Silverfort ปฏิวัติการป้องกันการเคลื่อนไหวด้านข้างด้วย MFA – การสะท้อนการโจมตีของ SolarWinds
ธันวาคม 24th, 2020 ยิฟทัคเคเชท
*****โดย Yiftach Keshet ผู้อำนวยการฝ่ายการตลาดผลิตภัณฑ์ Silverfort *****
MFA ป้องกันการบุกรุกบัญชีได้ 99.9% อย่างไรก็ตาม มาตรการรักษาความปลอดภัยที่มีประสิทธิภาพอย่างยิ่งในปัจจุบันนี้ ใช้ไม่ได้กับทรัพยากรหลักขององค์กร อันดับแรกและสำคัญที่สุดคือจุดสิ้นสุดและเซิร์ฟเวอร์ภายในองค์กร. เมื่อเร็ว ๆ นี้ การโจมตี SolarWinds แสดงอีกครั้งว่าการป้องกันการเคลื่อนไหวด้านข้างเป็นหนึ่งในจุดอ่อนที่สุดในชุดความปลอดภัยในปัจจุบัน Silverfort ปฏิวัติการป้องกันจากการเคลื่อนไหวด้านข้างโดยการนำ MFA มาใช้กับเอ็นด์พอยต์และการเข้าถึงเซิร์ฟเวอร์ในสภาพแวดล้อมภายในองค์กร การป้องกันที่มีอยู่ในเชิงรุก เทคนิคการเคลื่อนไหวด้านข้าง เช่นที่ใช้โดยผู้คุกคาม SolarWinds
สารบัญ
การเคลื่อนไหวด้านข้างในภาพรวมการโจมตีของ SolarWinds
พื้นที่ การเคลื่อนไหวด้านข้าง มีส่วนร่วมในการโจมตี SolarWinds ตามมาด้วยรูปแบบที่รู้จักกันดี: หลังจากการประนีประนอมครั้งแรก ผู้โจมตีเริ่มตามล่าข้อมูลประจำตัวซึ่งท้ายที่สุดจบลงด้วยการได้รับข้อมูลประจำตัวของผู้ดูแลระบบและเข้าสู่ระบบไปยังเป้าหมายจริง (ในกรณีนี้คือเซิร์ฟเวอร์ ADFS) เห็นได้ชัดว่าการเข้าสู่ระบบไปยังเครื่องต่าง ๆ ตามเส้นทางนั้นดำเนินการด้วยเครื่องมือบรรทัดคำสั่งการเข้าถึงระยะไกล (ป.ล, Powershell ฯลฯ)
การป้องกันการเคลื่อนไหวด้านข้างเสีย
เป็นมูลค่าการกล่าวขวัญว่าส่วน Initial Access ของการโจมตี SolarWinds นั้นนำเสนอนวัตกรรมขั้นสูง ความซับซ้อน และความคิดสร้างสรรค์ นั่นไม่ใช่กรณีของส่วนการเคลื่อนไหวด้านข้าง – แต่ก็ไม่ได้ทำให้มีประสิทธิภาพน้อยลง
ความจริงที่น่าเศร้าก็คือ เทคนิคการเคลื่อนไหวด้านข้าง และกลยุทธ์ไม่ได้เปลี่ยนแปลงมากนักตั้งแต่ทศวรรษที่แล้ว เพียงเพราะว่าพวกเขาไม่จำเป็นต้องทำ – จากมุมมองของผู้โจมตี ไม่จำเป็นต้องเปลี่ยนแปลงสิ่งที่ได้ผลดี และน่าเสียดายที่ในกรณีนี้พวกเขาพูดถูก ชุดรักษาความปลอดภัยขององค์กรล้มเหลวซ้ำแล้วซ้ำอีกกับการเคลื่อนไหวด้านข้าง
นี่เป็นเพราะโดยพื้นฐานแล้ว Lateral Movement at ไม่มีอะไรมากไปกว่าการเข้าสู่เครื่องด้วยข้อมูลประจำตัวที่ถูกต้อง (แม้ว่าจะถูกบุกรุก) การควบคุมความปลอดภัยที่มีอยู่ ไม่ว่าจะวางโดยตรงบนเอนด์พอยต์หรือตรวจสอบทราฟฟิกเครือข่ายอาจดีที่สุด ตรวจจับ ว่ามีการเข้าสู่ระบบที่ผิดปกติและแจ้งเตือน อย่างไรก็ตาม พวกเขาไม่สามารถทำอะไรแบบเรียลไทม์ได้ ป้องกัน การเข้าสู่ระบบไม่เกิดขึ้นจริง – ซึ่งโดยส่วนใหญ่จะสายเกินไป
กุญแจสำคัญในการป้องกันการเคลื่อนไหวด้านข้างคือการเข้าใจความหมายที่แท้จริงของสิ่งที่เราเพิ่งพูดไป: การเคลื่อนไหวด้านข้างไม่มีอะไรมากไปกว่าการเข้าสู่เครื่องโดยใช้ข้อมูลประจำตัวที่ถูกต้อง. กล่าวอีกนัยหนึ่ง มันคือการรับรองความถูกต้องที่ไม่ปลอดภัยซึ่งเราจำเป็นต้องลดน้อยลง และมีเทคโนโลยีที่สร้างขึ้นตามวัตถุประสงค์เพื่อขัดขวางสถานการณ์ที่ผู้ก่อภัยคุกคามพยายามเข้าถึงทรัพยากรขององค์กรด้วยข้อมูลประจำตัวที่ถูกต้อง – การตรวจสอบสิทธิ์แบบหลายปัจจัย
MFA ไม่สามารถใช้ได้กับการเคลื่อนไหวด้านข้าง
หนึ่งในไม่กี่ประเด็นที่เป็นเอกฉันท์ในหมู่ผู้ปฏิบัติงานด้านความปลอดภัยคือมูลค่ามหาศาลที่ MFA มอบให้ ตามที่ไมโครซอฟต์, MFA ป้องกันการประนีประนอมบัญชีได้ 99.9%. อย่างไรก็ตาม Active Directory อุปกรณ์ปลายทางและเซิร์ฟเวอร์ซึ่งเป็นเป้าหมายหลักสำหรับ Lateral Movement จะไม่รวมอยู่ในการป้องกันที่ MFA มอบให้
ปัจจุบันไม่มีเทคโนโลยีที่สามารถบังคับใช้ MFA บนเครื่องมือบรรทัดคำสั่งการเข้าถึงระยะไกลที่ผู้โจมตีใช้เพื่อย้ายด้านข้างระหว่างเครื่อง MFA เป็นเทคโนโลยีที่มีประสิทธิภาพและได้รับการพิสูจน์แล้วในการป้องกันการเข้าสู่ระบบที่เป็นอันตราย การไม่มีการลงชื่อเข้าใช้ในสภาพแวดล้อมภายในองค์กรคือสิ่งที่ทำให้การเคลื่อนไหวด้านข้างประสบความสำเร็จดังที่เราเคยเห็นใน APT จำนวนมาก รวมถึงการโจมตี SolarWinds ล่าสุด
แต่จะเป็นอย่างไรถ้า…?
อย่างไรก็ตาม MFA สามารถพลิกสถานการณ์จากผู้โจมตีได้อย่างง่ายดาย. เมื่อใช้ MFA เมื่อผู้โจมตีให้ข้อมูลรับรองการเข้าสู่ระบบแก่เครื่องใหม่ ผู้ใช้จริงซึ่งเป็นเจ้าของข้อมูลประจำตัวเหล่านี้ ได้รับการแจ้งเตือนไปยังโทรศัพท์หรือเดสก์ท็อปของเขา การแจ้งเตือนจะถามว่าจะอนุญาตหรือปฏิเสธการเข้าถึงเครื่อง และคำขอจะถูกปฏิเสธในที่สุด เนื่องจากผู้ใช้จริงไม่เคยพยายามเข้าสู่ระบบนี้ – และผู้โจมตีจะไม่สามารถเข้าถึงเครื่องได้
ติดตั้งสภาพแวดล้อมภายในองค์กรของคุณจากการเคลื่อนไหวด้านข้างด้วย Silverfort
Silverfort ปึกแผ่น การป้องกันตัวตน Platform (UIPP) เป็นผู้บุกเบิกส่วนขยายของ MFA ในทรัพยากรทั้งหมดขององค์กร รวมถึงทรัพยากรและวิธีการเข้าถึง Silverfort เป็นครั้งแรกที่จะแนะนำการบังคับใช้ของ ไอ้เวรตะไล นโยบายการเข้าถึงเกี่ยวกับการเข้าถึงปลายทางและเซิร์ฟเวอร์ภายในองค์กรผ่านเครื่องมือบรรทัดคำสั่งระยะไกล
นโยบายง่ายๆ ที่ต้องมีการยืนยัน MFA เมื่อใดก็ตามที่ผู้ดูแลระบบโดเมนเข้าสู่ระบบโดยใช้เครื่องมือบรรทัดคำสั่งการเข้าถึงระยะไกลจะลดอัตราความสำเร็จของการเคลื่อนไหวด้านข้างลงอย่างมาก สิ่งนี้จะใช้ได้แม้ในสถานการณ์การโจมตีของ SolarWinds ซึ่งผู้โจมตีสามารถจัดการกับข้อมูลประจำตัวของผู้ดูแลระบบได้ ในขณะที่ผู้โจมตีแน่นอน มี ข้อมูลรับรองพวกเขาจะไม่สามารถใช้เพื่อดำเนินการจริง เข้าสู่ระบบ ไปยังทรัพยากรที่พวกเขากำหนดเป้าหมาย
ข้อคิด
เหตุใดการไม่มี MFA จากสภาพแวดล้อมภายในองค์กรจึงถูกมองข้ามมาโดยตลอด? การไม่มีตัวตนนี้ฝังรากลึกอยู่ในกรอบความคิดทั่วไปที่ผู้ปฏิบัติงานด้านความปลอดภัย ผู้ปฏิบัติงานจริงและผู้บริหารส่วนใหญ่มักไม่มองว่ามันเป็นช่องว่างด้านความปลอดภัย แต่เป็นความจริงที่เราต้องอยู่ด้วย Silverfort อยู่ที่นี่เพื่อเปลี่ยนแปลงความเป็นจริงนี้
เรียนรู้เกี่ยวกับ Silverfort โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
