נאכדעם וואס ShinyHunters' העקינג קאלעקטיוו האט אויסגענוצט "צו דערלויבנדע" סיילזפארס גאסט באניצער קאנפיגוראציעס צו צוקומען צו דאטן פון ביז 400 ארגאניזאציעס, ווי קענען פירמעס פארשטארקן די ווידערשטאנדסקראפט?
פֿון קייט אָ'פֿלאַהערטי
אין מערץ האט סיילזפארס ארויסגעגעבן א ווארענונג צו קאַסטאָמערס אַז די ShinyHunters העקינג קאָלעקטיוו האט אויסגענוצט פאַלשע קאָנפיגוראַציעס אויף עפנטלעכע עקספּיריאַנס קלאָוד זייטלעך צו צוטריטן סענסיטיווע דאַטן און האַלטן פירמעס אלס כופר.
די אַטאַקירער האָבן לכאורה אויסגענוצט אַ מאָדיפֿיצירטע ווערסיע פֿון אַן אָפֿן-קוואַל געצייַג. אויראַאינספּעקטאָר, ארגינעל אנטוויקלט דורך מאנדיאנט, צו דורכפירן מאסן סקענען און געפינען קאנפיגוראציע גאפעס צו אטאקירן ביז 400 ארגאניזאציעס.
אלס טייל פון די סיילזפארס אויערה פריימווערק צו אידענטיפיצירן זיכערהייט מיסקאנפיגוראציעס אין עקספיריענס קלאוד זייטלעך, האבן די אנפאלער באשאפן א ווערסיע פון די געצייג "וואס איז פעאיק צו גיין ווייטער פון אידענטיפיצירן צו טאקע עקסטראקטירן דאטן", האט סיילזפארס געווארנט אין א... אַדווייזערי.
"דאָס איז דער מאָדערנער אַטאַקירער שפּילבוך," זאָגט דין גאַרווי-נאָרט, CTO ביי מיקראָליז. "ניצט לעגיטימע מכשירים, צילט קאָנפיגוראַציע שוואַכקייטן אַנשטאָט פּלאַטפאָרמע וואַלנעראַביליטיז, און אַרבעט אויף אינטערנעט וואָג."
מיט קעגנער וואָס נוצן אויס קאַסטאַמערז מיט "צו דערלויבנדיקע גאַסט באַניצער סעטטינגס", איז סיילזפאָרס נישט געווען שולדיק אין דעם אינצידענט — לפּחות פֿון אַ לעגאַלן שטאַנדפּונקט. דער אינצידענט איז אַ גוט בייַשפּיל פֿון ווי וואָלקן קאָנפיגוראַציע, אידענטיטעט ויסשטעלן און געטיילטע פֿאַראַנטוואָרטלעכקייט מאָדעלן שאַפֿן נייע און אָפֿט מיספֿאַרשטאַנען געביטן פֿון ריזיקע.
ווי קענען אָרגאַניזאַציעס רעדוצירן עקספּאָוזשער און פארשטארקן ווידערשטאַנדסקראַפט אין וואָלקן-געטריבענע סביבות, וואו דער ריזיקאָ ליגט אָפט אין דער ריס צווישן פּלאַטפאָרמע קייפּאַביליטי און קונה קאָנפיגוראַציע?
מיסקאָנפיגוראַטיאָנס
ווי דער סיילזפארס אינצידענט ווייזט, מיסקאָנפֿיגוראַציעס, ספּעציעל אַרום גאַסט אַקסעס און אידענטיטעט פּערמישאַנז, פאָרזעצן צו זיין אַ שטענדיגע מקור פון דאַטן ויסשטעל.
פאַלשע קאָנפיגוראַציעס בלייבן ווייל אָרגאַניזאַציעס אָפט שטעלן פריאָריטעט אויף באַניצבאַרקייט און שנעלע דיגיטאַלע דיפּלוימאַנט איבער זיכערהייט. דאָס גיט אַומבאַוואוסטזיניק נישט-אויטענטיפיצירטע עקסטערנע באַניצער "ברייטע, אינטערנע דאַטן פּערמישאַנז" אַנשטאָט שטרענג דורכצופירן אַ "מינדסטע פריווילעגיע" צוטריט מאָדעל, זאגט דריי אגהא, עלטערער מענעדזשער פון זיכערהייט אפעראציעס ביי האַנטרעס.
באַניצער-פרײַנדלעכקייט און זיכערהייט זענען "אין שפּאַנונג דורך פּלאַן", און קאָנפיגוראַציע באַשלוסן געמאַכט בײַ דער אימפּלעמענטאַציע צײַט ווערן זעלטן איבערגעקוקט, זאָגט מיקראָליז'ס גאַרווי-נאָרט. "סאַלעספאָרס עקספּיריענס קלאָוד פּאָרטאַלן נוצן אַ דעדיקירט גאַסט באַניצער פּראָפיל וואָס אַלאַוז נישט-אויטענטיפֿיצירטע באַזוכער צו זען עפֿנטלעכע בלעטער אָדער פאָרלייגן פֿאָרמען אָן זיך אַרײַנלאָגירן. ווען יענער פּראָפיל איז מיסקאָנפיגורירט מיט איבערגעטריבענע פּערמישאַנז, ווערט דאַטן וואָס זענען נישט בדעה צו זײַן עפֿנטלעך גלייך אָנפֿרעגלעך, אָן קיין לאָגין נויטיק."
די פראבלעם איז סטרוקטורעל, זאגט גארווי-נארט. "פלאטפארמעס קומען מיט ערלויבנדע דיפאלץ צו רעדוצירן די רייבונג פאר נייע קאסטומערס. אימפלעמענטאציע טימס אפטימיזירן צו באקומען זאכן ארבעטן. זיכערהייט איבערבליקן פאסירן אין א געוויסער צייט."
אבער קלאָוד קאָנפיגוראַציע איז נישט סטאַטיש: "יעדער נייַער פּאָרטאַל, אינטעגראַציע, אָדער פֿונקציע אויסראָל איז אַ פּאָטענציעלע נייַער עקספּאָוזשער ייבערפלאַך," ווייזט אויס גאַרווי-נאָרט. "אָן קעסיידערדיקער קאָנפיגוראַציע מאָניטאָרינג, טראַסט איר אין עסאַנס אַז גאָרנישט האָט זיך אָפּגעטריבן זינט אייער לעצטער אוידיט."
ווער איז צו באַשולדיקן?
סיילזפאָרס איז אַ בייַשפּיל פון ווי פֿעיִקייטן דיזיינד פֿאַר באַניצבאַרקייט, אַזאַ ווי עפֿנטלעכע פּאָרטאַלן, APIs און גאַסט אַקסעס, ברענגען אַרײַן נײַע און אָפֿט אונטערגעשאַצטע זיכערהייט ריזיקעס.
די אייגנשאפטן טוישן אָפט טראַדיציאָנעלע זיכערהייט הנחות, זאָגט דאַנאַ סימבערקאָף, הויפּט ריזיקע, פּריוואַטקייט און אינפֿאָרמאַציע זיכערהייט אָפיציר ביי AvePoint. "ניצלעכקייט-געטריבענע פּלאַן פֿאַרשיבט אָפט ריזיקע, שטילערהייט, פֿון דער פּלאַטפאָרמע צום קונה."
עס קען דעמאָלט זיין שווער צו פֿאַרשטיין וווּ די פֿאַראַנטוואָרטלעכקייט ליגט צווישן וואָלקן פּראַוויידערז און קאַסטאַמערז - ספּעציעל ווען אינצידענטן שטאַמען פֿון קאָנפיגוראַציע פּראָבלעמען, אַנשטאָט פֿון קאָר פּלאַטפאָרמע וואַלנעראַביליטיז.
אַטאַקירער האָבן געזאָגט אַז אַ "סיילספאָרס לימיטאַציע" האָט דערמעגלעכט דעם אינצידענט. אָבער סיילספאָרס אַליין איז געווען קלאָר: דאָס איז נישט אַ פּלאַטפאָרמע שוואַכקייט, נאָר אַ פּראָבלעם אין ווי קאַסטאַמערז האָבן קאָנפיגורירט גאַסט באַניצער פּערמישאַנז, זאָגט גאַרווי-נאָרט.
וואָלקן פּראַוויידערז זיכערן די פּלאַטפאָרמע, אָבער קאַסטאַמערז זענען פאַראַנטוואָרטלעך פֿאַר ווי עס איז קאָנפיגורירט — אַרייַנגערעכנט אידענטיטעט, פּערמישאַנז און דאַטן ויסשטעלן. "דאָס איז וווּ רובֿ אָרגאַניזאַציעס פאַלן קורץ," זאגט סטיו פּאַרקין, גלאבאלע CTO Assured Data Protection. "זיי ענדיקן זיך צו פאַרלאָזן אויף פּונקט-אין-צייט אַדאַץ אין סביבות וואָס טוישן זיך קעסיידער."
דער מאָדעל פֿאַר געטיילטע פֿאַראַנטוואָרטלעכקייט איז "גוט איינגעוואָרצלט אין טעאָריע און שטענדיק מיספֿאַרשטאַנען אין פּראַקטיק", לייגט צו מיקראָליז'ס גאַרווי-נאָרט. "וואָלקן פּראַוויידערז באַשיצן די אינפֿראַסטרוקטור און די פּלאַטפאָרמע. קאַסטאַמערז זענען פאַראַנטוואָרטלעך פֿאַר וואָס זיי שטעלן אויף עס, ווי זיי קאָנפיגורירן אַקסעס, און ווי זיי רעגירן עס איבער צייט. די ריס, און וווּ רובֿ בריטשיז איצט געפֿינען זיך, איז אין די קאָנפיגוראַציע שיכט."
אויטאמאציע ערמעגליכן אטאקעס
אין דער זעלבער צייט, וואַקסן די אַטאַקירער אין קאַפּאַציטעט, ניצן אָטאָמאַציע און לעגיטימע מכשירים צו ידענטיפיצירן און אויסנוצן שוואַכקייטן אין הונדערטער אָרגאַניזאַציעס סיימאַלטייניאַסלי. מאַנדיאַנט'ס CTO באשטעטיקט שיני האַנטערס האָט גענוצט AuraInspector צו אויטאָמאַטיזירן וואַלנעראַביליטי סקאַנז אין סאַלעספאָרס סביבות אין גרויסן מאָסשטאַב.
"ווען פארטיידיקער טראכטן וועגן וואָלקן ריזיקע, טענדירן זיי נאך צו טראכטן אין טערמינען פון יחידישע אינצידענטן," זאגט גאַרווי-נאָרט.
אבער אנפאלער טראכטן אין טערמינען פון אייבערפלאך. "יעדער מיסקאנפיגוראציע מוסטער וואס עקזיסטירט אין טויזנטער ארגאניזאציעס איז אן איינציקע אויטאמאטישע קאמפיין אוועק פון מאסן אויסניצן," זאגט גארווי-נארט.
דערווייל, טאקטיקן ווי אינסצענירטע ליקס און ווישינג קאמפיינס פארגרעסערן דעם אימפאקט פון די סארט אינצידענטן.
ShinyHunters האט באַשטימט אַ פובליקן דעדליין, וואָרנענדיק אַז גע'גנב'עטע דאַטן וועלן ארויסגעגעבן ווערן סיידן די קרבנות וועלן נאָכקומען די אויספּרעסונגס-פאָדערונגען.
די גרופּע האָט דורכגעפירט פּאַראַלעלע ווישינג אָפּעראַציעס, זיך אויסגעגעבן ווי איי-טי שטאב און דירעקטירט עמפּלוייז צו קרעדענשאַל כאַרוועסטינג זייטלעך צו כאַפּן איין-סיין-אָן קרעדענשאַלז און מולטי פאַקטאָר אָטענטאַקיישאַן (MFA) קאָודן. די קאָמבינאַציע איז באַוואוסטזיניק, זאָגט גאַרווי-נאָרט: "גנבענען דאַטן דורך מיסקאָנפֿיגוראַציע, זאַמלען קרעדענצן דורך סאָציאַלע אינזשעניריע, און דערנאָך אויספּרעסן מיט ביידע."
דאָס קומט אין אַ צייט פון וואַקסנדיקע רעגולאַטאָרישע ערוואַרטונגען אַרום דאַטן שוץ, צוטריט קאָנטראָל, און אַקאַונטאַביליטי. מיט פילע טעריטאָריעס איצט וואָס האָבן דאַטן שוץ געזעצן, און די העכערונג פון קלאַס אַקשאַן קלאַגעס, די פאַרהיטונג פון ויסשטעלן פון דאַטן איז איצט אָפט דער הויפּט טרייב פאַקטאָר אין צאָלונג פון עקסטאָרשאַן פאָדערונגען.
"כאָטש קלאר נישט רעקאָמענדירט, איז עס אָפט ביליקער צו צאָלן צו פאַרהיטן די ארויסגעבן פון די דאַטן, ווי צו טראָגן די קנס און לעגאַלע קאָסטן וואָס קומען פון אַנטפּלעקונג," זאָגט טאָני דזשי, הויפּט סייבער זיכערהייט קאָנסולטאַנט ביי 3B דאַטן זיכערהייט.
בריקן דעם זעבארקייט גאַפּ
אינצידענטן ווי די סיילזפארס אטאקעס אונטערשטרייכן א שטענדיגע שוועריקייט: ארגאניזאציעס זענען מער און מער פארלאזט אויף וואלקן פלאטפארמעס, אבער זיכערהייט אחריות איז פארשפרייט, און נישט שטענדיג קלאר פארשטאנען.
געשעפטן דארפן גיין ווייטער פון אננעמען אז וואָלקן פּלאַטפאָרמע זיכערהייט איז גענוג, צו אַ מער קאָנטינויִערלעכן, סיסטעם-באַזירטן צוגאַנג צו קאָנפיגוראַציע פאַרוואַלטונג, אידענטיטעט גאַווערנאַנס און פארזיכערונג.
טראדיציאנעלע זיכערהייט פארלאזט זיך שטארק אויף סטאטישע, פונקט-אין-צייט אוידיטס וואס "פארפעלן אינגאנצן די סובטילע, קאנטינעווערליכע קאנפיגוראציע דריפטס און API עקספאוזשערס וואס כאראקטעריזירן מאדערנע קלאָוד ריסקס," זאגט האַנטרעס' אגהא.
דאָס לאָזט איבער "אַ געפערלעכע זעבארקייט-גאַפּ וואו לעגיטימע פֿעיִקייטן ווערן שטילערהייט מיסברויכט", וואָרנט ער.
מיט דעם אין זינען, זענען דא עטלעכע פּראַקטישע טריט וואָס זיכערהייט און קאָנפאָרמאַנס פירער זאָלן נעמען צו פֿאַרבעסערן וויזאַביליטי און קאָנטראָל איבער אידענטיטעט, צוטריט און קאָנפיגוראַציע סעטטינגס.
פירער מוזן אריבערגיין צו א "פריוואט-דורך-דיפאלט" זיכערהייט שטעלונג דורך אקטיוו אוידיטירן עקסטערנע גאסט פראפיל דערלויבענישן, דיסעיבלען נישט-אויטענטיפיצירטן עפנטלעכן API צוטריט סיידן עס איז שטרענג נויטיג, און אימפלעמענטירן קאנטינעווירלעכע מאניטארינג פון געשעעניש לאגס צו כאפן אומנארמאל דאטן קוועריען, לויט אגא.
"זייט גאָר נייגעריק אין דער אינפראַסטרוקטור וואָס ווערט גענוצט און נעמט אָן אַז דער פּראַוויידער האָט נישט אימפּלעמענטירט זיכערהייט-דורך-דיפאָלט," ראַט ער. "אונטערזוכט די זיכערהייט אָפּציעס וואָס זענען פאַראַן אין דער קאָנפיגוראַציע פון דריט-פּאַרטיי מכשירים."
א שליסל דעפענסיווע קאנטראל איז שטארקע סאַפּלייערז דיו דילידזשענס און אנגייענדיק דריט-פּאַרטיי ריזיקאָ פאַרוואַלטונג, זאגט 3B דאַטאַ סעקיוריטי'ס דזשי. ער רעקאָמענדירט אַ מינדסטער פּריווילעגיע צוגאַנג צו דאַטן ייַנטיילונג, מיט בלויז דאַטן וואָס זענען נייטיק צו טיילן מיט די דריט פּאַרטיי.
מיקראָליז'ס גאַרווי-נאָרט רעקאָמענדירט צו פרעגן פארקויפער די פראגעס וואָס איר וואָלט פרעגן וועגן אייער אייגענער אינפראַסטרוקטור: "וואָס זענען אייערע זיכער-דורך-דיפאָלט קאָנפיגוראַציעס, ווי דעטעקטירט איר אַנאָמאַלע אַקסעס אויף דער פּלאַטפאָרמע מדרגה, און ווי זעט אויס אייער אַנטפּלעקונג פּראָצעס ווען עפּעס גייט שלעכט?"
דערווייל, האבן א שטארקן רעאקציע פראצעס איז יסודות'דיג צו באגרענעצן דעם ריזיקע פון שטראפן און געריכטליכע קלאגעס, זאגט דזשי. "דעמאנסטרירן שטארקע סייבער ווידערשטאנד איז געזען געווארן אלס א באשליסנדיקער פאקטאר אין דעם שטאפל פון שטראף. גארנישט טאן און זיך פארלאזן אויף די גלאנציגע דריטע פארטיי מארקעטינג איז נישט קיין גילטיגע פארטיידיגונג און פירט אפט צו גרעסערע שטראפן און גרינג געווינס קלאסן קלאגעס."
אין דער זעלבער צייט, פריימווערקס ווי יסאָ קסנומקס העלפֿן דורך מאַנדאַטאָרירן שטרענגע, אָנגאָינג ריזיקאָ אַסעסמאַנץ און סיסטעמאַטישע אַקסעס קאָנטראָל פּאָליטיק. דאָס העלפֿט טראַנספאָרמירן וואָלקן זיכערהייט פֿון אַ "שטעלן און פֿאַרגעסן" טשעקקאַסטל אין אַ "קאָנטיניואַסלי גאַווערנד פּראָצעס וואָס אַליינז קאָמפּלעקס סביבות מיט ווידערשטאַנדספעיִקע סטאַנדאַרדן", זאָגט אַגאַ.
וואו ISO 27001 לייגט באמת צו ווערט אין קאָמפּלעקסע דיגיטאַלע סביבות איז אין פאָרסירן אָרגאַניזאַציאָנעלע קלעריטי: ווער איז דער אייגנטימער פון יעדן קאָנטראָל, ווי אַן אַקסעפּטאַבלע ריזיקע זעט אויס, און ווי אינצידענטן ווערן עסאַקאַלירט און געלערנט פון, זאָגט גאַרווי-נאָרט. "יענע גאַווערנאַנס סטרוקטור ווערט די פֿאַרבינדונג געוועב צווישן דיין זיכערהייט אינזשעניריע קייפּאַבילאַטי און דיין באָרד-לעוועל ריזיקע אַפּעטיט. אָן דעם, האָט איר מכשירים אָן אַקאַונטאַביליטי."
יקספּאַנד דיין וויסן
בלאָג: דער וועג פון קלענסטן קעגנשטאנד: פארוואס טיפע פארטיידיגונג איז די בעסטע רעאקציע צו וואלקן סכנות
פּאָדקאַסט: פישינג פאר צרות עפּיזאָד #10: די גרויסע סייבערזיכערהייט פראגעס וואָס געשעפטן שטייען פאר
וועבינאַר: די מאַכט פון ISO 27017 און 27018: זיכער מאַכן אייער וואָלקן סביבה
