Okta İhlalleri – Yalnızca Saldırganların Öğretebileceği Dersler

“Düşmandan başka öğretmen yoktur. Düşmandan başka hiç kimse size düşmanın ne yapacağını söyleyemez. Düşmandan başka hiç kimse size nasıl yok edeceğinizi ve fethedeceğinizi öğretemez. Sadece düşman sana nerede zayıf olduğunu gösterir. Sadece düşman sana nerede güçlü olduğunu gösterir. Ve oyunun kuralları, senin ona neler yapabileceğin ve onun sana neler yapmasını engelleyebileceğindir."
(Ender'in Oyunu, Orson Scott Kartı)

Yakın zamanda açıklanan Okta'ya saldırı kapsam ve etki açısından sınırlı gibi görünse de, ele geçirilen kimlik bilgilerinin kullanımının bu ihlalde oynadığı kritik role ilişkin önemli bilgiler sağlıyor. Bu ihlali günümüzün tehdit ortamının genel bağlamına yerleştirmek, kullanıcı kimliklerinin en çok hedeflenen tehdit haline geldiğini ortaya koyuyor saldırı yüzeyi. Tehdit aktörlerinin taktik kitabındaki bu değişiklik, güvenlik mimarimizi ve uygulamalarımızı nasıl etkilemeli ki, bu sayede tehdit aktörlerini kullanan saldırılara karşı kazanabilelim. kullanıcı hesapları ana saldırı vektörleri olarak mı? Bu makalede, Lapsus$ tehdit aktörlerinin bu ihlal konusunda bize öğrettiği önemli dersleri ve bu dersleri, ortamlarımızın kimlik tehditlerine karşı dayanıklılığını artırmak için nasıl kullanabileceğimizi araştırıyoruz.

Okta ihlalinin kısa bir özeti

Lapsus$ saldırı grubundaki saldırganlar, RDP aracılığıyla üçüncü taraf bir destek mühendisinin uç noktasını ele geçirmeyi başardı. Uç noktanın ele geçirilmesinin ardından, saldırganlar uç nokta koruma aracısını devre dışı bıraktı ve ProcessHacker ve Mimikatz gibi çeşitli araçları indirdi. Ardından, üçüncü taraf hizmet sağlayıcının Ağustos 365'de satın aldığı bir şirketle ilişkili O2021 hesabının kimlik bilgilerini ele geçirilmiş uç noktada kullandılar. Bu erişim elde edildikten sonra, saldırganlar yeni bir hesap oluşturdu ve tümünü iletmek için bir kural yapılandırdı. potansiyel olarak 366 Okta müşterisini etkileyen bu hesaba posta.

Güvenlik paydaşları için temel çıkarımlar:

Ders 1: Saldırganlar zayıf yönlerinizi hedefler

Peki düşman bu gedik aracılığıyla bize ne öğretti? İnanıyoruz… çok. Her şeyden önce, zincirin yalnızca en zayıf halkası kadar güçlü olduğu ve saldırganların en sonunda daha güçlü olanların ardındakilere erişmek için başlangıçta bu zayıf halkaları hedef aldığı bize hatırlatıldı (yeni bir şey değil). Tanımladığımız saldırı akışına göre, zayıf halkalara bakalım. Lapsus$ tehdit aktörleri saldırılarını başlatmayı hedeflediler:

1. Zayıflık: Yeni M&A ortamlarının eklenmesi

Burada yeni bir şey yok, ama yine de yararlı bir hatırlatma. Birleşmeler ve satın almalar, iş yaşam döngüsünün ayrılmaz bir parçasıdır. Bununla birlikte, canlı bir BT ortamını diğerine dahil etmenin kolay bir yolu yoktur. Burada kolay çözümler bulunmamakla birlikte, güvenlik ekipleri saldırganların oyun kitabından bir sayfa alıp ağlarının bu yeni bölümlerine daha fazla dikkat etmelidir çünkü hedef alınma olasılığı en yüksek olanlar bunlardır.

2. Zayıflık: Tedarik zinciri ve üçüncü şahıs erişimi

Modern kurumsal BT ortamı, bağımsız bir varlık değil, bir ekosistemdir. Bu, tasarım gereği, insanların sizin yönetmediğiniz makinelerden sizinkiyle uyumlu olmayabilecek güvenlik uygulamalarıyla ortamınıza bağlandığı ve bunlardan kaynaklanan bir ihlalden siz sorumlu kalacağınız anlamına gelir. Günün sonunda, tedarik zinciri ekosisteminin kontrol edebileceğiniz tek yönü, erişim politikası ve güvenilir olmak için 3. tarafların yerine getirmesi gereken gereksinimlerdir.

3. Zayıflık: Hibrit ortamdaki bulut kaynakları şirket içi makinelerden kaynaklanan saldırılara maruz kalıyor

Günün sonunda, bulut yerlisi olsanız ve dijital olarak dönüştürülmüş olsanız bile, ortamınızla arayüz oluşturan veya ortamınızın gerçek bir parçası olan web dışı kaynaklar olacaktır. En sezgisel örnek, çalışanlarınızın SaaS uygulamalarına ve bulut iş yüklerine bağlanmak için kullandıkları iş istasyonlarıdır. Böyle bir iş istasyonunun güvenliği ihlal edilirse, saldırganlar saklanan kimlik bilgilerini kolayca ele geçirebilir ve varlıklarını yalnızca şirket içindeki ek makinelere değil, aynı zamanda SaaS uygulamalarına ve bulut iş yüklerine de ilerletebilir.

Bu zayıflıkları incelemek, yama yapılmamış bir güvenlik açığı veya yanlış yapılandırılmış bir politika boyutunda olmadıklarını ortaya koymaktadır. Bir düğmeyi tıklatarak kolayca ortadan kaldırılamazlar ve herhangi bir güvenlik hatasının sonucu değildirler. Aksine, herhangi bir BT ortamının altyapısına özgüdürler.

Ders 2: Güvenliği ihlal edilmiş kimlik bilgileri, saldırının bel kemiğiydi

İlk iki zayıflığın her biri, ortamı çeşitli saldırı türlerine açarken, üçüncü zayıflık - bulut kaynaklarının şirket içi ortamdan kaynaklanan saldırılara maruz kalması - etkilerini radikal bir şekilde yoğunlaştırıyor. Güvenliği ihlal edilmiş kimlik bilgileri Bu saldırıda ikili rol oynadı. Birincisi, ele geçirilen makineye ilk erişimde, ikincisi ise O365'e erişimde. Yani bu kimlik tabanlı saldırı Üç zayıf noktayı bir araya getirerek yüksek koruma altında görünen kaynakları riske sokan son derece etkili bir saldırıya dönüştüren vektör.

Ders 3: Bir kimlik saldırı yüzeyi yalnızca birleştirildiğinde korunabilir

Dağınık, dağılmış kimlik Koruma kör noktalar oluşturur. RDP üzerinden uzaktan erişim VPN sağlayıcısı tarafından korunuyorsa, CASB tarafından SaaS oturum açma ve şirket içi makineler arasında EDR saldırganları tarafından yapılan dahili bağlantı, bunları birer birer atlayacaktır. Daha iyi bir alternatif, her kimlik doğrulama ve erişim girişimini merkezi olarak izlemek ve korumaktır; bu nedenle, bir kullanıcının bir kaynağa oturum açmasında tespit edilen bir risk, bu kullanıcının diğer tüm kaynaklara erişiminin de kısıtlanmasına olanak tanır.

Her güvenlik paydaşı bu analizden basit bir gerçeği çıkarabilir: günümüzün kurumsal ortamında kimlik, temel saldırı yüzeyidir. Siber saldırganlara karşı savaşta üstünlük kazanmak istiyorsak, güvenlik mimarilerimiz bu içgörüye göre ayarlanmalı, yanıt vermeli ve yerel hale gelmelidir.

düşmanı durdurmak

Okta ihlali, son yıllarda yavaş yavaş artan bir trendi gözler önüne seriyor. Saldırganlar, hedeflenen kaynaklara erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanarak kimlik tabanlı saldırılar başlatmayı tercih eder. Ve bunu yapıyorlar çünkü bu saldırı vektörü günümüzün kurumsal ortamında en az korunan vektör. Bizim tarafımızdan yanıt, kimliğin kritik bir saldırı yüzeyi olduğunu kabul etmek ve kimliği gerçek zamanlı önleme, algılama, kimlik tehditleri uzak iş istasyonlarına RDP bağlantısı, bir SaaS uygulamasında web oturumu açma ve şirket içi bir sunucuya komut satırı erişimi için eşit şekilde geçerli olan şirket içinde ve bulutta.

Hakkımızda Silverfort

Silverfort ilklere öncülük etti Kimlik Tehdidi Koruması hedeflenen kaynaklara erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanan kimlik tabanlı saldırılara gerçek zamanlı önleme, algılama ve yanıt verme amacıyla özel olarak oluşturulmuş platform. Silverfort sürekli izleme, risk analizi ve gerçek zamanlı uygulama yoluyla bu saldırıları önler Sıfır Güven Şirket içi ve buluttaki her kullanıcı, sistem ve ortama ilişkin erişim politikaları.

Hakkında daha fazla bilgi alın Silverfort kimlik tehdidi koruması.