Principais conclusões da violação do Uber: por que MFA, proteção de conta de serviço e PAM devem trabalhar juntos para proteger contra credenciais comprometidas

A recente violação da Uber deve servir de alerta para repensar a forma como a proteção de identidade é implementada e praticada nos ambientes empresariais atuais. Porque o aspecto mais marcante desta violação não é apenas o papel desempenhado pelas credenciais comprometidas, mas o fracasso do Proteção de identidade medidas que estavam em vigor para impedir o uso malicioso dessas credenciais.

Este ataque, na verdade, é uma ilustração perfeita da razão pela qual as ameaças de identidade são hoje o vector de ataque mais proeminente devido às lacunas inerentes nas actuais MFA e Soluções PAM. Neste artigo, examinamos essas lacunas e discutimos Silverfortabordagem unificada da Proteção de identidade por meio de uma plataforma desenvolvida especificamente para impedir exatamente essas ameaças.

Fluxo de Ataque: Credencial Comprometida ao Longo do Caminho

1. Os invasores obtiveram credenciais VPN de um fornecedor terceirizado. Uber publicado que “É provável que o invasor tenha comprado a senha corporativa do Uber do contratante na dark web, depois que o dispositivo pessoal do contratante foi infectado com malware, expondo essas credenciais”.
2. Com essas credenciais em mãos, os invasores realizaram uma Ataque bombista do MFA seguido por uma ligação direta para o contratante, onde eles se faziam passar pela equipe de suporte. Isso resultou na aprovação da notificação de MFA pelo contratante, concedendo assim aos invasores acesso ao ambiente interno da Uber.
3. Uma vez lá dentro, o invasor escaneou a rede até encontrar um compartilhamento de rede que, de acordo com as informações do invasor Tweet, continha alguns scripts Powershell. Um dos scripts Powershell continha o nome de usuário e a senha de um usuário administrador em PAM'. Usando isso, ele conseguiu acessar o PAM e extrair dados de vários sistemas, incluindo DA, Duo, OneLogin, AWS e Google Workspace.
   Importante: sendo incorporado em um script, esse 'usuário de domínio' provavelmente era uma conta de serviço criada para permitir que o script executasse as autenticações necessárias para cumprir sua tarefa. É uma prática comum codificar essas credenciais em um script, mas isso significa que elas não podem ser armazenadas em cofre e sujeitas à rotação de senha do PAM, tornando-as vulneráveis ​​a ataques.
4. A partir daí, eles acessaram vários recursos à vontade, incluindo a publicação de uma foto explícita em um quadro de mensagens interno.
   
   

Lacunas que permitiram o ataque

Analisando as medidas de segurança em vigor, vemos uma variedade de pontos fracos nas soluções MFA e PAM, bem como na proteção da conta de serviço que permitiu que este ataque fosse bem-sucedido. Vamos examinar cada um:

MFA: Proteção Limitada e Cobertura Parcial

• Incapacidade de detectar autenticação arriscada: a solução de MFA em vigor não tinha a capacidade de identificar tentativas de acesso negadas continuamente como um indicador de risco, resultando em solicitações repetidas do contratante.
• Incapacidade de proteger o acesso a compartilhamentos de rede: Apesar de sua experiência de usuário simples, o acesso a um compartilhamento de rede (via UI ou linha de comando) aciona um processo de autenticação em segundo plano por meio do protocolo CIFS. Como este serviço não suporta nativamente MFA, não houve proteção no acesso ao compartilhamento de rede.

PAM: ponto único de falha quando implantado como proteção autônoma

• Acesso desprotegido: Não houve controle de segurança para o login inicial na interface PAM. A exigência de MFA para esse acesso teria eliminado a capacidade dos invasores de utilizar as credenciais comprometidas para acesso malicioso.
• Ponto unico de falha: mesmo depois que um invasor violou o PAM e começou a acessar os dados, não foi necessário prosseguir. Uma arquitetura de segurança sólida deve colocar proteções em múltiplas camadas para acesso privilegiado, de modo que, mesmo que a camada PAM seja violada, ainda existam outros controles de segurança para impedir o avanço dos invasores.

Contas de serviço: falta de monitoramento e proteção

• Incapacidade de guardar e alternar senhas: Conforme explicado anteriormente, as credenciais para contas de serviço que estão codificados em um script não podem estar sujeitos à rotação e armazenamento de senha, pois isso provavelmente resultará na interrupção dos processos executados pelo script. No entanto, o resultado neste caso foi crítico, uma vez que a exposição destas credenciais permitiu aos atacantes acesso direto ao PAM.

A Silverfort Maneira: MFA adaptativo, proteção de conta de serviço e fortalecimento de PAM

Silverfort'S Proteção de identidade unificada A plataforma estende a MFA a qualquer usuário, sistema ou recurso (incluindo aqueles que nunca poderiam ser protegidos antes) e impõe políticas de MFA adaptativas que podem responder com eficiência aos riscos detectados. Além disso, Silverfort coloca uma cerca virtual entre contas de serviço para evitar o uso indevido por agentes de ameaças.

Em conjunto com uma solução PAM, Silverfort pode evitar violações semelhantes às do Uber por meio dos seguintes recursos:

• Mitigação de bombardeio do MFA: Silverfort as políticas podem ser configuradas para suprimir o envio de prompts de MFA ao usuário após uma sequência de tentativas de acesso negado. Embora as tentativas de acesso sejam registradas e visíveis em Silverfort console para a equipe de segurança investigar, o usuário real não os verá e, portanto, não ficará tentado a permitir o acesso. Leia mais em Silverfortmitigação do bombardeio do MFA neste blog.
• Proteção MFA para compartilhamentos de rede: Silverfort pode aplicar proteção MFA no acesso ao compartilhamento de rede. Isto é conseguido por Silverfortintegração de com Active Directory, que permite analisar todas as tentativas de acesso, independentemente do protocolo ou serviço de autenticação utilizado. Isso adiciona outra camada de proteção e evita que invasores acessem essas pastas mesmo quando tiverem credenciais comprometidas em mãos.
• Proteção de conta de serviço dedicada: Silverfort automatiza a descoberta, o monitoramento de atividades, a análise de riscos e a criação de políticas de acesso para todas as contas de serviço no ambiente. Isto significa que qualquer desvio da conta de serviço da sua atividade padrão pode desencadear uma política que bloquearia o seu acesso ao recurso visado.
• Proteção MFA para acesso PAM: Silverfort pode impor uma política de MFA sobre o acesso ao próprio console PAM, protegendo-o de acesso malicioso como aquele na violação do Uber.
• MFA ou bloqueio de acesso para contas privilegiadas que acessam de uma fonte não PAM: Silverfort pode impor uma política que exigiria MFA ou bloquearia totalmente o acesso de qualquer conta privilegiada (ou seja, aqueles armazenados no cofre do PAM) que tenta acessar recursos de qualquer fonte que não seja a própria máquina PAM. Tal política é uma mitigação direta contra cenários em que o conteúdo PAM foi extraído maliciosamente por invasores que tentam usar essas credenciais privilegiadas recém-comprometidas para acessar recursos confidenciais.

O diagrama a seguir mostra o fluxo do ataque e os vários estágios em que Silverfort teria evitado:

Conclusão

A suposição realista que as partes interessadas em segurança devem fazer é que as credenciais eventualmente serão comprometidas. Considerando isso, a referência definitiva para medir a parte da proteção de identidade na pilha de segurança corporativa é o quão resiliente ela é a tal cenário. Como estabelecemos neste artigo, o tradicional Soluções de AMF e a implantação autônoma do PAM não fornece o nível de proteção que as empresas precisam atualmente.  

SilverfortA plataforma Unified Identity Protection da Microsoft é a primeira solução a apresentar uma solução holística que combina MFA adaptativo, proteção automatizada de contas de serviço e fortalecimento de PAM que pode enfrentar o cenário atual de ameaças de identidade. Clique SUA PARTICIPAÇÃO FAZ A DIFERENÇA para saber mais.