Корпорація Майкрософт рекомендує організаціям дотримуватися принципу нульової довіри (Zero Trust)

Щоб запобігти атакам на кшталт атаки SolarWinds, Microsoft рекомендує організаціям дотримуватися принципу Zero Trust, який спростовує припущення про те, що ІТ-мережі безпечні. Організації повинні діяти по можливому злому і дуже ретельно перевіряти безпеку облікових записів користувачів, кінцевих точок, мережі та інших ресурсів.

Як пояснив директор Microsoft з безпеки особистих даних, є три основні вектори атаки – злом облікових записів користувачів, злом облікових записів постачальників і злом програмного забезпечення постачальника.

Атака сонячних вітрів, розкрита минулого місяця, торкнулася тисяч компаній. Хакерська група UNC2452/Dark Halo атакувала середовище розробки платформи SolarWinds Orion, модифікувавши процес компіляції програмного забезпечення з вихідного коду у виконуваний файл для розгортання користувачами.

Компанія з інформаційної безпеки Malwarebytes повідомила , що вона також стала жертвою UNC2452/Dark Halo, але атака не була здійснена за допомогою шкідливого оновлення для Orion. Зловмисники проникали в його мережі через додатки з привілейованим доступом до інфраструктур Office 365 і Azure. За словами Вайнерта, хакери скористалися недоліками в "ретельній перевірці" в кожному з трьох векторів атаки.

Як пояснив експерт, для компрометації облікових записів користувачів кіберзлочинці використовували відомі методи, такі як «розпилення» паролів (розпилення паролів), фішинг і шкідливе ПЗ. Як виявилося, зламаним привілейованим обліковим записам постачальників не вистачало додаткових рівнів захисту, таких як багатофакторна аутентифікація, обмеження діапазону IP-адрес, спорідненість пристрою та перегляд доступу. За даними Microsoft, 99,9% щомісячних облікових записів, які вона реєструє зламаними, не використовують багатофакторну аутентифікацію.

«Перший принцип Zero Trust – це ретельна перевірка. Переконайтеся, що перевірка застосовується до всіх запитів на доступ, навіть від постачальників, особливо з локальних середовищ»."

Експерт також нагадав, чому найменш привілейований доступ має вирішальне значення для мінімізації здатності зловмисника пересуватися латерально всередині мережі. Це має допомогти розділити атаки, обмеживши доступ до навколишнього середовища скомпрометованим користувачем, пристроєм або мережею.

Під час атаки solarwinds хакери «скористалися широкими призначеннями ролей, дозволами, які перевищували вимоги до ролей, а в деяких випадках відмовилися від облікових записів і додатків, які взагалі не повинні були мати дозволів».

Злом SolarWinds - це «дійсно серйозна і просунута атака», але ризики від методів, що використовуються зловмисниками, можна було б значно знизити за допомогою кращих практик інформаційної безпеки.