Ein Bericht von Luke Richards, Dmitriy Beryoza & Kat Traxler.
Der jüngste Sicherheitsvorfall bei Okta ist ein weiteres Beispiel für eine Kompromittierung der Lieferkette. Auch wenn dieser Angriff offenbar nicht in vollem Umfang durchgeführt wurde und nur eine begrenzte Anzahl von Unternehmen betroffen ist, wirft er doch eine Reihe interessanter Fragen auf, wie ein Angriff auf eine IDP in der Lieferkette aussehen würde, wenn er vollständig durchgeführt würde. Das Ergebnis einer Kompromittierung einer IDP oder einer ähnlich weit verbreiteten Technologie könnte eine Angriffsgruppe sein, die Zugang zu Millionen von Benutzern und Tausenden von Unternehmen hat.
Die Taktik einer Kompromittierung der Lieferkette an sich ist nicht neu, wenn man an die jüngsten hochkarätigen Sicherheitsverletzungen wie Kaseya und SolarWinds denkt. Aber die Vorstellung eines Angriffs auf die Lieferkette, der sich auf die Kundenverwaltung konzentriert, ist beängstigend, wenn man sich vor Augen führt, was ein Sicherheitsteam zu tun hätte.
Der Zugriff auf Konten hat bei 85 % der jüngsten Angriffe eine Rolle gespielt. Konten ermöglichen Angreifern den Zugriff auf nahezu alles in einem Unternehmen, von cloud-verwalteten Ressourcen in öffentlichen cloud SaaS-Anwendungen bis hin zu Netzwerkressourcen, ohne dass Nutzdaten oder Kontakt mit überwachten Endpunkten erforderlich sind.
Angesichts der aufgeworfenen Fragen, was hätte passieren können, geben wir im Folgenden Empfehlungen für Sicherheitsteams für den Fall, dass eine IDP oder eine andere identitätsorientierte Software in eine Kompromittierung der Lieferkette verwickelt ist. Diese Empfehlungen gelten auch für die Kompromittierung von Konten, die aus anderen Taktiken als Angriffen auf die Lieferkette resultieren. Aus der Sicht eines Angreifers ist die Lieferkette nur eine von vielen Methoden, um ein Konto zu kompromittieren. Die Art und Weise, wie Angreifer kompromittierte Konten nutzen, um ihre Ziele in einer Zielumgebung zu erreichen, und wie Verteidiger diese Aktionen erkennen und darauf reagieren können, sind im Wesentlichen dieselben, unabhängig von der ursprünglichen Methode der Kompromittierung.
Bewerten Sie die aktuelle Situation
Sammeln Sie so viele Informationen über den Verstoß wie möglich
Wennan einer Kompromittierung eine dritte Partei beteiligt ist, die kontrollierten Informationen, die von der betroffenen Organisation veröffentlicht werden, und die Aussagen der Angreifer, kann es schwierig sein, ein vollständiges Bild des Geschehens zu erhalten. Beziehen Sie mehrere Informationsquellen in Ihre Analyse ein, einschließlich der Kommentare unabhängiger Sicherheitsforscher, um das Ausmaß des Vorfalls abzuschätzen.
Bestimmen Sie den ungefähren Zeitrahmen für den Verstoß
Die Nachricht über das Sicherheitsereignis wird manchmal erst Wochen oder sogar Monate nach dem Angriff bekannt. Um möglichst viele IoCs zu finden, sollten Sie ein weites Netz auswerfen und einen realistischen Zeitrahmen festlegen, innerhalb dessen bösartige Aktivitäten stattgefunden haben könnten.
Machen Sie eine Bestandsaufnahme von allem, was Ihr Identity Provider berührt
Moderne Unternehmen nutzen Hunderte von verschiedenen Diensten und Anwendungen, und manchmal haben sogar die SOCs Schwierigkeiten, ein genaues Bild des Bestands zu verfolgen. Was man nicht kennt, kann man auch nicht angemessen schützen. Daher ist es von entscheidender Bedeutung, sich vollständige Kenntnisse über alle Einrichtungen zu verschaffen, die der Anbieter bedient, um alle Folgen einer Sicherheitsverletzung abzudecken.
Überprüfen Sie die jüngsten Aktivitäten in den Protokollen und alle ausgelösten Warnungen.
Etablierte Anbieter sollten über gute Protokolle aller kritischen Aktivitäten innerhalb der Umgebung verfügen. Überprüfen Sie anhand der Zeitplanung alle relevanten Änderungen an der Systemkonfiguration, um alles zu erkennen, was Angreifern den Weg in Ihr Unternehmen ebnen könnte: neue Verwaltungsbenutzer, erhöhte Berechtigungen, redundante Zugangsdaten, neu installierte Anwendungen, angemeldete Geräte usw. Alle protokollierten Sicherheitswarnungen sollten ebenfalls ausgewertet werden.
Untersuchen Sie alle anderen Änderungen, die einen redundanten Zugang ermöglichen könnten.
Manchmal ist die verfügbare Protokollierung nicht aktiviert oder nicht ausreichend. Es lohnt sich, die aktuellen Sicherheitseinstellungen zu überprüfen, um festzustellen, ob etwas geändert wurde, das ungewöhnlich ist.
Entschärfen Sie bösartige Änderungen
Rückgängig machen von böswilligen Einstellungsänderungen
Dieser Schritt ist selbsterklärend - alle erkannten bösartigen Änderungen sollten rückgängig gemacht werden. Ihre vollständigen Details sollten aufgezeichnet werden, um ein vollständiges Bild der Kompromittierung zu erhalten und weitere forensische Aktivitäten zu unterstützen.
Benutzerpasswörter zurücksetzen
Wenn Sie den Verdacht haben, dass einzelne Benutzerkonten kompromittiert sein könnten, kann es notwendig sein, einen Wechsel der Benutzeranmeldeinformationen zu erzwingen. Auch wenn dieser Schritt bei Ihren Benutzern unpopulär sein wird, ist er einfach durchzuführen und ein praktischer Schritt im Umgang mit einer möglichen Kontokompromittierung.
Schlüssel und Zertifikate rotieren
Das Zurücksetzen von Anmeldeinformationen für Anwendungen und Dienste ist in der Regel eine viel komplexere und arbeitsintensivere Tätigkeit. Auch wenn es unvermeidlich sein kann, wenn die entsprechenden Geheimnisse bekannt werden, sollten Sie sich vergewissern, dass es notwendig ist, bevor Sie damit beginnen.
Entziehen Sie alle übermäßigen Berechtigungen von Drittanbietern
Einige Identitätsanbieter (einschließlich Okta) können Kunden um die Erlaubnis bitten, auf Mietereinstellungen zuzugreifen und diese zu ändern oder Systemdebugging durchzuführen. Im Falle einer Kompromittierung des Anbieters wäre es ratsam, den bereits erteilten Zugriff zu widerrufen.
Die Verteidigung verstärken
Aktuelle Sicherheitseinstellungen überprüfen
Dies ist ein weiterer offensichtlicher Schritt. Ein Sicherheitsvorfall ist eine gute Gelegenheit, Ihre aktuellen Sicherheitseinstellungen zu überprüfen und zu verschärfen. Produkte zur Verwaltung der Sicherheitslage wie Siriux, die Lücken in den Konfigurationen von Azure AD und M365-Kontrollen scannen und identifizieren können, können dabei eine große Hilfe sein.
Installieren Sie eine Überwachungslösung
Auch die am besten konfigurierte Sicherheitslösung ist nicht vor Angriffen gefeit. Der menschliche Faktor oder Angriffe auf die Lieferkette (z. B. eine IdP-Verletzung) können die externen Verteidigungsmaßnahmen überwinden. Wenn es zu Vorfällen kommt, benötigen Sie eine wirksame Erkennungs- und Reaktionslösung wie die Vectra Plattform, um bösartige Aktivitäten zu überwachen und das Fortschreiten der Angreifer zu stoppen.
Durchsicht von Playbooks für die Reaktion auf Vorfälle
Im Idealfall haben Sie bereits einen Plan für einen Vorfall bei Ihrem Identitätsanbieter und führen ihn gerade aus. Diejenigen, die noch nicht ausreichend vorbereitet sind, sollten die Gelegenheit nutzen, um einen Plan für die Folgen einer Sicherheitsverletzung bei einem kritischen Infrastrukturanbieter, von dem Ihr Unternehmen abhängig ist, zu erstellen.
Erwägen Sie eine Prüfung durch eine dritte Partei
Wenn sich die Wogen geglättet haben, ist es ratsam, ein Audit durch einen seriösen Sicherheitsdienstleister zu planen, um zu überprüfen, ob Ihre Sicherheitsvorkehrungen gut konzipiert sind und keine offensichtlichen Lücken aufweisen.
Was sind die Anzeichen für ein gefährdetes Konto?
Wenn ein oder mehrere Konten kompromittiert werden, sind die Auswirkungen nicht immer sofort erkennbar. Aufgrund der Vielfalt der Aktionen, die ein Konto durchführen kann, und der Art und Weise, wie die Ressourcen verwaltet werden, ist das Signal für ein kompromittiertes Konto in der Regel durch anormale Aktivitäten im Zusammenhang mit dem Zugriff auf wertvolle Dienste, Funktionen, Hosts oder Daten gekennzeichnet. Die Definition dessen, was anormal und sogar was wertvoll ist, ist natürlich keine einfache Aufgabe.
Teams können zwar die Active Directory-Protokolle des Netzwerks durchforsten und die von einem cloud -Dienst protokollierten Aktionen überprüfen, doch angesichts des Ausmaßes und der Mehrdeutigkeit des Problems lassen sich KI-Lösungen am besten einsetzen, um zu erkennen, was anomal ist und auf das Ziel eines Angreifers ausgerichtet ist. Dies ist besonders wichtig, wenn man mit Szenarien konfrontiert wird, in denen die Alternative dazu, nicht genau zu wissen, wer kompromittiert wurde, darin besteht, Anmeldedaten, Zugriffstoken und möglicherweise private Schlüssel neu zu rollen.
Vectra wendet sicherheitsorientierte KI an, um die Aktionen von Angreifern mit kompromittierten Konten zu überwachen und darauf zu reagieren, und zwar in Ihrem gesamten Unternehmen -cloud, SaaS und AWS. Die Warnungen konzentrieren sich nicht nur auf Anomalien, sondern auch auf das Verhalten der Angreifer. Techniken wie Privilege Analytics von Vectra, die automatisch den Wert von Konten und Assets sowohl in hybridencloud als auch in reinen SaaS-Umgebungen verstehen, können dem Anormalen einen Sinn geben, indem sie den Wert von Assets auf der Grundlage ihrer historischen Aktivitäten verstehen.
Manuelle Untersuchung kompromittierter und risikobehafteter Konten
Diejenigen, die keine Plattform wie Vectranutzen können, müssen die Besonderheiten des Vorfalls und die Interaktion der IDP mit ihrer Umgebung bewerten, um potenzielle Konten zu ermitteln, die im Verdacht der Kompromittierung stehen. Im Fall von Okta kann dies beispielsweise durch die Untersuchung von Kontoänderungen während des offengelegten Zeitraums der Angreiferkontrolle innerhalb der IDP-Infrastruktur geschehen.
Während des normalen Betriebs von Security Operations können Analysten einen zusätzlichen Aufwand für die Überwachung von hochrangigen Konten wie Domänenadministratoren und Dienstkonten betreiben. Bei diesen Konten handelt es sich in der Regel um robuste und stabile Konten, deren Funktionsweise sich im Tagesgeschäft kaum ändert. Wenn wir gezwungen sind, einen Angriff vom Typ "Lieferkette" in Betracht zu ziehen, verlagert sich der Schwerpunkt über diese hoch privilegierten Konten hinaus auf fast alle Konten im Netzwerk. Die Neuvergabe von Anmeldedaten, Zugriffstokens und möglicherweise privaten Schlüsseln ist nicht nur kompliziert und zeitaufwändig, sondern manchmal auch untragbar.
Wenn der Verdacht besteht, dass ein Konto kompromittiert oder als hohes Risiko eingestuft ist, sollten Sie außerhalb der Erkennungen am besten in den Active Directory-Sicherheitsprotokollen und insbesondere in den folgenden Ereignis-IDs nachsehen
- 4624 (Ein Konto hat sich erfolgreich angemeldet), dieses Konto erzeugt zwei Arten von Anmeldungsnotizen.
- Anmeldetyp 10
§ Interaktive Fernanmeldung - Dies ist mit RDP, Fernunterstützung oder Schattenverbindung verbunden. Bei dieser Art der Anmeldung wird auch die entfernte IP-Adresse angemeldet.
- Anmeldung Typ 3
§ Network Logon - Dies würde auf einen authentifizierten Benutzer hinweisen, der eine Verbindung zu einem Dienst auf dem entfernten Host herstellt.
- 4768 Ein Kerberos-Authentifizierungsticket (TGT) wurde erstellt. Dieses Ereignis zeigt an, dass ein Benutzerkonto im Netzwerk authentifiziert wird. Das TGT wird für ein gültiges Konto mit einem gültigen Kennwort ausgestellt. Auch in diesem Fall wird eine IP-Adresse generiert, um potenziell anomales Verhalten zu verfolgen.
Die Verfolgung dieser Protokolle könnte Aktivitäten auf potenziell gefährdeten Konten aufdecken. Anwendungs- und Dienstkonten sind in der Regel sehr stabil, weshalb Vectra das normale Verhalten dieser Konten erlernt und eine Privilege Anomaly Detection bereitstellen kann, wenn sie beginnen, sich außerhalb ihrer etablierten Muster zu verhalten. Das Gleiche gilt auch für kurzlebigere Konten oder solche, die einen breiten Geltungsbereich haben, wie z. B. Betreiberkonten oder normale Benutzerkonten. Bei diesen Konten ist die Wahrscheinlichkeit geringer, dass sie mit den stabilen und geschäftskritischen Diensten interagieren. Der Ansatz von Vectrazur Überwachung von Identitäten auf anomales Verhalten ermöglicht es, Erkennungen zu generieren und den Fokus Ihres Teams entsprechend zu lenken.
Um mehr über Vectra zu erfahren,kontaktieren Sie unsbitte odertesten Sie unsere Demo!