15 сентября Uber Technologies сообщила, что ее сеть была взломана, что вынудило компанию отключить несколько внутренних коммуникаций и инженерных систем, поскольку они расследовали серьезность кибератаки.
Основываясь на анализе CyberArk Red Team и Labs, специалисты по кибербезопасности должны знать несколько интересных элементов, чтобы предотвратить подобные атаки в будущем.
Хотя большая часть анализа до сих пор была сосредоточена на человеческом факторе, включая использование социальной инженерии и усталость от многофакторной аутентификации (MFA), то, что произошло после того, как злоумышленник получил первоначальный доступ, является ключом к пониманию того, как произошло нарушение и как его устранить. избежать подобных атак в будущем.
Также важно отметить, что не существует единого технологического решения, лица или поставщика, которые могли бы предотвратить взлом.
Шаг 1 – Первоначальный доступ: Злоумышленник сначала получил доступ к учетным данным для VPN-инфраструктуры Uber, что позволило хакеру успешно проникнуть в ИТ-среду компании.
Шаг 2 – Обнаружение: Большинство учетных записей Uber имеют доступ к общему сетевому ресурсу, и хакеры воспользовались этим, чтобы найти жестко запрограммированные учетные данные для решения компании по управлению привилегированным доступом (PAM).
Шаг 3 – Повышение привилегий: Затем злоумышленник украл учетные данные администратора, чтобы повысить свои привилегии доступа.
Шаг 4 – Доступ к секретам и критически важным системам компании: Согласно обновлению Uber, злоумышленник в конечном итоге получил «повышенные права доступа к ряду инструментов».. Сообщается, что злоумышленник скомпрометировал доступ к SSO и консолям, а также к консоли управления облаком, где Uber хранит конфиденциальные данные о клиентах и финансовые данные.
Шаг 5 — Эксфильтрация данных: Uber подтвердил, что злоумышленник успешно загрузил внутренние сообщения Slack, а также информацию из инструмента управления счетами.
Избавление от любых встроенных учетных данных — это первый шаг к предотвращению подобных атак. Организации должны сосредоточиться на защите наиболее важных учетных данных и секретов своей организации, прежде чем распространять эти передовые методы на другие данные и информацию, чтобы снизить риск.
После того, как ИТ-специалисты и специалисты по безопасности разработают стратегию работы с жестко запрограммированными учетными данными, им рекомендуется принять следующие дополнительные меры для усиления защиты своей организации:
Предотвращение кражи учетных данных: Злоумышленники, вроде того, кто взломал системы Uber, постоянно находят новые способы обхода механизмов аутентификации. Таким образом, для ИТ-команд крайне важно обучить персонал выявлять признаки фишинга и быть в курсе новых методов атак, чтобы они не стали легкой мишенью для кибератак.
Принятие принципа наименьших привилегий: Организации должны гарантировать, что рабочие и внешние подрядчики имеют наименьшее количество разрешений, необходимых для выполнения их обязанностей. Доступ к привилегированным учетным записям для администраторов следует предоставлять только в случае необходимости и с ограничением по времени. Весь доступ к привилегированной учетной записи должен быть разделен и подтвержден. Поскольку компрометация удостоверений путем кражи учетных данных является сегодня одним из наиболее распространенных векторов первоначальных атак, организациям также следует использовать средства защиты конечных точек для ограничения таких атак (например, кража паролей браузера, файлы cookie сеанса).
Сильная эшелонированная защита: Утечка данных Uber продемонстрировала сценарий, в котором хакер смог использовать главные учетные данные для получения доступа к другим учетным данным. Из-за этого необходимо иметь надежные элементы управления эшелонированной защитой, которые обеспечивают несколько упреждающих и реактивных уровней для усиления систем безопасности и уменьшения уязвимостей.
Интеллектуальное управление привилегиями: Организации также должны удалить постоянный доступ к конфиденциальной инфраструктуре и онлайн- или облачным интерфейсам, чтобы ограничить горизонтальные перемещения злоумышленников. Своевременные привилегии также могут значительно свести к минимуму доступ любого скомпрометированного удостоверения, особенно в сочетании с надежной аутентификацией.
Умные средства управления MFA: Хотя MFA остается базовой мерой проверки подлинности на рабочем месте, необходимо внедрить более интеллектуальные и автономные механизмы для усиления доступа без ущерба для удобства пользователей. Интегрируя MFA с поведенческой аналитикой и автоматизацией, группы безопасности смогут лучше понять поведение своих пользователей при доступе и то, что представляет собой риск. Таким образом, пользователям не придется проходить дополнительные меры аутентификации каждый раз, когда они входят в систему. В то же время интеллектуальные элементы управления усиливают MFA или блокируют доступ при обнаружении потенциальной угрозы.
Обновление программного обеспечения: Исправление устройств и программного обеспечения для устранения проблем безопасности и ошибок уже давно является фундаментальным правилом кибербезопасности. Однако существует риск того, что кибер-злоумышленники могут использовать обновления безопасности для проникновения в системы организаций, компрометации удостоверений и доступа к критически важным активам. Для снижения этого риска командам всегда необходимо предполагать, что они были взломаны, и использовать несколько уровней безопасности идентификации для предотвращения несанкционированного использования учетных данных.
Не существует надежного решения против кибератак. Точно так же инструменты и люди в случае с Uber не виноваты. Однако это Можно быть смягчены надежными и многоуровневыми средствами кибербезопасности, поддерживаемыми обученным персоналом, который распознает потенциальные источники опасности.
При наличии этих аспектов злоумышленникам будет труднее нанести удар. Кроме того, эти меры помогут организациям безопасно возобновить работу как можно скорее.
