Cisco Breach: การเตือนอย่างเจ็บปวดเกี่ยวกับจุดบอดของการเคลื่อนไหวด้านข้าง
สิงหาคม 17th, 2022 ยิฟทัคเคเชท
ไม่มีใครรอดพ้นจากการละเมิดดังที่แสดงให้เห็นเมื่อสัปดาห์ที่แล้วเมื่อ Cisco ยักษ์ใหญ่ด้านระบบเครือข่ายรายงานการละเมิดสภาพแวดล้อมภายใน แม้ว่ารายงานจะระบุว่าไม่มีอันตรายร้ายแรงเกิดขึ้น แต่การละเมิดนี้นำเสนอโอกาสในการสะท้อนถึงช่องว่างที่สำคัญในแนวการป้องกันข้อมูลประจำตัวในปัจจุบันผ่านขั้นตอนสำคัญในวิถีการโจมตี: การเข้าถึงครั้งแรกและหลังจากนั้น การเคลื่อนไหวด้านข้าง.
ช่องว่างที่เห็นได้ชัดเจนที่สุดคือการขาดเวลาจริง การป้องกัน MFA ภายในสภาพแวดล้อมภายใน ซึ่งหมายความว่าเมื่อผู้โจมตีเข้าถึงเครื่องได้เบื้องต้นและประนีประนอมข้อมูลประจำตัวของผู้ใช้ได้สำเร็จ พวกเขาสามารถดำเนินการเคลื่อนไหวด้านข้างโดยไม่มีข้อผูกมัด Silverfort แก้ไขช่องว่างเหล่านี้ด้วยแพลตฟอร์ม Unified Identity Protection ที่สามารถขยายได้ ไอ้เวรตะไล การป้องกันผู้ใช้ ระบบ หรือสภาพแวดล้อมใด ๆ — รวมถึงผู้ที่ไม่เคยมีการป้องกันนี้มาก่อน
ข้อมูลสรุปต่อไปนี้อ้างอิงจากข้อความที่ตัดตอนมาจากการวิเคราะห์การโจมตีที่เผยแพร่โดยทีมข่าวกรองด้านภัยคุกคาม Talos ของ Cisco และมุ่งเน้นไปที่ขั้นตอนต่างๆ ที่แสดงให้เห็นถึง การป้องกันตัว ช่องว่างและมาตรการรักษาความปลอดภัยที่เกี่ยวข้องนั้น Silverfort ให้
สารบัญ
ขั้นตอนที่ 1: การเข้าถึงเบื้องต้น
- การโจมตี: การจ้างงาน MFA ความเหนื่อยล้า เพื่อหลอกล่อผู้ใช้ให้อนุญาตการเข้าถึงที่เป็นอันตราย
“หลังจากได้รับข้อมูลประจำตัวของผู้ใช้แล้ว ผู้โจมตีพยายามเลี่ยงผ่าน MFA โดยใช้เทคนิคต่างๆ รวมถึง MFA ความเมื่อยล้าซึ่งเป็นกระบวนการส่งคำขอพุชจำนวนมากไปยังอุปกรณ์เคลื่อนที่ของเป้าหมายจนกว่าผู้ใช้จะยอมรับ ไม่ว่าจะโดยไม่ได้ตั้งใจหรือเพียงแค่พยายามปิดเสียงการแจ้งเตือนพุชซ้ำๆ ที่พวกเขาได้รับ” - ช่องว่าง: MFA แบบคงที่ที่ไม่ตอบสนองต่อกิจกรรมเป้าหมายแบบไดนามิก
ในโลกปัจจุบัน มาตรการรักษาความปลอดภัยต้องชาญฉลาด ซึ่งหมายถึงความสามารถในการอนุมานความหมายของรูปแบบเหตุการณ์ สื่อสารกับผลิตภัณฑ์รักษาความปลอดภัยอื่นๆ และตอบสนองตามนั้น การแจ้งเตือนแบบพุชของ MFA ที่ได้รับการแจ้งเตือนซ้ำๆ หลายครั้งและถูกปฏิเสธในการแจ้งเตือนทั้งหมดเป็นตัวบ่งชี้ที่ชัดเจนว่ามีกิจกรรมที่น่าสงสัยกำลังเกิดขึ้น เนื่องจาก MFA มีประสิทธิภาพสูงในการป้องกันการโจมตีที่ใช้ข้อมูลประจำตัวที่ถูกบุกรุกเพื่อเข้าถึงข้อมูลประจำตัวที่เป็นเป้าหมาย จึงคาดว่าผู้คุกคามจะตอบโต้ด้วยเทคนิคการบายพาสเท่านั้น การป้องกันจึงเป็นสิ่งจำเป็น - Silverfort การป้องกัน: อัตโนมัติ MFA ความเหนื่อยล้า การบรรเทา
Silverfort ให้การป้องกันโดยเฉพาะจากความเหนื่อยล้าของ MFA โดยระงับการแจ้งเตือนแบบพุชของผู้ใช้หลังจากนั้น ความพยายามปฏิเสธการเข้าถึงห้าครั้งติดต่อกัน. นอกจากนี้ คะแนนความเสี่ยงของผู้ใช้ยังเพิ่มขึ้นทันทีเพื่อแจ้งเตือนทีมรักษาความปลอดภัยว่าผู้ใช้ตกเป็นเป้าหมายเพื่อให้พวกเขาสามารถดำเนินการตามนั้น
ขั้นตอนที่ 2: การเคลื่อนไหวด้านข้าง
- การโจมตี: การเข้าถึงระบบที่หลากหลายโดยใช้บัญชีที่ถูกบุกรุก
“หลังจากสร้างการเข้าถึง VPN แล้ว ผู้โจมตีก็เริ่มใช้บัญชีผู้ใช้ที่ถูกบุกรุกเพื่อเข้าสู่ระบบจำนวนมากก่อนที่จะเริ่มดำเนินการเพิ่มเติมในสภาพแวดล้อม พวกเขาย้ายเข้าสู่สภาพแวดล้อม Citrix ประนีประนอมชุดเซิร์ฟเวอร์ Citrix และได้รับสิทธิพิเศษในการเข้าถึงตัวควบคุมโดเมนในที่สุด” - ช่องว่าง: ขาด MFA สำหรับการเข้าถึงบรรทัดคำสั่งไปยังระบบ
เครื่องมือการเข้าถึงบรรทัดคำสั่ง - เช่น PsExec (ใช้ในการโจมตีนี้), PowerShell และ WMI – เป็นยูทิลิตี้หลักที่ผู้ดูแลระบบใช้เพื่อเข้าถึง กำหนดค่า และแก้ไขปัญหาเครื่องระยะไกล นอกจากนี้ยังเป็นเครื่องมือที่ผู้โจมตีเลือกใช้ในการเคลื่อนไหวด้านข้างภายในสภาพแวดล้อม และไม่มีโซลูชันใดที่สามารถบังคับใช้การป้องกัน MFA บนอินเทอร์เฟซเหล่านี้ได้เนื่องจากโปรโตคอลการตรวจสอบความถูกต้องที่พวกเขาใช้ ซึ่งหมายความว่าไม่มีความสามารถในการบล็อกผู้โจมตีแบบเรียลไทม์ที่บุกรุกข้อมูลประจำตัวของผู้ใช้ นี่เป็นช่องว่างที่สำคัญที่สุดในกลุ่มการรักษาความปลอดภัยในปัจจุบัน และเป็นสาเหตุหลักที่ทำให้การโจมตีด้วยการเคลื่อนไหวด้านข้างยังคงเกิดขึ้นบ่อยครั้ง เนื่องจากเทคโนโลยีที่ใช้งานอยู่นั้นไม่ได้มีการพัฒนา - Silverfort การป้องกัน: การป้องกัน MFA ในทรัพยากรทั้งหมดภายในสภาพแวดล้อม
การป้องกัน MFA นี้ใช้โดยไม่คำนึงถึงวิธีการเข้าถึง – RDP, PsExec, PowerShell, WMI และอื่นๆ – และกีดกันผู้โจมตีจากการเก็บเกี่ยวคุณค่าใดๆ จากข้อมูลประจำตัวที่ถูกบุกรุก เมื่อใดก็ตามที่ผู้โจมตีพยายามเข้าสู่ระบบที่เป็นอันตราย Silverfort ส่งการแจ้งเตือน MFA ไปยังผู้ใช้จริงเพื่อให้พวกเขาสามารถปฏิเสธการเข้าถึงได้ทันที และนี่คือตัวอย่างแรกของการป้องกันแบบเรียลไทม์ที่ถูกนำมาใช้กับสภาพแวดล้อมภายใน
ด่าน 1A: การเข้าถึงครั้งแรกมาเยือนอีกครั้ง
- การโจมตี: ฟิชชิงด้วยเสียงหลอกล่อพนักงานเพื่อให้อนุมัติ MFA
“ผู้โจมตีทำการโจมตีแบบฟิชชิงด้วยเสียงที่ซับซ้อนหลายชุดภายใต้หน้ากากขององค์กรที่เชื่อถือได้หลายแห่งที่พยายามโน้มน้าวให้เหยื่อยอมรับการแจ้งเตือนแบบพุชของ MFA ที่เริ่มต้นโดยผู้โจมตี ในที่สุดผู้โจมตีก็ประสบความสำเร็จในการบรรลุการยอมรับแบบพุชของ MFA โดยอนุญาตให้พวกเขาเข้าถึง VPN ในบริบทของผู้ใช้เป้าหมาย” - ช่องว่าง: MFA จุดเดียวของความล้มเหลว
มนุษย์เป็นจุดอ่อนที่สุดของห่วงโซ่ความปลอดภัย ดังนั้น ทีมรักษาความปลอดภัยควรสันนิษฐานว่าท้ายที่สุดแล้วผู้โจมตีที่มุ่งมั่นจะสามารถล่อลวงผู้ใช้ให้กระทำการในลักษณะที่ไม่ปลอดภัยได้สำเร็จ นี่คือเหตุผลว่าทำไมการป้องกันจึงต้องมีหลายชั้น เนื่องจากในการโจมตีของ Cisco เมื่อการเข้าถึง VPN ถูกบุกรุก ผู้โจมตีจะไม่ต้องโต้ตอบกับผู้ใช้อีกเลย กลับอยู่ภายใต้การปกปิดของผู้ถูกประนีประนอม บัญชีผู้ใช้ตามทฤษฎีแล้ว พวกเขาสามารถเข้าถึงทรัพยากรใดๆ ก็ตามที่ต้องการได้ - Silverfort การป้องกัน: การป้องกัน MFA หลายชั้นในทรัพยากรทั้งหมด
Silverfort สามารถบังคับใช้ MFA กับทรัพยากรใด ๆ รวมถึงเซิร์ฟเวอร์ Citrix และตัวควบคุมโดเมนที่ตกเป็นเป้าหมายในการละเมิดนี้ ซึ่งหมายความว่าแม้ว่าการฟิชชิงด้วยเสียงของผู้โจมตีจะประสบความสำเร็จ พวกเขาจะต้องดำเนินการซ้ำทุกครั้งที่ต้องการเข้าถึงแหล่งข้อมูลใหม่ ซึ่งท้ายที่สุดก็กระตุ้นความสงสัยให้กับผู้ใช้ที่ไว้ใจได้มากที่สุด
สรุป: ปิดช่องว่าง
Silverfort's การป้องกันตัวตนแบบครบวงจร แพลตฟอร์มช่วยแก้ไขช่องว่างที่มีมายาวนานซึ่งผู้คุกคามสามารถกำหนดเป้าหมายได้สำเร็จมานานกว่าทศวรรษ และล่าสุดคือในกรณีของการละเมิดของ Cisco ประเด็นสำคัญก็คือความสามารถในการมีเรียลไทม์หลายชั้น ป้องกันการเคลื่อนไหวด้านข้าง เป็นองค์ประกอบสำคัญของสถาปัตยกรรมความปลอดภัยใดๆ
เรียนรู้เพิ่มเติมเกี่ยวกับ Silverfortการป้องกันการเคลื่อนไหวด้านข้างของ โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
