AI Trends Editör John P. Desmond tarafından
SolarWinds bilgisayar korsanları, bulut hizmetlerini temel bir amaç olarak hedeflediler ve potansiyel olarak bir kuruluşun bulut tabanlı hizmetlerinin tamamına olmasa da çoğuna erişim sağladı.
Bu, içindeki bir hesaptan GeekWire Christopher Budd tarafından yazılmıştır. iDaha önce 10 yıl boyunca Microsoft'un Güvenlik Yanıt Merkezi'nde çalışan bağımsız bir güvenlik danışmanı.
"IEğer çeşitli raporları deşifre edersek ve noktaları birleştirirsek, SolarWinds saldırganlarının güvenliği ihlal edilen ağlarda kimlik doğrulama sistemlerini hedeflediklerini görebiliriz, böylece alarmları yükseltmeden Microsoft Office 365 gibi bulut tabanlı hizmetlerde oturum açabilirler ”diye yazdı Budd. "Daha da kötüsü, bunu gerçekleştirme biçimleri, bir kuruluşun bulut tabanlı hizmetlerinin tamamına olmasa da çoğuna erişim sağlamak için potansiyel olarak kullanılabilir."
Bunun anlamı, saldırıların etkisini değerlendirenlerin yalnızca kendi sistemlerine ve ağlarına değil, aynı zamanda güvenlik ihlali kanıtı için bulut tabanlı hizmetlerine de bakmaları gerektiğidir. Ve bu, saldırılara karşı savunmanın, "bundan sonra" bulut hizmetleri kimlik doğrulama sistemlerinin güvenliğini ve izlenmesini artırmak anlamına geldiği anlamına gelir.
Budd şu temel çıkarımları aktardı:
- Bir ağda dayanak oluşturduktan sonra, SolarWinds saldırganları bulut tabanlı hizmetler tarafından kullanılan kimlik kanıtı veren sistemleri hedef alır; ve kimlik vermek için kullanılan araçları çalıyorlar;
- Bu beceriye sahip olduktan sonra, yasal kullanıcıların kimliğine bürünmelerine veya yönetim erişimine sahip hesaplar dahil olmak üzere meşru görünen kötü niyetli hesaplar oluşturmalarına olanak tanıyan sahte kimlikler oluşturabilirler;
- Kimlikler bulut tabanlı hesaplar tarafından verilere ve hizmete erişim sağlamak için kullanıldığından, saldırganlar verilere ve e-postalara meşru kullanıcılar gibi erişebilirler.
Hedeflenen Bulut Hizmetleri için SAML Kimlik Doğrulama Yöntemi
Bulut tabanlı hizmetler, hizmetlere meşru bir kullanıcının kimliğinin "kanıtı" olan bir belirteç yayınlayan Güvenlik Onaylama Biçimlendirme Dili (SAML) adlı bir kimlik doğrulama yöntemi kullanır. Budd, Microsoft blogundaki bir dizi gönderiye dayanarak SAML hizmetinin hedeflendiğini tespit etti. Bu tür bir saldırı ilk olarak 2017'de görülürken, Budd, "Bu, bulut tabanlı kimlik doğrulama mekanizmalarını hedefleyen bu tür geniş görünürlüğe sahip ilk büyük saldırı" dedi.
Budd, Microsoft'a, şirketin bu saldırıya neden olan herhangi bir güvenlik açığından haberdar olup olmadığını sorduğu bir soruya yanıt olarak şu yanıtı aldı: “Bu araştırmalarda herhangi bir Microsoft ürünü veya bulut hizmeti güvenlik açığı tespit etmedik. Bir ağa girdikten sonra, izinsiz giren kişi ayrıcalık elde etmek ve erişim elde etmek için bu ayrıcalığı kullanmak için dayanağı kullanır. "
Ulusal Güvenlik İdaresi'nden gelen bir yanıt da benzerdi ve saldırganların "federe kimlik doğrulamasını kötüye kullanarak" Microsoft kimlik doğrulama sistemindeki herhangi bir güvenlik açığından yararlanmadığını, "daha çok tümleşik bileşenlerde kurulan güveni kötüye kullandıklarını" söyledi.
Ayrıca, SolarWinds saldırısı Microsoft bulut tabanlı bir hizmet aracılığıyla gelmesine rağmen, yalnızca Microsoft değil, bulut tabanlı hizmet satıcıları tarafından yaygın olarak kullanılan SAML açık standardını içeriyordu. Budd, "SolarWinds saldırıları ve gelecekte bulut hizmetlerine yönelik bu tür SAML tabanlı saldırılar, Microsoft olmayan SAML sağlayıcılarını ve bulut hizmeti sağlayıcılarını içerebilir" dedi.
Amerikan İstihbaratı Rusya'nın Sıcacık Ayısından Kaynaklanan Saldırı Görüyor
Amerikan istihbarat yetkilileri saldırının Rusya kaynaklı olduğuna inanıyor. Özellikle, bir rapora göre EkonomistOlaydan Rusya'nın istihbarat teşkilatının bir parçası olduğu düşünülen Cozy Bear olarak bilinen saldırganlar grubu sorumluydu. Hesap, "Amerika'ya karşı şimdiye kadarki en büyük dijital casusluk eylemlerinden biri gibi görünüyor" dedi.
Saldırı gösterdi Kendisi de kurbanı olan bir siber güvenlik firması olan FireEye'a göre, "üst düzey operasyonel ticaret".
Amerika, son on yılda meydana gelen siber saldırıları, saldırganların amaçlarına göre kategorize etme ve bunlara yanıt verme eğilimindedir. Sırları çalmaya yönelik izinsiz girişleri dikkate aldı.-eski moda casusluk-ABD Ulusal Güvenlik Teşkilatı'nın da dahil olduğu adil bir oyun olarak görülüyor. Ancak, 2014 yılında Kuzey Kore'nin Sony Pictures'a saldırısı veya Çin'in endüstriyel sırları çalması gibi zarar vermeyi amaçlayan saldırılar bir çizgiyi aşma olarak görülüyor. . Böylece birçok Rus, Çinli, Kuzey Koreli ve İranlı hacker'a yaptırımlar uygulandı.
Solar Winds saldırısı kendi kategorisini oluşturmuş gibi görünüyor. "Normları gizli ve kaotik bir rekabet arenasına damgalamaya yönelik bu çaba başarısız oldu," iktisatçı hesap belirtti. "Casusluk ile tahrip etme arasındaki çizgi bulanık."
Bir gözlemci, 2015'teki Personel Yönetimi Görevlisi'nin (OPM) hacklenmesinden bu yana Amerika'nın "siber uzayda nelere izin verildiğine" karşı daha az toleranslı hale geldiğini görüyor. arka plan kontrollerinden geçmişti ve arkadaşları ve ailesi. Çin hükümeti adına çalışan devlet destekli bilgisayar korsanlarının sorumlu olduğuna inanılıyordu.
Zürih'teki Güvenlik Araştırmaları Merkezi'nden Max Smeets, "Böylesine büyük ölçekli casusluk artık" kabul edilemez olarak değerlendirecekleri operasyonlar listesinin başında yer alacak "dedi.
Daha Riskli Görülen "Şirket İçi" Yazılım
SolarWinds Orion ürünü "şirket içinde" kurulur, yani yazılımı kullanan kuruluşun tesislerindeki bilgisayarlara kurulur ve çalıştırılır. Bu tür ürünler, BT liderliğinin dikkatlice ihtiyaç duyduğu güvenlik risklerini taşır. değerlendirmek, içinde yeni bir hesap önerdi eHafta.
SolarWinds saldırganları, BT sistemlerindeki sorunları tespit etmek ve analiz etmek için yapay zeka yazılımı sunan BigPanda'nın güvenlik ve BT direktörü William White'a göre, SolarWinds saldırganları giriş elde etmek için tehlikeye atılmış bir yazılım yaması kullandığını öne sürdü. "Şirket içi yazılımla, yazılımın çalışması için genellikle yükseltilmiş izinler veya oldukça ayrıcalıklı hesaplar vermeniz gerekir, bu da risk oluşturur ”dedi.
White, SolarWinds saldırısının bir yazılım yaması aracılığıyla gerçekleştirildiği için, "İronik olarak, en çok maruz kalan SolarWinds müşterileri Orion yamalarını kurmak konusunda gerçekten gayretli olanlardır" dedi.
Kaynak makaleleri okuyun GeekWire, itibaren Ekonomist ve in eHafta.
