Un reportage di Luke Richards, Dmitriy Beryoza e Kat Traxler.
Il recente incidente di sicurezza verificatosi presso Okta rappresenta un altro esempio di compromissione della catena di approvvigionamento. Sebbene questo attacco non sembri essere stato portato a termine, con un numero apparentemente limitato di aziende colpite, solleva una serie di interrogativi interessanti su come potrebbe essere un attacco alla catena di approvvigionamento contro un IDP se portato a termine. Il risultato di qualsiasi compromissione di un IDP, o di qualsiasi tecnologia simile di uso diffuso, potrebbe essere un gruppo di attacco con accesso a milioni di utenti e migliaia di aziende.
La tattica di compromettere la catena di approvvigionamento non è nuova, basti pensare alle recenti violazioni di alto profilo come quelle di Kaseya e SolarWinds. Ma l'idea di un attacco alla catena di approvvigionamento incentrato sulla gestione degli account è spaventosa quando si analizza ciò che un team di sicurezza dovrebbe fare.
L'accesso agli account ha avuto un ruolo nell'85% delle recenti violazioni. Gli account consentono agli aggressori di accedere a quasi tutto ciò che si trova in un'organizzazione, dalle risorse cloud nelle applicazioni cloud pubblico alle risorse di rete, senza la necessità di alcun payload o contatto con endpoint monitorati.
Date le domande poste su ciò che potrebbe essere accaduto, di seguito riportiamo alcune raccomandazioni che i team di sicurezza dovrebbero seguire nel caso in cui un IDP o altro software incentrato sull'identità fosse coinvolto in una compromissione della catena di fornitura. Queste raccomandazioni si applicano anche alla compromissione di account derivante da tattiche diverse dagli attacchi alla catena di fornitura. Dal punto di vista di un aggressore, la catena di fornitura è solo uno dei tanti metodi per compromettere un account. Il modo in cui gli aggressori sfruttano gli account compromessi per raggiungere i propri obiettivi all'interno di un ambiente di destinazione e il modo in cui i difensori possono rilevare e rispondere a tali azioni sono essenzialmente gli stessi, indipendentemente dal metodo iniziale di compromissione.
Valutare la situazione attuale
Acquisire quante più informazioni possibili sulla violazione
Quandoun compromesso coinvolge una terza parte, le informazioni controllate rilasciate dall'organizzazione colpita e le dichiarazioni rilasciate dagli aggressori, può essere difficile ricostruire il quadro completo di ciò che sta accadendo. Per stimare la portata dell'incidente, è necessario tenere conto di più fonti di informazione nella propria analisi, compresi i commenti di ricercatori indipendenti nel campo della sicurezza.
Determinare il periodo approssimativo in cui si è verificata la violazione
Le notizie relative agli eventi di sicurezza talvolta vengono diffuse settimane o addirittura mesi dopo l'attacco. Per individuare il maggior numero possibile di IoC, è opportuno ampliare il campo di ricerca e definire un arco temporale realistico entro il quale potrebbero essersi verificate attività dannose.
Fai un inventario di tutto ciò che riguarda il tuo Identity Provider
Le aziende moderne utilizzano centinaia di servizi e applicazioni diversi e talvolta anche i SOC hanno difficoltà a tracciare un quadro accurato dell'inventario. Non è possibile proteggere adeguatamente ciò che non si conosce, quindi è fondamentale acquisire una conoscenza completa di tutte le entità che il fornitore serve per coprire tutte le conseguenze della violazione.
Esamina le attività recenti nei registri e gli avvisi che sono stati attivati.
I fornitori affermati dovrebbero disporre di registri accurati di tutte le attività critiche all'interno dell'ambiente. Una volta stimata la tempistica, esaminate tutte le modifiche rilevanti nella configurazione del sistema per individuare qualsiasi elemento che potrebbe consentire agli aggressori di ottenere un punto d'appoggio nella vostra azienda: nuovi utenti amministratori, autorizzazioni elevate, credenziali di accesso ridondanti, applicazioni appena installate, dispositivi registrati e così via. È inoltre necessario valutare tutti gli avvisi di sicurezza registrati.
Indagare su eventuali altre modifiche che potrebbero fornire un accesso ridondante
A volte la registrazione disponibile potrebbe non essere abilitata o adeguata. Vale la pena dedicare un po' di tempo a rivedere le impostazioni di sicurezza attuali per verificare se è stata apportata qualche modifica insolita.
Mitigare le modifiche dannose
Ripristina le modifiche dannose alle impostazioni
Questo passaggio è intuitivo: qualsiasi modifica dannosa rilevata deve essere annullata. È necessario registrare tutti i dettagli per ricostruire il quadro completo della violazione e facilitare ulteriori attività di analisi forense.
Reimposta le password degli utenti
Quando si sospetta che gli account degli utenti individuali possano essere stati compromessi, può essere necessario forzare il rollover delle credenziali degli utenti. Sebbene questa misura possa risultare impopolare tra gli utenti, è facile da attuare e rappresenta una misura pratica per affrontare la possibile compromissione degli account.
Ruota chiavi e certificati
Il ripristino delle credenziali delle applicazioni e dei servizi è solitamente un'attività molto più complessa e laboriosa. Sebbene possa essere inevitabile in caso di fuga di informazioni riservate, assicurati che sia necessario prima di intraprenderla.
Revoca tutte le autorizzazioni eccessive concesse a terze parti
Alcuni provider di identità (tra cui Okta) possono richiedere l'autorizzazione del cliente per accedere e modificare le impostazioni del tenant o eseguire il debug del sistema. In caso di compromissione del provider, sarebbe prudente revocare qualsiasi accesso di questo tipo già concesso.
Rafforzare le difese
Rivedere le impostazioni di sicurezza attuali
Questo è un altro passo ovvio. Un incidente di sicurezza è un'ottima occasione per rivedere le impostazioni di sicurezza attuali e renderle più rigorose. I prodotti per la gestione della sicurezza come Siriux, in grado di eseguire la scansione e identificare le lacune nelle configurazioni dei controlli Azure AD e M365, possono essere di grande aiuto.
Installare una soluzione di monitoraggio
Anche la soluzione di sicurezza meglio configurata non è immune alle violazioni. Il fattore umano o gli attacchi alla catena di approvvigionamento (come una violazione IdP) possono aggirare le difese esterne. Per affrontare gli incidenti quando si verificano, è necessaria una soluzione di rilevamento e risposta efficace come la piattaforma Vectra per monitorare le attività dannose e fermare l'avanzata degli aggressori.
Rivedere i manuali di risposta agli incidenti
Idealmente, dovresti già avere un piano per gli incidenti presso il tuo Identity Provider e dovresti metterlo in atto immediatamente. Chi si trova con delle lacune nella preparazione dovrebbe cogliere questa opportunità per implementare un piano per affrontare le conseguenze di una violazione presso un fornitore di infrastrutture critiche da cui dipende la propria azienda.
Considerare una verifica da parte di terzi
Una volta che la situazione si sarà stabilizzata, è opportuno programmare una verifica da parte di un fornitore di servizi di sicurezza affidabile per verificare che il proprio sistema di sicurezza sia ben progettato e non presenti evidenti lacune.
Quali sono i segnali che indicano che un account è stato compromesso?
Quando uno o più account vengono compromessi, l'impatto non è sempre immediatamente evidente. A causa della varietà di azioni che un account può eseguire e delle modalità di gestione delle risorse, il segnale di un account compromesso è generalmente caratterizzato da attività anomale relative all'accesso a servizi, funzionalità, host o dati di valore. Definire cosa sia anomalo e persino cosa sia di valore non è ovviamente un compito semplice.
Sebbene i team possano cercare nei registri Active Directory della rete e esaminare le azioni registrate da un cloud , la portata e la natura ambigua del problema possono essere gestite al meglio utilizzando soluzioni di intelligenza artificiale per comprendere cosa sia anomalo e in linea con l'obiettivo di un aggressore. Ciò è particolarmente importante quando ci si trova di fronte a scenari in cui l'alternativa al non sapere con precisione chi sia stato compromesso è quella di rigenerare credenziali, token di accesso e potenzialmente chiavi private.
Vectra applica un'intelligenza artificiale orientata alla sicurezza per monitorare e rispondere alle azioni degli aggressori con account compromessi che interessano la vostra azienda sucloud, SaaS e AWS. Gli avvisi non si concentrano solo su ciò che è anomalo, ma anche sul comportamento degli aggressori. Tecniche come Privilege Analytics di Vectra, che comprende automaticamente il valore degli account e delle risorse sia in ambienticloud SaaS puri, possono dare un senso alle anomalie comprendendo il valore delle risorse in base alla loro attività storica.
Indagine manuale degli account compromessi e ad alto rischio
Per coloro che non dispongono di una piattaforma come quella di Vectra, i cacciatori di minacce dovranno valutare le specifiche dell'incidente e il modo in cui l'IDP interagisce con il loro ambiente per determinare i potenziali account sospettati di essere stati compromessi. Nel caso di Okta, ciò può essere fatto esaminando le modifiche agli account durante il periodo divulgato di controllo dell'aggressore all'interno dell'infrastruttura IDP, solo per fare un esempio.
Durante le normali operazioni di sicurezza, gli analisti possono dedicare maggiore attenzione al monitoraggio degli account di alto profilo, come gli amministratori di dominio e gli account di servizio. Si tratta in genere di account robusti e stabili, con poche variazioni nel loro funzionamento quotidiano. Quando siamo costretti a considerare un attacco di tipo supply chain, l'attenzione si sposta oltre l'ambito di tali account con privilegi elevati, fino a comprendere quasi tutti gli account della rete. Il rigeneramento delle credenziali, dei token di accesso e, potenzialmente, delle chiavi private è un'operazione non solo complessa e dispendiosa in termini di tempo, ma talvolta anche insostenibile.
Se si sospetta che un account sia stato compromesso o contrassegnato come ad alto rischio, il posto migliore dove cercare al di fuori dei rilevamenti è nei registri di sicurezza di Active Directory e, in particolare, nei seguenti ID evento
· 4624 (Accesso all'account riuscito) questo account produce due tipi di accesso degni di nota.
- Tipo di accesso 10
§ Accesso interattivo remoto: è correlato a RDP, assistenza remota o connessione shadow. Questo tipo di accesso registra anche l'indirizzo IP remoto.
-Tipo di accesso 3
§ Accesso alla rete: indica che un utente autenticato si sta connettendo a un servizio sull'host remoto.
·4768 È stato generato un ticket di autenticazione Kerberos (TGT). Questo evento indica che un account utente è stato autenticato sulla rete. Il TGT viene assegnato a un account valido con una password valida. Anche in questo caso, verrebbe generato un indirizzo IP per tracciare potenziali comportamenti anomali.
Il monitoraggio di questi log potrebbe rivelare attività su account potenzialmente compromessi. Gli account delle applicazioni e dei servizi tendono ad essere molto stabili, motivo per cui Vectra apprende il comportamento normale di questi account e può fornire un rilevamento delle anomalie dei privilegi quando iniziano ad agire al di fuori dei modelli stabiliti. Lo stesso vale anche per gli account più effimeri o quelli con un ambito più ampio, come gli account degli operatori o gli account degli utenti normali. Questi account sono meno propensi a interagire con i servizi stabili e critici per l'azienda, consentendo all'approccio di Vectra di monitorare le identità alla ricerca di comportamenti anomali per generare rilevamenti e guidare l'attenzione del vostro team di conseguenza.
Per ulteriori informazioni su Vectra, non esitatea contattarcioprovate la nostra demo!