The Okta Breach – บทเรียนที่ผู้โจมตีเท่านั้นที่สามารถสอนได้
เมษายน 10th, 2022 ยิฟทัคเคเชท
“ไม่มีครู มีแต่ศัตรู ไม่มีใครนอกจากศัตรูที่จะบอกคุณว่าศัตรูกำลังจะทำอะไร ไม่มีใครนอกจากศัตรูที่จะสอนวิธีทำลายและพิชิตให้คุณ มีเพียงศัตรูเท่านั้นที่จะแสดงให้คุณเห็นว่าคุณอ่อนแอตรงไหน ศัตรูเท่านั้นที่จะแสดงให้คุณเห็นว่าเขาแข็งแกร่งแค่ไหน และกฎของเกมคือสิ่งที่คุณสามารถทำได้กับเขาและคุณสามารถหยุดเขาไม่ให้ทำกับคุณได้”
(เกม Ender,ออร์สัน สก็อตการ์ด)
ในขณะที่เพิ่งเปิดเผย โจมตี Okta ดูเหมือนว่าจะมีขอบเขตและผลกระทบที่จำกัด แต่ก็ยังให้ข้อมูลเชิงลึกที่สำคัญเกี่ยวกับบทบาทที่สำคัญของการใช้ข้อมูลประจำตัวที่ถูกบุกรุกในการละเมิดนี้ การวางการละเมิดนี้ภายในบริบทโดยรวมของภูมิทัศน์ภัยคุกคามในปัจจุบันเผยให้เห็นว่าตัวตนของผู้ใช้กลายเป็นเป้าหมายสูงสุด พื้นผิวการโจมตี. การเปลี่ยนแปลงใน Playbook ของผู้แสดงภัยคุกคามควรส่งผลต่อสถาปัตยกรรมและแนวทางปฏิบัติด้านความปลอดภัยของเราอย่างไร เพื่อให้เราสามารถเอาชนะการโจมตีที่ใช้ได้ บัญชีผู้ใช้ เป็นเวกเตอร์การโจมตีหลักของพวกเขาเหรอ? ในบทความนี้ เราจะสำรวจบทเรียนสำคัญที่ผู้ดำเนินการภัยคุกคาม Lapsus$ ได้สอนเราเกี่ยวกับการละเมิดนี้ และวิธีที่เราสามารถใช้บทเรียนเหล่านี้เพื่อเพิ่มความยืดหยุ่นของสภาพแวดล้อมของเราต่อภัยคุกคามด้านการระบุตัวตน
สารบัญ
สรุปสั้น ๆ เกี่ยวกับการละเมิด Okta
ผู้โจมตีจากกลุ่มโจมตี Lapsus$ สามารถประนีประนอมจุดสิ้นสุดของวิศวกรฝ่ายสนับสนุนบุคคลที่สามผ่าน RDP หลังจากการบุกรุกของเครื่องปลายทาง ผู้โจมตีได้ปิดการใช้งานเอเจนต์การป้องกันเครื่องปลายทางและดาวน์โหลดเครื่องมือต่างๆ เช่น ProcessHacker และ Mimikatz จากนั้นพวกเขาใช้เครื่องมือเหล่านี้บนจุดสิ้นสุดที่ถูกบุกรุกเพื่อรับข้อมูลประจำตัวสำหรับบัญชี O365 ซึ่งเชื่อมโยงกับบริษัทที่ผู้ให้บริการบุคคลที่สามได้รับในเดือนสิงหาคม 2021 เมื่อได้รับการเข้าถึงนี้ ผู้โจมตีจะสร้างบัญชีใหม่และกำหนดค่ากฎเพื่อส่งต่อทั้งหมด ส่งอีเมลไปยังบัญชีนี้ ซึ่งอาจส่งผลกระทบต่อลูกค้า 366 Okta
ประเด็นสำคัญสำหรับผู้มีส่วนได้ส่วนเสียด้านความปลอดภัย:
บทเรียนที่ 1: ผู้โจมตีกำหนดเป้าหมายไปที่จุดอ่อนของคุณ
แล้วศัตรูได้สอนอะไรเราจากช่องโหว่นี้? เราเชื่อ...มาก ก่อนอื่นเราได้รับการเตือน (ไม่มีอะไรใหม่) ว่าห่วงโซ่นั้นแข็งแกร่งพอ ๆ กับลิงค์ที่อ่อนแอที่สุดเท่านั้น และผู้โจมตีกำหนดเป้าหมายไปที่ลิงค์ที่อ่อนแอเหล่านี้ในท้ายที่สุดเพื่อเข้าถึงสิ่งที่อยู่เบื้องหลังลิงค์ที่แข็งแกร่งกว่า จากกระแสการโจมตีที่เราอธิบาย มาดูลิงก์ที่อ่อนแอกว่ากัน Lapsus $ ผู้คุกคาม ได้กำหนดเป้าหมายเพื่อเปิดการโจมตี:
จุดอ่อน #1: การเพิ่มสภาพแวดล้อม M&A ใหม่
ไม่มีอะไรใหม่ที่นี่ แต่ยังคงเป็นเครื่องเตือนใจที่มีประโยชน์ การควบรวมกิจการเป็นส่วนสำคัญของวงจรชีวิตธุรกิจ ที่กล่าวว่าไม่มีวิธีที่ง่ายในการดูดซับสภาพแวดล้อมไอทีหนึ่งไปยังอีกสภาพแวดล้อมหนึ่ง แม้ว่าจะไม่มีวิธีแก้ปัญหาที่ง่ายนัก แต่ทีมรักษาความปลอดภัยควรนำหน้าหนึ่งจาก playbook ของผู้โจมตีและทุ่มเทความสนใจไปที่ส่วนใหม่เหล่านี้ของเครือข่าย เนื่องจากมีแนวโน้มมากที่สุดที่จะตกเป็นเป้าหมาย
จุดอ่อน #2: ห่วงโซ่อุปทานและการเข้าถึงของบุคคลที่สาม
สภาพแวดล้อมไอทีขององค์กรสมัยใหม่คือระบบนิเวศ ไม่ใช่เอนทิตีแบบสแตนด์อโลน นั่นหมายความว่าโดยการออกแบบ คนกำลังเชื่อมต่อกับสภาพแวดล้อมของคุณจากเครื่องที่คุณไม่ได้จัดการด้วยแนวทางปฏิบัติด้านความปลอดภัยที่อาจไม่สอดคล้องกับของคุณ ในขณะที่คุณยังคงรับผิดชอบต่อการละเมิดที่เกิดขึ้นเนื่องจากสิ่งเหล่านี้ ท้ายที่สุดแล้ว ด้านเดียวของระบบนิเวศห่วงโซ่อุปทานที่คุณสามารถควบคุมได้คือนโยบายการเข้าถึงและข้อกำหนดที่บุคคลที่สามควรปฏิบัติตามเพื่อให้ได้รับความไว้วางใจ
จุดอ่อน #3: ทรัพยากรคลาวด์ในสภาพแวดล้อมแบบไฮบริดถูกโจมตีจากเครื่องในองค์กร
ท้ายที่สุด แม้ว่าคุณจะใช้ระบบคลาวด์และแปลงเป็นดิจิทัลแล้วก็ตาม ทรัพยากรที่ไม่ใช่เว็บจะเชื่อมต่อกับสภาพแวดล้อมของคุณหรือเป็นส่วนหนึ่งของสภาพแวดล้อมจริง ตัวอย่างที่เข้าใจง่ายที่สุดคือเวิร์กสเตชันที่พนักงานของคุณใช้เพื่อเชื่อมต่อกับแอปพลิเคชัน SaaS และปริมาณงานบนคลาวด์ หากเวิร์กสเตชันดังกล่าวถูกบุกรุก ผู้โจมตีสามารถใช้ประโยชน์จากข้อมูลประจำตัวที่เก็บไว้ได้อย่างง่ายดาย และพัฒนาการแสดงตน ไม่เพียงแต่กับเครื่องเพิ่มเติมในองค์กรเท่านั้น แต่ยังรวมถึงแอปพลิเคชัน SaaS และปริมาณงานบนคลาวด์ด้วย
การตรวจสอบจุดอ่อนเหล่านี้แสดงให้เห็นว่าไม่ได้อยู่ในขอบเขตของช่องโหว่ที่ไม่ได้แพตช์หรือนโยบายที่กำหนดค่าผิดพลาด สิ่งเหล่านี้ไม่สามารถกำจัดออกได้ง่ายๆ ด้วยการคลิกปุ่ม และไม่ได้เป็นผลมาจากการทุจริตต่อหน้าที่ด้านความปลอดภัยใดๆ ค่อนข้างจะมีอยู่ในโครงสร้างพื้นฐานของสภาพแวดล้อมด้านไอทีใดๆ
บทเรียนที่ #2: ข้อมูลประจำตัวที่ถูกบุกรุกคือกระดูกสันหลังของการโจมตี
ในขณะที่จุดอ่อนสองข้อแรกแต่ละข้อเปิดสภาพแวดล้อมสำหรับการโจมตีหลายประเภท จุดอ่อนข้อที่สาม – การเปิดเผยทรัพยากรคลาวด์ต่อการโจมตีที่มาจากสภาพแวดล้อมภายในองค์กร – กลับทำให้ผลกระทบรุนแรงขึ้นอย่างมาก ข้อมูลประจำตัวที่ถูกบุกรุก มีบทบาทสองประการในการโจมตีครั้งนี้ ประการแรก ในการเข้าถึงเครื่องที่ถูกบุกรุกครั้งแรก และประการที่สอง ในการเข้าถึง O365 ดังนั้นมันคือ การโจมตีตามข้อมูลประจำตัว เวกเตอร์ที่นำจุดอ่อนทั้งสามมาสู่การโจมตีที่มีประสิทธิภาพอย่างยิ่ง ซึ่งทำให้ทรัพยากรมีความเสี่ยงซึ่งดูเหมือนว่าจะได้รับการคุ้มครองในระดับสูง
บทเรียน #3: พื้นผิวการโจมตีข้อมูลประจำตัวสามารถป้องกันได้เมื่อรวมเป็นหนึ่งเท่านั้น
แยกย้ายกันไป การป้องกันตัว สร้างจุดบอด หากการเข้าถึงระยะไกลผ่าน RDP ได้รับการปกป้องโดยผู้ให้บริการ VPN การเข้าสู่ระบบ SaaS ด้วย CASB และการเชื่อมต่อภายในระหว่างเครื่องภายในองค์กรโดยผู้โจมตี EDR จะเลี่ยงผ่านทีละเครื่อง ทางเลือกที่ดีกว่าคือการตรวจสอบและปกป้องการตรวจสอบสิทธิ์และความพยายามในการเข้าถึงทุกครั้งจากส่วนกลาง ดังนั้นความเสี่ยงที่ตรวจพบในการเข้าสู่ระบบของผู้ใช้ไปยังทรัพยากรเดียวจะทำให้ผู้ใช้รายนี้จำกัดการเข้าถึงทรัพยากรอื่นๆ ทั้งหมดได้เช่นกัน
ผู้มีส่วนได้ส่วนเสียด้านความปลอดภัยทุกรายสามารถนำความจริงง่ายๆ ข้อหนึ่งไปจากการวิเคราะห์นี้ได้: ในสภาพแวดล้อมขององค์กรปัจจุบัน ข้อมูลประจำตัวคือส่วนสำคัญของการโจมตี และสถาปัตยกรรมความปลอดภัยของเราต้องปรับเปลี่ยน ตอบสนอง และกลายเป็นเจ้าของข้อมูลเชิงลึกนี้ หากเราต้องการได้เปรียบในการต่อสู้กับผู้โจมตีทางไซเบอร์
หยุดศัตรู
การละเมิด Okta แสดงให้เห็นถึงแนวโน้มที่เพิ่มขึ้นอย่างช้าๆ ในช่วงไม่กี่ปีที่ผ่านมา ผู้โจมตีชอบเปิดการโจมตีตามข้อมูลประจำตัว โดยใช้ข้อมูลรับรองที่ถูกบุกรุกเพื่อเข้าถึงทรัพยากรเป้าหมาย และพวกเขาทำเช่นนั้นเพราะเวกเตอร์การโจมตีนี้มีการป้องกันน้อยที่สุดในสภาพแวดล้อมขององค์กรในปัจจุบัน การตอบสนองจากฝ่ายเราควรเป็นการยอมรับว่าตัวตนนั้นเป็นพื้นผิวการโจมตีที่สำคัญและปกป้องมันตามนั้น – ด้วยการป้องกันแบบเรียลไทม์ การตรวจจับ การตอบสนองต่อ การคุกคามตัวตน ภายในองค์กรและในระบบคลาวด์ ซึ่งใช้อย่างเท่าเทียมกันกับการเชื่อมต่อ RDP กับเวิร์กสเตชันระยะไกล การเข้าสู่ระบบเว็บไปยังแอปพลิเคชัน SaaS และการเข้าถึงบรรทัดคำสั่งไปยังเซิร์ฟเวอร์ภายในองค์กร
เกี่ยวกับเรา Silverfort
Silverfort ได้บุกเบิกเป็นคนแรก การป้องกันภัยคุกคามข้อมูลประจำตัว แพลตฟอร์มที่สร้างขึ้นตามวัตถุประสงค์สำหรับการป้องกัน การตรวจจับ และการตอบสนองตามเวลาจริงต่อการโจมตีตามข้อมูลประจำตัวที่ใช้ข้อมูลรับรองที่ถูกบุกรุกเพื่อเข้าถึงทรัพยากรเป้าหมาย Silverfort ป้องกันการโจมตีเหล่านี้ผ่านการตรวจสอบอย่างต่อเนื่อง การวิเคราะห์ความเสี่ยง และการบังคับใช้แบบเรียลไทม์ ความน่าเชื่อถือเป็นศูนย์ เข้าถึงนโยบายกับทุกผู้ใช้ ระบบ และสภาพแวดล้อมทั้งภายในองค์กรและในระบบคลาวด์
เรียนรู้เพิ่มเติมเกี่ยวกับ Silverfort การป้องกันภัยคุกคามข้อมูลประจำตัว.
