जॉन पी। डेसमंड, एआई ट्रेंड्स एडिटर द्वारा
सोलरविंड हैकरों ने क्लाउड सेवाओं को एक महत्वपूर्ण उद्देश्य के रूप में लक्षित किया, संभवतः उन्हें संगठन के क्लाउड-आधारित सेवाओं के लिए बहुत से लोगों तक पहुंच प्रदान की।
यह एक खाते से है GeekWire क्रिस्टोफर बुद्ध द्वारा लिखित, a ind dependent सुरक्षा सलाहकार, जिसने पहले Microsoft के सुरक्षा प्रतिक्रिया केंद्र में 10 वर्षों तक काम किया था।
"मैंf हम विभिन्न रिपोर्टों को डिकोड करते हैं और उन डॉट्स को कनेक्ट करते हैं जिन्हें हम देख सकते हैं कि SolarWinds हमलावरों ने समझौता किए गए नेटवर्क पर प्रमाणीकरण प्रणालियों को लक्षित किया है, इसलिए वे अलार्म को बिना बढ़ाए Microsoft Office 365 जैसी क्लाउड-आधारित सेवाओं में लॉग इन कर सकते हैं, ”बुद्ध ने लिखा। "इससे भी बदतर, जिस तरह से वे इसे बाहर ले जा रहे हैं वह संभवतः किसी संगठन के क्लाउड-आधारित सेवाओं के लिए, यदि सभी के लिए नहीं है, तो कई तक पहुंच प्राप्त करने के लिए उपयोग किया जा सकता है।"
निहितार्थ यह है कि हमलों के प्रभाव का आकलन करने वालों को न केवल अपने सिस्टम और नेटवर्क पर, बल्कि समझौते के सबूत के लिए अपनी क्लाउड-आधारित सेवाओं पर भी ध्यान देने की आवश्यकता है। और इसका मतलब है कि हमलों के खिलाफ बचाव का मतलब है कि क्लाउड सेवाओं के प्रमाणीकरण प्रणालियों की सुरक्षा और निगरानी बढ़ाना, "अभी से।"
बुद्ध ने इन प्रमुख टेकवे का हवाला दिया:
- एक नेटवर्क में एक पैर जमाने के बाद, SolarWinds हमलावर उन प्रणालियों को लक्षित करते हैं जो क्लाउड-आधारित सेवाओं द्वारा उपयोग की जाने वाली पहचान का प्रमाण जारी करते हैं; और वे आईडी जारी करने के लिए उपयोग किए जाने वाले साधनों की चोरी करते हैं;
- एक बार जब उनके पास यह क्षमता हो जाती है, तो वे फर्जी आईडी बनाने में सक्षम होते हैं जो उन्हें वैध उपयोगकर्ताओं को प्रतिरूपित करने की अनुमति देता है, या कानूनी रूप से दुर्भावनापूर्ण खातों का निर्माण करता है, जिसमें प्रशासनिक पहुंच वाले खाते भी शामिल हैं;
- क्योंकि आईडी का उपयोग क्लाउड-आधारित खातों द्वारा डेटा और सेवा तक पहुंच प्रदान करने के लिए किया जाता है, हमलावर डेटा और ईमेल का उपयोग करने में सक्षम होते हैं जैसे कि वे वैध उपयोगकर्ता थे।
एसएएमएल प्रमाणीकरण विधि क्लाउड सेवाओं के लिए देखी गई है
क्लाउड-आधारित सेवाएँ सुरक्षा अभिकथन मार्कअप लैंग्वेज (SAML) नामक प्रमाणीकरण पद्धति का उपयोग करती हैं, जो एक टोकन जारी करती है जो सेवाओं के लिए वैध उपयोगकर्ता की पहचान का "प्रमाण" है। Microsoft ब्लॉग पर पोस्ट की एक श्रृंखला के आधार पर, पता चला कि SAML सेवा को लक्षित किया गया था। जबकि इस प्रकार का हमला पहली बार 2017 में देखा गया था, "यह इस तरह की व्यापक दृश्यता के साथ पहला बड़ा हमला है जो क्लाउड-आधारित प्रमाणीकरण तंत्र को लक्षित करता है," बुद्ध ने कहा।
एक सवाल के जवाब में, Google ने Microsoft से पूछा कि क्या कंपनी को इस हमले के कारण होने वाली किसी भी भेद्यता का पता चला है, उसे यह प्रतिक्रिया मिली: “हमने इन जांचों में किसी भी Microsoft उत्पाद या क्लाउड सेवा कमजोरियों की पहचान नहीं की है। एक बार एक नेटवर्क में, घुसपैठिया विशेषाधिकार प्राप्त करने के लिए तलहटी का उपयोग करता है और पहुँच प्राप्त करने के लिए उस विशेषाधिकार का उपयोग करता है। "
राष्ट्रीय सुरक्षा प्रशासन की एक प्रतिक्रिया समान थी, हमलावरों ने कहा, "संघित प्रमाणीकरण का दुरुपयोग करके," Microsoft प्रमाणीकरण प्रणाली में किसी भी भेद्यता का शोषण नहीं कर रहे थे, "बल्कि एकीकृत घटकों में स्थापित विश्वास का दुरुपयोग कर रहे थे।"
इसके अलावा, हालांकि सोलरविंड्स हमला Microsoft क्लाउड-आधारित सेवा के माध्यम से आया था, इसमें SAML खुला मानक शामिल था जो कि केवल Microsoft नहीं, बल्कि क्लाउड-आधारित सेवाओं के विक्रेताओं द्वारा व्यापक रूप से उपयोग किया जाता है। "SolarWinds हमले और भविष्य में क्लाउड सेवाओं के खिलाफ SAML- आधारित इन प्रकार के हमलों में गैर-Microsoft SAML- प्रदाता और क्लाउड सेवा प्रदाता शामिल हो सकते हैं," बुद्ध ने कहा।
अमेरिकन इंटेलिजेंस सीस अटैक की उत्पत्ति रूस के आरामदायक भालू के साथ हुई
अमेरिकी खुफिया अधिकारियों का मानना है कि हमले की शुरुआत रूस से हुई थी। विशेष रूप से, एक रिपोर्ट के अनुसार अर्थशास्त्रीरूस की ख़ुफ़िया सेवा का हिस्सा माने जाने वाले कोज़ी भालू के नाम से जाने जाने वाले हमलावरों का समूह ज़िम्मेदार था। "यह अमेरिका के खिलाफ डिजिटल जासूसी के सबसे बड़े कृत्यों में से एक प्रतीत होता है," खाते ने कहा।
हमले का प्रदर्शन किया साइबर सुरक्षा फर्म फायरई के अनुसार, "टॉप-टियर ऑपरेशनल ट्रेडक्राफ्ट," जो खुद भी एक शिकार था।
हमलावरों के लक्ष्य के अनुसार अमेरिका पिछले दशक में हो रहे साइबर हमलों को वर्गीकृत करने और उनका जवाब देने की ओर अग्रसर है। इसने गुप्त चोरी करने के इरादे से घुसपैठ को माना है-पुराने जमाने की जासूसी-जैसा कि अमेरिका की राष्ट्रीय सुरक्षा एजेंसी भी खेल में लगी हुई है, लेकिन नुकसान पहुंचाने के इरादे से किए गए हमले, जैसे कि 2014 में सोनी पिक्चर्स पर उत्तर कोरिया का हमला, या चीन के औद्योगिक रहस्यों की चोरी, को एक लाइन को पार करने के रूप में देखा गया है, जिस खाते का सुझाव दिया गया है । इस प्रकार, कई रूसी, चीनी, उत्तर कोरियाई और ईरानी हैकरों पर प्रतिबंध लगाए गए हैं।
लगता है कि सौर हवाओं के हमले ने अपनी श्रेणी बना ली है। "प्रतियोगिता के एक गुप्त और अराजक क्षेत्र पर मानदंडों पर मुहर लगाने का यह प्रयास असफल रहा है," द अर्थशास्त्री (इकोनॉमिस्ट) खाता बताया गया। "जासूसी और तोड़फोड़ के बीच की रेखा धुंधली है।"
एक पर्यवेक्षक देखता है कि 2015 में कार्मिक प्रबंधन (ओपीएम) के अधिकारी की हैकिंग के बाद से अमेरिका ने "साइबर स्पेस में क्या अनुमति है" के बारे में कम सहिष्णुता बढ़ाई है। इसने ओपीएम नेटवर्क को हैक किया और सरकारी कर्मचारियों से संबंधित 22.1 मिलियन के रिकॉर्ड को उजागर किया, जो अन्य पृष्ठभूमि की जांच की गई थी, और दोस्तों और परिवार। चीनी सरकार की ओर से काम कर रहे राज्य प्रायोजित हैकरों को जिम्मेदार माना गया।
ज्यूरिख में सेंटर ऑफ सिक्योरिटी स्टडीज के मैक्स स्मेट्स ने कहा, "इस तरह के बड़े पैमाने पर जासूसी" अब उन ऑपरेशनों की सूची में सबसे ऊपर होगी जिन्हें वे अस्वीकार्य समझेंगे।
"ऑन-प्रेम" सॉफ्टवेयर अधिक जोखिम भरा है
SolarWinds ओरियन उत्पाद “ऑन-प्रिम” स्थापित किया गया है, जिसका अर्थ है कि यह सॉफ़्टवेयर के उपयोग से संगठन के परिसर में कंप्यूटर पर स्थापित और चलाया जाता है। ऐसे उत्पाद सुरक्षा जोखिम उठाते हैं जिन्हें आईटी नेतृत्व को सावधानीपूर्वक करने की आवश्यकता होती है मूल्यांकन करें, हाल ही में एक खाते का सुझाव दिया ई वीक.
सोलरवाइंड हमलावरों ने प्रवेश पाने के लिए जाहिरा तौर पर एक समझौता किए गए सॉफ्टवेयर पैच का इस्तेमाल किया, विलियम व्हाइट, बिगपांडा के सुरक्षा और आईटी निदेशक को सुझाव दिया, जो आईटी सिस्टम में समस्याओं का पता लगाने और उनका विश्लेषण करने के लिए एआई सॉफ़्टवेयर प्रदान करता है। “ऑन-प्रिमाइसेस सॉफ़्टवेयर के साथ, आपको अक्सर सॉफ़्टवेयर को चलाने के लिए उन्नत अनुमतियाँ या अत्यधिक विशेषाधिकार प्राप्त खाते देने होते हैं, जो जोखिम पैदा करता है, ”उन्होंने कहा।
क्योंकि सोलरविंड के हमले को स्पष्ट रूप से एक सॉफ्टवेयर पैच के माध्यम से निष्पादित किया गया था, "विडंबना यह है कि सबसे अधिक उजागर सोलर विंड्स ग्राहक थे जो वास्तव में ओरियन पैच स्थापित करने के बारे में मेहनती थे," व्हाइट ने कहा।
में स्रोत लेख पढ़ें GeekWire, से अर्थशास्त्री और in ई वीक.
