Perimeterbaserede angreb gør comeback: Sådan forbliver du sikker
Indholdsfortegnelse:
Vi er vant til at høre, hvordan den traditionelle netværksperimeter er død. At fremkomsten af cloud-apps, hjemmearbejde og allestedsnærværende mobile enheder har skabt et mere flydende, distribueret IT-miljø. Det kan være sandt indtil et punkt. Men selvom medarbejderne har adgang til virksomhedens SaaS-apps, vil der normalt stadig eksistere et slags firmanetværk. Og applikationer eller enheder, der sidder på kanten.
Udfordringen for IT-sikkerhedsteams er, at disse produkter i stigende grad bliver angrebet af trusselsaktører. Situationen er så slem, at National Cyber Security Center (NCSC) nyligt udsendt vejledning hvordan man kan mindske disse risici. Netværksforsvarere bør tage det til efterretning.
Fra da til nu
Som NCSC forklarer, er den nuværende målretning af perimeterprodukter noget af et tilbagevenden til internettets tidlige dage, hvor trusselsaktører udnyttede dårlig perimetersikkerhed til at udnytte sårbarheder og kapre konti. Dette gav dem fodfæste i netværk, der havde begrænset overvågning - hvilket gjorde det muligt for angribere at opholde sig i længere perioder uset.
Men til sidst indhentede netværksforsvarere og gjorde disse tjenester sværere at kompromittere. Trusselsaktører rettede efterfølgende deres opmærksomhed mod usikker klientsoftware og browsere og phishing-e-mails.
Nu svinger pendulet tilbage igen. Klientsoftware er i stigende grad designet med sikkerhed i tankerne (tænk: sandkasser, hele omskrivninger og hukommelsessikre sprog), og Office-makroer er blokeret som standard. Ifølge NCSC tvinger dette trusselsaktører til at vende deres opmærksomhed tilbage mod perimeterprodukter.
Hvorfor perimeterangreb gør et comeback
"Ved, at de er mindre tilbøjelige til at være i stand til at stole på dårlige adgangskoder eller fejlkonfigurationer, kigger de i stigende grad på produkter på netværkets perimeter (såsom filoverførselsapplikationer, firewalls og VPN'er), og finder nye zero-day sårbarheder i disse produkter, og valser lige ind,” advarer NCSC. "Når en sårbarhed er kendt, slutter andre angribere sig, hvilket resulterer i masseudnyttelse."
At finde disse nul-dage er ikke så svært, som det kan se ud - fordi kode i sådanne produkter typisk er mindre tilbøjelige til at være sikker ved design end klientsoftware, siger agenturet. Disse perimeter-baserede tilbud lider også af mangel på effektiv logning, i modsætning til klientenheder, som i stigende grad i dag kører "avancerede" detektions- og responsværktøjer. Alt dette gør dem til det perfekte mål for trusselsaktører, der ønsker at få fodfæste i virksomhedens netværk for datatyveri, afpresning og mere.
En advarende fortælling: Ivanti
NCSC's advarsler kommer midt i en byge af angreb mod perimeterprodukter. Blandt de mest bemærkelsesværdige var en række nul-dages udnyttelser rettet mod Ivantis Connect Secure VPN-produkt og dets Policy Secure Network Access Control (NAC) løsning. CVE-2023-46805 og CVE-2024-21887 blev afsløret af leverandøren i januar, selvom det menes, at en kinesisk trusselsaktør havde udnyttet dem i over en måned til at placere webshells på ofreorganisationers interne og eksternt vendte webservere.
Uger senere, kom det frem at hackere udnyttede endnu en nul-dages (CVE-2024-21893) for at omgå en indledende afhjælpning, som Ivanti udgav for at håndtere to originale nul-dage-fejl. Den potentielle trussel mod organisationer er så akut, at Five Eyes-efterretningstjenesterne frigav en langvarig sikkerhedsrådgivning i slutningen af februar.
"Sårbarhederne påvirker alle understøttede versioner (9.x og 22.x) og kan bruges i en kæde af udnyttelser for at gøre det muligt for ondsindede cybertrusselsaktører at omgå godkendelse, lave ondsindede anmodninger og udføre vilkårlige kommandoer med forhøjede privilegier," bemærkes det. .
Forstærkning af perimeterforsvar
Spørgsmålet for CISO'er er, hvordan man afbøder sådanne trusler. På lang sigt går NCSC ind for at presse leverandører til at bygge mere sikre produkter og undgå dem, der ikke kan bevise sikker-by-design-software. Det vil dog ikke forhindre nutidens trusler. Dens andre forslag kan være mere handlingsrettede:
1) Overvej cloud-hostede snarere end lokale versioner af disse perimeterprodukter. Selvom disse muligvis stadig ikke er sikre ved design, bliver de rettet hurtigere og bør regelmæssigt overvåges af leverandøren. Plus, hvis det værste sker, og de bliver kompromitteret, vil det i det mindste ikke give angribere fodfæste i virksomhedens netværk. I bedste fald kan trusselsaktørerne endda lade dine virksomhedsdata være i fred.
2) Hvis migrering til en cloud-version ikke er mulig, skal du slukke eller blokere på firewall-niveau for alle ubrugte "grænseflader, portaler eller tjenester af internet-vendt software". De nul-dage i disse Ivanti-produkter påvirkede denne form for ekstra service (i så fald deres "webkomponenter")
3) Sørg for, at alle interne perimeterprodukter udvikles med sikkerhed foran og i centrum – med cloud-hosting og serverløse muligheder, der er værd at overveje for at begrænse ethvert potentielt nedfald, hvis de angribes
Richard Werner, cybersikkerhedsrådgiver hos Trend Micro, hævder, at det ikke er et vidundermiddel at vælge cloud-hostede (SaaS) apps som standard.
"SaaS-tilgange bliver attraktive mål for kriminelle, der sigter på at påvirke flere mål med et angreb, eksemplificeret af 2021 Kaseya hændelse,” siger han til ISMS.online. "Selvom SaaS effektivt kan afbøde kendte cyberrisici, skal det ikke ses som den ultimative løsning på kerneproblemet."
Han tilføjer, at forebyggelse af sårbarhedsudnyttelse sandsynligvis vil forblive ekstremt udfordrende – og kræver en defensiv tilgang i flere lag.
"Det er afgørende at overholde bedste praksis for sikkerhed, men selv i ideelle scenarier er fuldstændig risikoundgåelse uopnåelig," argumenterer Werner. "Derfor skal virksomheder supplere deres sikkerhedsforanstaltninger med teknologier som udvidet detektion og respons (XDR), påbudt af moderne love som NIS 2."
I sidste ende, hvis omkredsen med tiden bliver sværere for trusselsaktører at målrette mod, vil de gå videre til en anden del af angrebsfladen, der er mindre godt forsvaret.
"Det er afgørende at forstå den cykliske karakter af sikkerhedsdiskussioner, hvor angribere udnytter sårbarheder, og forsvarere stræber efter at modarbejde dem. Disse forsvarsmekanismer får angriberne til at søge nye indgangspunkter eller intensivere deres indsats,” slutter Werner.
"Effektivitet i forsvar måles ved at gøre det for dyrt for angribere at finde en succesfuld vej. Men at måle succes er stadig udfordrende for forsvarere på grund af forskellige angribermål."
Da disse mål fortsætter med at ændre sig, må netværksforsvarere og leverandørsamfundet tilpasse sig. Udfordringen er, at agiliteten på den angribende side indtil nu har overgået reaktionshastigheden.
