se nos estágios que ilustram o Proteção de identidade lacunas e respectivas medidas de segurança que Silverfort proporciona.

Etapa 1: Acesso Inicial

• O ataque: Empregando fadiga MFA para atrair usuários para permitir acesso malicioso
  “Depois de obter as credenciais do usuário, o invasor tentou contornar o MFA usando uma variedade de técnicas, incluindo MFA fadiga, o processo de enviar um grande volume de solicitações push para o dispositivo móvel do alvo até que o usuário aceite, seja acidentalmente ou simplesmente para tentar silenciar as repetidas notificações push que está recebendo.”
• A lacuna: MFA estático que não responde dinamicamente à atividade direcionada
  No mundo de hoje, as medidas de segurança devem ser inteligentes, o que significa ser capaz de deduzir o significado dos padrões de eventos, comunicá-los a outros produtos de segurança e responder em conformidade. A notificação push de MFA que é solicitada repetidamente várias vezes e negada em todas elas é uma indicação clara de que atividades suspeitas estão ocorrendo. Devido à alta eficácia da MFA na prevenção de ataques que utilizam credenciais comprometidas para acessar credenciais direcionadas, espera-se apenas que os atores da ameaça respondam com técnicas de desvio, tornando a proteção contra eles uma necessidade.
• Silverfort pós-colheita: Automatizado fadiga MFA mitigação
  Silverfort fornece proteção dedicada contra fadiga de MFA, suprimindo notificações push do usuário após cinco tentativas consecutivas de acesso negado. Além disso, a pontuação de risco do usuário é imediatamente elevada para alertar a equipe de segurança de que o usuário foi alvo, para que possam agir de acordo.

Estágio 2: Movimento Lateral

• O ataque: Acessando uma ampla variedade de sistemas usando uma conta comprometida
  “Depois de estabelecer o acesso à VPN, o invasor começou a usar a conta de usuário comprometida para fazer logon em um grande número de sistemas antes de começar a penetrar ainda mais no ambiente. Eles migraram para o ambiente Citrix, comprometendo uma série de servidores Citrix e eventualmente obtiveram acesso privilegiado aos controladores de domínio.”
• A lacuna: Falta de MFA para acesso de linha de comando aos sistemas
  Ferramentas de acesso de linha de comando – como PsExec (usado neste ataque), PowerShell e WMI – são os principais utilitários que os administradores usam para acessar, configurar e solucionar problemas de máquinas remotas. Eles também são as ferramentas preferidas pelos invasores para se moverem lateralmente dentro de um ambiente. E não há solução que possa impor a proteção MFA nessas interfaces devido aos protocolos de autenticação que elas usam, o que significa que não há capacidade de bloquear em tempo real um invasor que tenha comprometido as credenciais do usuário. Esta é a lacuna mais crítica na pilha de segurança atual e a principal razão pela qual os ataques de movimento lateral ainda são uma ocorrência frequente: porque a tecnologia em uso não teve que evoluir.
• Silverfort pós-colheita: Proteção MFA em todos os recursos do ambiente
  Essa proteção MFA se aplica independentemente do método de acesso – RDP, PsExec, PowerShell, WMI, etc. – e impede que os invasores obtenham qualquer valor das credenciais comprometidas. Sempre que um invasor tenta realizar um login malicioso, Silverfort envia uma notificação de MFA ao usuário real para que ele possa negar o acesso imediatamente. E esta é a primeira instância de proteção em tempo real introduzida no ambiente interno.

Estágio 1A: Acesso inicial revisitado

• O ataque: Phishing de voz atraindo funcionários para conceder aprovação MFA
  “O invasor conduziu uma série de ataques sofisticados de phishing de voz sob o disfarce de várias organizações confiáveis, tentando convencer a vítima a aceitar notificações push de MFA iniciadas pelo invasor. O invasor finalmente conseguiu obter uma aceitação push de MFA, concedendo-lhes acesso à VPN no contexto do usuário alvo.”
• A lacuna: Ponto único de falha do MFA
  Os seres humanos são o elo mais fraco de qualquer cadeia de segurança. Portanto, as equipes de segurança devem presumir que um invasor determinado acabará conseguindo atrair um usuário para agir de maneira insegura. É exatamente por isso que a proteção deve ser multicamadas: porque no ataque da Cisco, uma vez comprometido o acesso VPN, os atacantes nunca mais tiveram que interagir com o usuário. Em vez disso, sob a cobertura do compromisso contas de usuário, eles poderiam, teoricamente, acessar qualquer recurso que desejassem.
• Silverfort pós-colheita: Proteção MFA multicamadas em todos os recursos
  Silverfort pode impor MFA em qualquer recurso, incluindo os servidores Citrix e controladores de domínio que foram alvo desta violação. Isso significa que mesmo que o phishing de voz dos invasores fosse bem-sucedido, eles teriam que repetir essa ação sempre que quisessem acessar um novo recurso – despertando, em última análise, a suspeita até mesmo do usuário mais confiante.

Conclusão: fechando a lacuna

Silverfort'S Proteção de identidade unificada A plataforma aborda uma lacuna de longa data que os agentes de ameaças têm visado com sucesso há mais de uma década – e mais recentemente no caso da violação da Cisco. A conclusão é que a capacidade de ter informações em tempo real e em várias camadas proteção contra movimento lateral é um componente chave de qualquer arquitetura de segurança.

Saiba mais sobre Silverfortproteção de movimento lateral SUA PARTICIPAÇÃO FAZ A DIFERENÇA.