I professionisti della sicurezza affermano spesso che la sicurezza è un processo e non un punto di arrivo, e le recenti notizie di Uber e Rockstar Games ne sono solo l’ennesimo esempio. I dettagli stanno ancora emergendo, ma possiamo analizzare queste violazioni ad alto livello e applicare queste lezioni ai nostri programmi di information security.
Proprio come nell’attacco Lapsus$ contro Electronic Arts nel luglio del 2021, sembra che gli aggressori abbiano acquistato le loro credenziali rubate da Initial Access Brokers (IAB). Gli IAB di solito raccolgono le credenziali in massa tramite attacchi di phishing e-mail e infettando dispositivi con Trojan che rubano informazioni utilizzando vari metodi. I malintenzionati usano il malware per raccogliere le password memorizzate, i cookie di sessione e persino i wallet di criptovaluta che possono trovare sul PC della vittima e mettono il lotto in vendita sul dark web.
In una dichiarazione, Uber ha affermato che l’attacco è iniziato quando le credenziali di un appaltatore per la rete interna di Uber sono state acquistate da Lapsus$ su un IAB. Gli aggressori hanno quindi tentato di utilizzare le credenziali ripetutamente, inviando più e più notifiche push multi-fattore di Duo Security sul telefono del consulente fino a quando quest’ultimo dopo innumerevoli tentativi non ha ceduto e ne ha accettato una, garantendo agli intrusi un punto d’appoggio.
Uber dichiara semplicemente che gli intrusi hanno elevato i loro privilegi, ma in una conversazione su Telegram, gli stessi attaccanti hanno affermato di aver trovato uno script PowerShell contenente una password amministrativa per lo strumento di gestione degli accessi privilegiati (PAM) di Uber. Questa raccolta di password ha dato loro l’accesso “uber” alla rete aziendale della società.
Questo livello di accesso ha consentito agli intrusi di spadroneggiare tranquillamente nella rete acquisendo schermate di strumenti interni, dashboard di servizi cloud, dashboard di sicurezza e persino di ottenere l’accesso al sistema di gestione del programma di bug bounty di sicurezza.
Cosa possiamo fare per cercare di impedire che attacchi simili si verifichino anche nostri sistemi? Diamo un’occhiata ad alcune delle specifiche che hanno consentito a questo attacco di avere successo, per vedere se il resto di noi è in grado di trarne qualcosa di utile per migliorare la sua sicurezza.
Il multifattore potrebbe non essere sufficiente
Visto che sempre più organizzazioni adottano l’autenticazione a più fattori, gli aggressori stanno imparando a bypassarla meglio. Uber ha implementato Duo, un servizio di notifica push di Cisco, per proteggere il proprio servizio di accesso remoto VPN, il che è fantastico. Il problema è che i criminali hanno imparato che se inviano ripetutamente messaggi di spam a un bersaglio, il più delle volte quest’ultimo potrebbe semplicemente cedere e premere Accetta.
Cosa si può fare? Ebbene, in un mondo perfetto utilizzeremmo tutti l’autenticazione FIDO2 che richiede un token hardware o uno smartphone che deve essere fisicamente vicino al dispositivo di autenticazione.
Non tutti però sono pronti a adottare questa tecnologia, quindi i servizi multi-fattore come Duo offrono anche un approccio ibrido al push, in cui l’applicazione che ti chiede di autenticarti ti fornisce il codice a 6 cifre e, invece di toccare Accetta sul tuo dispositivo, tu devi inserire il codice segreto. Ciò richiederebbe al criminale di interagire con la vittima e convincerla a inserire il codice al suo posto. La cosa non è impossibile, ma rappresenta di certo una barriera molto più alta della semplice pressione del grande e brillante pulsante verde.
Escalation dei privilegi: rallentare la loro penetrazione (attraverso la tua rete)
Avendo abbastanza tempo, c’è quasi sempre un modo per un utente autorizzato di ottenere privilegi su un account a cui non dovrebbe avere accesso. La chiave per difendersi da questo tipo di attacco è fare in modo che ci voglia abbastanza tempo per poter rilevare la loro impronta e rimuoverla prima che abbia successo.
L’attaccante sostiene di aver trovato la password dell’amministratore per la soluzione Privileged Access Management di Uber in un file PowerShell su una condivisione file accessibile agli utenti. Questo chiaramente non è l’ideale, ma fa sorgere la domanda: come avrebbe dovuto essere sufficiente per causare così tanto scompiglio?
Senza ancora conoscere le specifiche del sistema interessato di Uber, la maggior parte di noi si chiederebbe perché l’autenticazione a più fattori non fosse in atto. Capovolgendo la domanda, è necessaria l’autenticazione a più fattori per accedere ai sistemi interni? Per funzioni strategiche come la gestione dei privilegi, il codice sorgente, le risorse umane o i dati finanziari, bisognerebbe applicare la stessa cautela che si adotta quando si autenticano gli utenti per l’accesso alla rete stessa e non bisognerebbe mai presumere che qualcuno sia autorizzato per l’accesso ai sistemi sensibili solo perché si è autenticato nella rete in generale.
Così come condurre un penetration test esterno su base semestrale è una buona pratica, lo è anche eseguire un audit dell’ambiente interno. Potrebbe essere stata una soluzione temporanea o una pratica ormai in disuso che era stata dimenticata, ma questi problemi emergono in quasi tutte le reti ragionevolmente complesse.
Una volta non basta e non c’è il “dentro”
L’idea alla base dell’accesso alla rete zero-trust (ZTNA) è che dovresti avere accesso solo ed esattamente a ciò di cui hai bisogno, quando ne hai bisogno, e non dovresti mai fidarti del fatto che io sia chi dico di essere. Autentica le autorizzazioni di ciascun utente al momento dell’accesso per assicurarti che tutto sia in ordine, proprio come faresti per un’applicazione esterna.
In effetti, uno dei vantaggi di questo approccio è che puoi, di fatto, eliminare completamente il perimetro, o almeno puoi smettere di fare affidamento su soluzioni di tipo VPN, riducendo i livelli di protezione ad ampio raggio per le risorse che si trovano dietro firewall e WAF. Le tue risorse saranno, sì, meno avvolte in strati di “protezione”, ma verificare con attenzione che ogni richiesta di accesso sia autenticata e autorizzata è, in effetti, una migliore gestione delle risorse ed è più facile individuare i problemi quando si presentano.
La tua rete non dovrebbe assomigliare a una barretta di cioccolato con un guscio esterno duro e un centro morbido e appiccicoso. Come ho detto a Paul Ducklin nel nostro breve podcast quando le notizie di Uber sono state trasmesse per la prima volta pubblicamente, le reti meglio gestite sono quelle che ipotizzano una violazione. Non dovrebbe esserci nulla di pericoloso in giro che, nelle mani di qualcuno con intenzioni malevole, potrebbe danneggiarti.
Per concludere
Trovo che sia una buona pratica, ogni volta che si leggono notizie su violazioni alla sicurezza, provare a trarre alcune lezioni e immaginare come potrebbe cavarsela la mia squadra di fronte a un avversario simile. Una difesa di rete di successo è difficile, ma usando queste lezioni per affinare i propri strumenti, diventa ogni volta un po’ più semplice.
Lo scopo dei nostri livelli di difesa non dovrebbe essere l’aspettarsi che uno di essi possa fermare magicamente un determinato attaccante; piuttosto, ognuno di essi dovrebbe essere visto come un’opportunità in più per guadagnare tempo.
Quel tempo consente al team che sta monitorando i tuoi sistemi di prendere nota dell’anomalia e iniziare a indagare. L’obiettivo è fare in modo che quei livelli ti facciano guadagnare abbastanza tempo da poter trovare il punto di ingresso, chiuderlo e cacciare gli aggressori prima che raggiungano i loro obiettivi.
Quando l’obiettivo del malintenzionato è quello di piazzare malware, rubare proprietà intellettuale specifica o persino innescare un attacco ransomware, di solito ci vogliono alcuni giorni e questo dovrebbe essere sufficiente per fermarlo.
Sfortunatamente, come nel caso di Uber, Rockstar e altre vittime di Lapsus$, l’aggressore cerca di tutto solo per fare notizia e causare imbarazzo alle vittime. Ciò richiede davvero poco tempo e presuppone che la rete e il monitoraggio siano in perfetta forma per prevenire l’intrusione.
Il danno causato da questi incidenti sarà temporaneo e spero che alla fine tutti possiamo trarre vantaggio da queste esperienze per migliorare i nostri processi e le nostre architetture. La sicurezza è un campo in evoluzione e il meglio che possiamo sperare è lavorare insieme, imparare dai nostri errori e continuare ad alzare il livello di difficoltà per i criminali.
Lascia un commento