SolarWinds vdor
05.1.2021

Ko vas Sonce zaslepi

V začetku decembra 2020 je kibernetsko varnostno srenjo pretresla novica, da so napredni napadalci uspešno vdrli v informacijski sistem podjetja FireEye. To ne bi bilo nič posebnega, če ne bi šlo za ponudnika storitve Mandiant, ki spada med vodilne rešitve za odziv na kibernetske incidente.

Kmalu po objavi vdora so se pričeli pojavljati kazalniki zlorabe oz. t.i. IOC-ji (Indicator of Compromise), saj naj bi napadalci od FireEye ukradli orodja za izkoriščanje ranljivosti. V resnici je bilo novih orodij precej malo. Če ste že prej upoštevali vsa varnostna priporočila, ki jih objavljamo tudi v NIL-ovem varnostno operativnem centru (SOC), potem v novih kazalnikih IOC niste našli ničesar revolucionarnega.

Sunburst Malware

Nadaljevanje zgodbe je razkrilo, da se je vdor v FireEye najverjetneje zgodil z zlorabo programske opreme SolarWinds Orion – aplikacije za nadzor omrežja in sistemov. Napadalci naj bi namreč že pred slabim letom pridobili delni dostop do strežnikov podjetja SolarWinds. Takrat so v njihovo programsko opremo vrinili zlonamerno kodo Sunburst Malware, ki se je preko popravkov namestila na lokalne namestitve uporabnikov paketa SolarWinds Orion. Takšnemu tipu napada rečemo t.i. »supply chain attack«. Ocenjuje se, da je bilo okuženih več kot 18.000 organizacij, med njimi tudi težko-kategorniki, kot so ameriške vladne organizacije.

Poudariti je treba, da je bila programska oprema SolarWinds podpisana z legitimnimi certifikati in praktično ni načina, da bi stranka lahko vedela, da gre za zlorabljen sistem. Dodatne informacije nam dajo vedeti, da so napadalci razširili napad preko lateracije in ostalih tehnik na druge vire v omrežju. Še bolj zanimivo pa je, da se je napad razširil tudi na dostope v oblačnih storitvah preko zlorabe SAML dostopov.

»Na srečo« ima podjetje SolarWinds v Sloveniji zelo malo strank in zato je ta napad globalnih razsežnosti (vodi se ga pod šifro UNC2452) naša poslovna okolja v glavnem zaobšel. Glede na do sedaj znane informacije, je bil motiv napadalcev najverjetneje vohunjenje oziroma dostop do ter kraja podatkov. Zaradi tega bo trajalo še kar nekaj časa preden izvedeli konkretnejše podatke o poslovni škodi tega napada. Verjetno je tudi, da pretežen del teh informacij ne bo nikoli javno dostopen.

Kljub temu, da smo imeli tokrat »srečo«, to ni nobena garancija, da bo tudi naslednjič tako. Čisto mogoče je, da se ravno v tem trenutku vašemu ponudniku informacijskih tehnologij dogaja »SolarWids trenutek«.

Zato se je smiselno vprašati, kaj smo se iz tega primera naučili. Kako nam lahko pomaga pri tem, da bo naše poslovanje bolj odporno na takšne incidente? V nadaljevanju zato naštevam nekaj lekcij, ki vam bodo v letu 2021 pomagale izboljšati informacijsko varnost v vaši organizaciji.

Lekcija 1: Nihče ni varen pred kibernetskimi napadi

Prva lekcija je zimzelena: 100 % kibernetska varnost ne obstaja in nihče, niti najboljši, ni varen pred hekerskimi napadi. In, da parafraza, da »obstajajo organizacije, ki so že bile žrtev kibernetskega napada ter organizacije, ki tega še ne vedo,« še kako drži.

Za znižanje kibernetskih tveganj je zato res ključno razumevanje, da je varnost proces, s katerim se je treba stalno ukvarjati in ga izboljševati.

Lekcija 2: Učinkovita zaznava kibernetskih incidentov ni enostavna

Na Zemlji naše Sonce vidimo v položaju, v katerem je bilo pred osmimi minutami in pol. Podobna analogija velja pri vpeljavi detekcije na podlagi objavljenih IOC-jev – je kot opazovanje zvezd v vesolju. To je druga lekcija napada Sunburst: napadalci so po definiciji v prednosti, zato je učinkovita in hipna zaznava napadov zelo zahtevna.

Seveda je uporaba objavljenih kazalnikov IOC za nadgradnjo detekcije kibernetskih incidentov dobra in smiselna. Na ta način bomo namreč lahko zaznali, da se nam dogaja vdor. Vendar to še ne pomeni, da bomo vdor zaznali takoj. Napadalci lahko po vdoru uporabijo tudi kombinacijo različnih metod, katere (bi) lahko zaznali drugače. Kako zelo zahtevno je zaznati takšne napade, nam priča ravno primer zaznave napada Sunburst v podjetju FireEye. Domnevajo namreč, da so rešitev SolarWinds Orion okužili že spomladi 2020, torej več kot pol leta preden je FireEye opazil incident. Dejstvo je, da tega v tem času ni zaznal nihče.

To še enkrat potrjuje izsledke raziskav, ki pravijo, da podjetja v povprečju potrebujejo krepko preko 100 dni, da zaznajo, da so bila napadena. Da boste v letu 2021 učinkovitejši in hitrejši pri zaznavi ter omejevanju kibernetskih incidentov, je zelo pomembno vpeljati celovito in premišljeno strategijo kibernetske obrambe.

Lekcija 3: Napredni kibernetski napadi so zelo resen in strokoven posel

Tretja lekcija je, da za napadom stoji zelo dobro organizirana in visoko kvalificirana skupina. Kdo je njen sponzor, za naš članek niti ni važno. Dejstvo pa je, da kibernetski kriminalci/napadalci izredno resno jemljejo svoje delo. Če v vašem podjetju za informacijsko varnost skrbi »one-man-band,« ki je po možnosti odgovoren še za nastavitve tiskalnikov, ste dobesedno brez možnosti proti naprednim napadom.

Če želite imeti učinkovito kibernetsko obrambo, morate po pristopu parirati napadalcem. Informacijska varnost je skupinska naloga, najprej znotraj podjetij in tudi na strani nas, dobaviteljev. Konkretno NIL-ov varnostno operativni center (SOC) tako sestavlja več kot 20 visoko usposobljenih strokovnjakov, stalno pa tudi nadgrajujemo procese za deljenje znanja in pridobivanje novih kompetenc. Prepričani smo namreč, da je edino usklajena, visoko strokovna in dovolj številčna skupina lahko kos naprednim kibernetskim napadom.

Lekcija 4: Analiza, potem pa načrt, načrt in še enkrat načrt

Zelo pohvalno je, da so se ob objavi napada Sunburst hitro in uspešno odzvala vodilna svetovna imena na področju kibernetske vernosti. Tako je recimo Microsoft v nekaj dneh v svoje sisteme vgradil in distribuiral blokade škodljivih povezav, ter pomagal pri identifikacij in blokadi dostopa do domen, na katerih so gostovali kontrolni strežniki napadalcev. Podobno je reagiralo še kar nekaj drugih ponudnikov.

To ne bi bilo mogoče brez načrta ukrepov. Iz tega se lahko vsi veliko naučimo. Ko bomo napadeni, bomo pri omejitvi poslovne škode bistveno uspešnejši, če bomo imeli vnaprej pripravljen načrt odziva. In še več, ta mora biti sistematičen in celovit. Sistematični pristop pomeni, da se, preden nas zagrabi »nakupovalna mrzlica,« opravi analiza stanja in, da se na podlagi tega začrta dejanske ukrepe. To seveda ne pomeni nujno načrta za odziv na incident, ampak načrt razvoja informacijske varnosti. Tak načrt vam bo omogočil, da boste optimizirali vlaganja v informacijsko varnost in kupovali rešitve, ki so združljive med seboj in kjer za najmanj vložka dobite največ varnosti.

Varnostne pomanjkljivosti, ki jih morate v 2021 odpraviti

V kontekstu izpostavljenih lekcij bi najprej svetoval, da poleg internih procesov, tehnologij in mehanizmov, nekaj pozornosti namenite svojim dobaviteljem in podizvajalcem. Preverite njihove dostope ter kakovost njihovega dela. V praksi namreč nemalokrat vidimo okolja, kjer kraljujejo deset in več let stari operacijski sistemi, kjer so vse naprave v enem, nerazčlenjenem omrežju in kjer kar cveti od števila domenskih administratorjev. Če nimate internih virov za oceno varnostnega stanja vašega informacijskega sistema, vam priporočam, da se obrnete na zunanjega ponudnika oz. pridobite drugo, strokovno mnenje.

Sicer boste pa že z odpravo teh najbolj tipičnih pomanjkljivosti naredili velik napredek pri obvladovanju kibernetskih tveganj:

  1. Pri analizi informacijskih sistemov NIL-ov SOC pogosto identificira strežnike s prostim dostopom do interneta, čeprav ga v resnici ne potrebujejo. Svetujem vam, da tem strežnikom takoj omejite dostop do interneta. Konkretna korist tega ukrepa je, da bo v primeru zlorabe zlonamerne programske opreme onemogočil komunikacijo s kontrolnimi strežniki napadalcev in nadaljevanje napada.
  2. Nerazčlenjena omrežja ter omogočena nepotrebna komunikacija indostopi med napravami (predvsem preko protokolov SMB in RDP) je druga na seznamu tipičnih slabih praks. Že sama razčlenitev omrežja bo precej zmanjšala možnost za uspeh kateregakoli napada, oziroma ga bo vsaj bistveno omejila.
  3. Tretja najpogostejša napaka pa je neuporaba več-faktorskega overjanja pri dostopu do storitev v oblaku. Žal opažamo, da veliko podjetij še ne naslavlja zaznave spremembe dostopov. To je še posebej velika priložnost za uporabnike Microsoftovih sistemov oziroma paketov, ki že vsebujejo ta varnostni mehanizem in ga morate le omogočiti. Tukaj bi opozorili tudi na aktiviranje sistemskih naprednih varnostnih mehanizmov v Microsoft Windows sistemih – nič vas ne stanejo, lahko pa precej pripomorejo k zmanjšanju kibernetskih tveganj.

Sunburst in kako smo ukrepali v NIL-ovem SOC-u

Za konec pa še nekaj besed o tem, kako smo v NIL-ovem SOC-u ukrepali ob pojavu kazalnikov napada na FireEye.

Najprej smo za vse stranke NIL-ovega SOC-a takoj izvedli pregled okolij in nadgradili sisteme detekcije, ki zaznavajo potencialne zlorabe ukradenih orodij ter tehnik, ki jih napadalci s pomočjo orodij uporabljajo. Dodatno smo preverili okolja, za katera skrbimo in ocenili, na kakšnem nivoju je preventiva in nivo varnosti. K sreči smo ugotovili, da večjih tveganj za večino strank ni.

Tudi če niste NIL-ova stranka oziroma uporabnik storitve SOC, se lahko na nas obrnete za pomoč pri varnostni analizi vaših sistemov, omrežij, oziroma IT-okolja, kjer vam lahko pomagamo pri pripravi načrta razvoja informacijske varnosti v vašem podjetju.

 

Avtor: dr. Blaž Babnik, vodilni varnostni analitik v NIL-ovem SOC-u

O epidemiji kibernetskega kriminala

Jan Bervar, varnostni arhitekt v skupini Conscia, je v uvodu v okroglo mizo na konferenci CIOSEC 2020 pojasnil, ozadje "epidemije kibernetskega kriminala". Zakaj argument "sem premajhna tarča" za slovenska podjetja ne velja več in katere specifike našega poslovnega prostora bi morali čim prej nasloviti, da bo naše poslovanje bolj varno pred kibernetskimi kriminalci. Ker trenutno ni.

OGLEJTE SI PREDAVANJE