Cisco İhlali: Yanal Hareket Kör Noktasına Dair Acı Bir Hatırlatma

Geçen hafta ağ devi Cisco'nun kendi iç ortamında bir ihlal bildirdiğinde gösterildiği gibi, hiç kimse ihlallere karşı bağışık değildir. Raporlar önemli bir zararın verilmediğini gösterse de, bu ihlal, günümüzün kimlik koruma ortamındaki kritik boşlukları bir saldırı yörüngesindeki kilit aşamalar boyunca yansıtmak için bir fırsat sunar: ilk erişim ve sonraki. yanal hareket.

En göze çarpan boşluk, gerçek zamanlı olmamasıdır. MFA koruması bir iç ortam içinde. Bu, saldırganların bir makineye ilk erişimini elde ettikten ve kullanıcı kimlik bilgilerini başarılı bir şekilde ele geçirdikten sonra, herhangi bir engel olmadan yanal hareket gerçekleştirebilecekleri anlamına gelir. Silverfort genişletilebilen Birleşik Kimlik Koruma platformuyla bu boşlukları giderir MFA Daha önce bu korumaya sahip olmayanlar da dahil olmak üzere herhangi bir kullanıcıya, sisteme veya ortama koruma sağlar.

Aşağıdaki özet, Cisco'nun Talos tehdit istihbarat ekibi tarafından yayınlanan saldırı analizinden alıntılara dayanmaktadır ve tehditleri gösteren aşamalara odaklanmaktadır. kimlik Koruma boşluklar ve ilgili güvenlik önlemleri Silverfort içerir.

Aşama 1: İlk Erişim

• Saldırı: istihdam MFA yorgunluğu kullanıcıları kötü niyetli erişime izin vermeleri için cezbetmek
  "Saldırgan, kullanıcının kimlik bilgilerini aldıktan sonra, MFA da dahil olmak üzere çeşitli teknikler kullanarak MFA'yı atlamaya çalıştı. yorgunluk, kullanıcı, yanlışlıkla veya yalnızca aldıkları tekrarlanan push bildirimlerini susturmayı deneyerek kabul edene kadar hedefin mobil cihazına yüksek hacimli push istekleri gönderme süreci.”
• Boşluk: Hedeflenen etkinliğe dinamik olarak yanıt vermeyen statik MFA
  Günümüz dünyasında, güvenlik önlemlerinin akıllı olması gerekir; bu, olay kalıplarının anlamını çıkarabilmek, bunları diğer güvenlik ürünlerine iletebilmek ve buna göre yanıt verebilmek anlamına gelir. Birden çok kez tekrar tekrar sorulan ve hepsinde reddedilen MFA push bildirimi, şüpheli etkinliğin gerçekleştiğinin açık bir göstergesidir. MFA'nın, hedeflenen kimlik bilgilerine erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanan saldırıları önlemedeki yüksek etkinliği nedeniyle, tehdit aktörlerinin yalnızca baypas teknikleriyle yanıt vermesi ve onlara karşı korumayı bir zorunluluk haline getirmesi beklenir.
• Silverfort Koruması: Otomatik MFA yorgunluğu hafifletme
  Silverfort sonrasında kullanıcı push bildirimlerini bastırarak MFA yorgunluğuna karşı özel koruma sağlar. art arda reddedilen beş erişim girişimi. Ek olarak, kullanıcının risk puanı, güvenlik ekibini kullanıcının hedef alındığı konusunda uyarmak ve buna göre hareket edebilmeleri için hemen yükseltilir.

Aşama 2: Yanal Hareket

• Saldırı: Güvenliği ihlal edilmiş bir hesap kullanarak çok çeşitli sistemlere erişme
  Saldırgan, VPN'ye erişim sağladıktan sonra, ortama daha fazla girmeye başlamadan önce güvenliği ihlal edilmiş kullanıcı hesabını çok sayıda sistemde oturum açmak için kullanmaya başladı. Bir dizi Citrix sunucusundan ödün vererek Citrix ortamına taşındılar ve sonunda etki alanı denetleyicilerine ayrıcalıklı erişim elde ettiler.”
• Boşluk: Sistemlere komut satırı erişimi için MFA eksikliği
  Komut satırı erişim araçları – örneğin PsExec (bu saldırıda kullanıldı), PowerShell ve WMI, yöneticilerin uzaktaki makinelere erişmek, yapılandırmak ve sorunlarını gidermek için kullandığı ana yardımcı araçlardır. Bunlar aynı zamanda saldırganların bir ortamda yanal hareket etmeleri için tercih edilen araçlardır. Ve kullandıkları kimlik doğrulama protokolleri nedeniyle bu arayüzlerde MFA korumasını uygulayabilecek bir çözüm yoktur; bu, kullanıcı kimlik bilgilerini ele geçiren bir saldırganı gerçek zamanlı olarak engelleme yeteneğinin olmadığı anlamına gelir. Bu, günümüzün güvenlik yığınındaki en kritik boşluktur ve yanal hareket saldırılarının hala sık karşılaşılan bir durum olmasının ana nedenidir: çünkü kullanılan teknolojinin gelişmesi gerekmemiştir.
• Silverfort Koruması: Ortamdaki tüm kaynaklarda MFA koruması
  Bu MFA koruması, erişim yönteminden (RDP, PsExec, PowerShell, WMI vb.) bağımsız olarak geçerlidir ve saldırganların güvenliği ihlal edilmiş kimlik bilgilerinden herhangi bir değer elde etmesini engeller. Bir saldırgan kötü niyetli bir oturum açma girişiminde bulunduğunda, Silverfort erişimi doğrudan reddedebilmeleri için gerçek kullanıcıya bir MFA bildirimi gönderir. Ve bu, dahili ortama tanıtılan gerçek zamanlı korumanın ilk örneğidir.

Aşama 1A: İlk Erişim Yeniden Ziyaret Edildi

• Saldırı: Sesli kimlik avı, çalışanları MFA onayı vermeye ikna ediyor
  "Saldırgan, kurbanı kendisi tarafından başlatılan MFA push bildirimlerini kabul etmeye ikna etmeye çalışan çeşitli güvenilir kuruluşlar kisvesi altında bir dizi gelişmiş sesli kimlik avı saldırısı gerçekleştirdi. Saldırgan nihayetinde, hedeflenen kullanıcı bağlamında VPN'e erişim izni veren bir MFA push kabulü elde etmeyi başardı."
• Boşluk: MFA tek hata noktası
  İnsanlar herhangi bir güvenlik zincirinin en zayıf halkasıdır. Bu nedenle güvenlik ekipleri, kararlı bir saldırganın eninde sonunda kullanıcıyı güvensiz bir şekilde davranmaya ikna etmeyi başaracağını varsaymalıdır. Tam da bu nedenle koruma çok katmanlı olmalıdır: Cisco saldırısında, VPN erişimi bir kez ele geçirildiğinde saldırganların bir daha kullanıcıyla etkileşime girmesi gerekmemiştir. Bunun yerine, tehlikeye atılanların kisvesi altında kullanıcı hesapları, teorik olarak istedikleri herhangi bir kaynağa erişebiliyorlardı.
• Silverfort Koruması: Tüm kaynaklarda çok katmanlı MFA koruması
  Silverfort bu ihlalde hedeflenen Citrix sunucuları ve etki alanı denetleyicileri dahil olmak üzere herhangi bir kaynak üzerinde MFA'yı uygulayabilir. Bu, saldırganların sesli kimlik avı başarılı olsa bile, yeni bir kaynağa her erişmek istediklerinde bu eylemi tekrarlamak zorunda kalacakları ve sonuçta en güvenen kullanıcının bile şüphe uyandıracağı anlamına gelir.

Sonuç: Açığı Kapatmak

Silverfort'S Birleşik Kimlik Koruması platform, tehdit aktörlerinin on yılı aşkın bir süredir başarıyla hedeflediği uzun süredir devam eden bir açığı ve en son olarak da Cisco ihlali vakasını ele alıyor. Paket servisi, gerçek zamanlı, çok katmanlı olma yeteneğidir. yanal harekete karşı koruma herhangi bir güvenlik mimarisinin önemli bir bileşenidir.

Hakkında daha fazla bilgi alın Silverfortyanal hareket koruması okuyun.