MGM Breach Takeaway: ภายในองค์กรกลายเป็นประตูสู่ระบบคลาวด์ของผู้โจมตี

Silverfort ภาพ
slv-rush-banner_1234x402-option-1
สารบัญ

แบ่งปันโพสต์นี้:

เมื่อสัปดาห์ที่แล้ว กลุ่มมัลแวร์เรียกค่าไถ่ BlackCat (หรือที่รู้จักในชื่อ ALPHV) โจมตีการดำเนินงานของ MGM Resorts และบังคับให้พวกเขาปิดระบบไอทีของตน สิ่งที่ทำให้การโจมตีนี้แตกต่างจากการโจมตีด้วยแรนซัมแวร์แบบเดิมๆ คือ ณ จุดหนึ่ง ผู้โจมตีสามารถใช้ประโยชน์จากการครอบงำโดเมนของตนในสภาพแวดล้อมภายในองค์กรเพื่อโจมตีระบบคลาวด์ โครงสร้างพื้นฐานด้านข้อมูลประจำตัวเก็บเกี่ยวรหัสผ่านข้อความที่ชัดเจนของผู้ใช้ Okta

การโจมตีนี้รวมเข้ากับผู้อื่น – รวมทั้งต่อต้านด้วย Okta,  Uberและ ซิสโก้ – ในการทำเครื่องหมายรูปแบบใหม่ที่ใช้ประโยชน์จากการเชื่อมต่อระหว่างกันของสภาพแวดล้อมภายในองค์กรและ SaaS เพื่อประนีประนอม SaaS ผ่านทางภายในองค์กร สิ่งนี้ทำให้เกิดความเสี่ยงที่สำคัญสำหรับทุกองค์กรในปัจจุบันที่มีสภาพแวดล้อมแบบไฮบริด (เช่น การใช้ทั้งไดเร็กทอรีภายในองค์กรและคลาวด์) และเน้นย้ำถึงความจำเป็นของการรวมเป็นหนึ่งเดียว การป้องกันตัว เข้าใกล้

MGM Breach: เดินผ่านขั้นตอนของการโจมตี

จากข้อมูลที่เปิดเผยต่อสาธารณะ เราสามารถสร้างโฟลว์ต่อไปนี้:

  • ผู้โจมตีได้รับข้อมูลเกี่ยวกับพนักงานใน LinkedIn โทรไปยังแผนกช่วยเหลือ และใช้วิศวกรรมสังคมเพื่อเข้าถึงเครือข่าย
  • หลังจากนั้นพวกเขาก็แสดง การเคลื่อนไหวด้านข้าง จนกว่าพวกเขาจะสามารถเข้าถึงตัวควบคุมโดเมน (รายละเอียดเกี่ยวกับเทคนิคที่แน่นอนที่ใช้ในขั้นตอนนี้ยังไม่ชัดเจน) และขโมยรหัสผ่านผู้ใช้ที่เก็บไว้ที่นั่น
  • เมื่อมาถึงจุดนี้ ผู้โจมตีจะขอค่าไถ่ และเมื่อถูกปฏิเสธ ก็ทำการติดตั้งในภายหลัง ransomware บนเซิร์ฟเวอร์ ESXi ของ MGM จากนั้นก็ยังคงเคลื่อนไหวด้านข้างต่อไปจนกว่าจะเข้าถึงเซิร์ฟเวอร์ Okta
  • เมื่อไปถึงที่นั่น ผู้โจมตีจะขโมยรหัสผ่านแบบข้อความธรรมดาจากเซิร์ฟเวอร์ ซึ่งทำให้พวกเขาสามารถเข้าสู่ระบบได้ Okta และเข้าถึงแอพ SaaS ใดๆ ที่จัดการได้

การครอบงำโดเมนภายในองค์กรที่ใช้เป็นก้าวสำคัญสู่สภาพแวดล้อม SaaS

สิ่งที่น่าสนใจเกี่ยวกับการโจมตีครั้งนี้ก็คือในขณะที่แฮกเกอร์สามารถเข้าถึงได้ Active Directory (AD) แฮช พวกเขาไม่สามารถเข้าถึงรหัสผ่านได้ ผู้โจมตีใช้ AD เพื่อเปลี่ยนไปยัง Okta และจัดการเพื่อขโมยรหัสผ่านข้อความธรรมดา โดยพื้นฐานแล้ว Active Directory ทำหน้าที่เป็นประตูสู่ Okta สิ่งนี้เน้นย้ำถึงความจำเป็นที่องค์กรต่างๆ จะต้องระบุและแก้ไขจุดอ่อนและการกำหนดค่าที่ไม่ถูกต้องในโครงสร้างพื้นฐานด้านข้อมูลประจำตัวของตน หลายองค์กรเชื่อมต่อกัน Active Directory ไปยัง Okta แต่มักจะมองข้ามการรักษาการเชื่อมต่อนี้ ซึ่งในกรณีนี้เปิดโอกาสให้ผู้โจมตีใช้ประโยชน์จากจุดอ่อนได้

ช่องว่างที่สำคัญของโครงสร้างพื้นฐานเอกลักษณ์แบบไฮบริด: เชื่อมต่อกันแต่ไม่ได้รับการปกป้อง

การละเมิดนี้เน้นย้ำถึงจุดอ่อนโดยธรรมชาติซึ่งมักถูกมองข้ามไป นั่นคือลักษณะของโครงสร้างพื้นฐานการระบุตัวตนที่กระจัดกระจายและแยกส่วนในสภาพแวดล้อมแบบไฮบริด ตอนนี้เรามาดูรายละเอียดเพิ่มเติมกันดีกว่า

องค์กรส่วนใหญ่จัดการผู้ใช้ภายในองค์กรของตน Active Directory. ในแบบคู่ขนาน พวกเขาจัดการผู้ใช้คนเดียวกันในไดเร็กทอรีระบบคลาวด์ของเซิร์ฟเวอร์รวม (เช่น Entra ID,ออกตะ,ปิง ฯลฯ) เพื่อให้ผู้ใช้ได้รับประสบการณ์การเข้าสู่ระบบที่ราบรื่น ผู้ให้บริการข้อมูลประจำตัวทั้งสองรายนี้จะซิงค์กัน ซึ่งหมายความว่าจะใช้ชื่อผู้ใช้และรหัสผ่านเดียวกันเพื่อเข้าถึงทรัพยากรทั้งภายในองค์กรและ SaaS นอกจากนี้ ไดเร็กทอรีที่ใช้สำหรับแอป SaaS มักจะมีรอยเท้าในสภาพแวดล้อมภายในองค์กร (เช่น เซิร์ฟเวอร์ Okta ในกรณีที่มีการละเมิดนี้)

การเชื่อมต่อนี้บอกเป็นนัยว่าหากผู้โจมตีทำสำเร็จ ผู้ใช้ที่ถูกบุกรุก ข้อมูลรับรองในสภาพแวดล้อมภายในองค์กร พวกเขาสามารถใช้เพื่อเข้าสู่ระบบแอป SaaS ได้โดยตรง ตลอดจนย้ายไปด้านข้างและลดทอนส่วนประกอบโครงสร้างพื้นฐานข้อมูลประจำตัวบนคลาวด์ในสภาพแวดล้อมภายในองค์กร

การเปิดเผยข้อมูลภัยคุกคามภายในองค์กรทำให้เป็นเวกเตอร์การโจมตีขั้นสุดยอดที่จะประนีประนอม SaaS

เอกสารไวท์เปเปอร์ล่าสุดที่เผยแพร่โดย งานวิจัยออสเตอร์มัน, “สถานะของการโจมตีตัวตน: ข้อมูลเชิงลึกเกี่ยวกับช่องว่างด้านความปลอดภัยที่สำคัญ” แสดงให้เห็นอย่างชัดเจนว่าสภาพแวดล้อมภายในองค์กรมีความเสี่ยงอย่างยิ่งต่อการใช้ข้อมูลประจำตัวที่ถูกบุกรุกสำหรับการเข้าถึงที่เป็นอันตราย

ตามรายละเอียดรายงานแบบดั้งเดิม การตรวจสอบหลายปัจจัย (MFA) และโซลูชัน Privileged Access Management (PAM) ไม่สามารถให้การป้องกันแบบเรียลไทม์ที่เพียงพอต่อการคุกคามข้อมูลประจำตัวสำหรับองค์กรส่วนใหญ่

ผู้คุกคามตระหนักถึงจุดบอดเหล่านี้อย่างเจ็บปวด และใช้ประโยชน์จากการเคลื่อนไหวด้านข้างภายในสภาพแวดล้อมภายในองค์กร โดยเผชิญกับการต่อต้านเพียงเล็กน้อยหรือแทบไม่มีเลย และการเคลื่อนไหวด้านข้างเป็นปัจจัย X ที่จะเปลี่ยนเหตุการณ์ในท้องถิ่น (เช่น เครื่องจักรที่ถูกบุกรุกเพียงเครื่องเดียว) ให้กลายเป็นเหตุการณ์ระดับองค์กร ดังที่แสดงให้เห็นการละเมิดของ MGM

สรุป: การปกป้องข้อมูลประจำตัวสำหรับภายในองค์กรเท่ากับการป้องกันข้อมูลประจำตัวสำหรับระบบคลาวด์

โซ่ใดๆ จะแข็งแกร่งพอๆ กับจุดอ่อนที่สุดเท่านั้น และสภาพแวดล้อมแบบไฮบริดนั้นเป็นลูกโซ่ที่ระบบภายในองค์กรและระบบคลาวด์เชื่อมโยงกันอย่างใกล้ชิด ดังนั้นการเสริมสร้างสภาพแวดล้อมภายในองค์กรจึงหมายถึงการเสริมสร้างความเข้มแข็งให้กับห่วงโซ่ทั้งหมด ไม่ว่าคุณจะมาไกลแค่ไหนในการโยกย้ายระบบคลาวด์ หากคุณยังคงมีส่วนภายในองค์กรอยู่ นี่ถือเป็นความเสี่ยงร้ายแรงที่คุณต้องจัดการ

แต่องค์กรต่างๆ จะสามารถจัดการกับช่องว่างนี้ได้อย่างไร? ท้ายที่สุดแล้ว ก่อนที่จะมีคลาวด์ ก็ไม่มีโซลูชันด้านความปลอดภัยที่สามารถลดความเสี่ยงของการเคลื่อนไหวด้านข้างและป้องกันได้แบบเรียลไทม์

Silverfort แพลตฟอร์มการป้องกันข้อมูลประจำตัวแบบครบวงจร: การบล็อกการเคลื่อนไหวด้านข้างแบบเรียลไทม์

Silverfort ได้บุกเบิกเป็นคนแรก การป้องกันตัวตนแบบครบวงจร แพลตฟอร์มที่สร้างขึ้นโดยมีจุดประสงค์เพื่อป้องกันภัยคุกคามข้อมูลประจำตัวแบบเรียลไทม์ทั่วทั้งผู้ใช้ ระบบ และสภาพแวดล้อม Silverfort ผสานรวมกับโครงสร้างพื้นฐานข้อมูลประจำตัวภายในองค์กรและระบบคลาวด์เพื่อให้การตรวจสอบอย่างต่อเนื่อง การวิเคราะห์ความเสี่ยง และการควบคุม เช่น MFA หรือการบล็อกการเข้าถึงในทุก ๆ การรับรอง และความพยายามในการเข้าถึง

ทางนี้, Silverfort สามารถนำการปกป้องข้อมูลประจำตัวมาสู่ทรัพยากรที่ไม่เคยมีการป้องกันมาก่อน ตัวอย่างคือการเข้าถึงเวิร์กสเตชันและเซิร์ฟเวอร์ผ่านบรรทัดคำสั่งผ่านเครื่องมือเช่น PsExec หรือ PowerShell ระยะไกล การเข้าถึงประเภทนี้เป็นวิธีเริ่มต้นที่ผู้โจมตีใช้ในการเคลื่อนที่ในแนวขวางและอยู่นอกเหนือขอบเขตของโซลูชัน MFA แบบดั้งเดิม Silverfort เป็นโซลูชั่นแรกที่สามารถทำได้ ต้องใช้ MFA เพื่อตรวจจับและบล็อกการเข้าถึงอันตรายประเภทนี้

สรุป ความน่าเชื่อถือของ Olymp Trade? Silverfort สามารถป้องกันสถานการณ์การโจมตีที่คล้ายกับ MGM ได้

ตามที่ระบุไว้ก่อนหน้านี้ ยังไม่ชัดเจนว่าผู้โจมตีทำการโจมตีด้วยการเคลื่อนไหวด้านข้างในเครือข่ายอย่างไร แต่ก็มีแนวโน้มว่า Silverfort สามารถป้องกันการละเมิดนี้ได้สองวิธี:

  1. Silverfort คงจะตรวจพบการเคลื่อนไหวด้านข้างได้ Active Directoryหยุดผู้โจมตีก่อนที่พวกเขาจะประนีประนอมได้
  2. ติดต่อเราโดยตรง Silverfort อาจจะตรวจพบผู้โจมตีที่ย้ายจาก AD ไปยัง Okta ซึ่งป้องกันการประนีประนอมของเซิร์ฟเวอร์ Okta

แผนภาพด้านล่างแสดงวิธีการ Silverfortการป้องกันจะหยุดการโจมตีได้ตั้งแต่ระยะแรก:

องค์กรของคุณมีสภาพแวดล้อมแบบไฮบริดหรือไม่? ค้นหาข้อมูลเพิ่มเติมเกี่ยวกับวิธีการ Silverfort สามารถช่วยลดความเสี่ยงของคุณได้ กำหนดเวลาการโทร กับหนึ่งในผู้เชี่ยวชาญของเรา

เรากล้าที่จะผลักดันการรักษาความปลอดภัยข้อมูลประจำตัวไปไกลยิ่งขึ้น

ค้นพบสิ่งที่เป็นไปได้

ตั้งค่าการสาธิตเพื่อดู Silverfort แพลตฟอร์มการรักษาความปลอดภัยข้อมูลประจำตัวในการดำเนินการ

รับการสาธิต