من بين الدروس العديدة المستفادة من هجوم SolarWinds الإلكتروني غير المسبوق، هناك درس لم تدركه معظم الشركات حتى الآن: البنية التحتية للهوية نفسها هدف رئيسي للمتسللين.
هذا وفقًا لـ Peter Firstbrook من شركة Gartner، الذي شارك وجهة نظره حول أكبر الدروس المستفادة حول اختراق SolarWinds Orion في قمة Security & Risk Management في شركة الأبحاث - المؤتمر الافتراضي لأمريكا هذا الأسبوع.
كان هجوم SolarWinds- الذي يقترب من الذكرى السنوية الأولى للكشف عنه- بمثابة جرس إنذار للصناعة نظرًا لنطاقه وتطوره وطريقة توصيله. قام المهاجمون باختراق سلسلة توريد البرامج عن طريق إدخال تعليمات برمجية ضارة في تطبيق مراقبة الشبكة SolarWinds Orion، والذي تم توزيعه بعد ذلك كتحديث لما يقدر بنحو 18000 عميل.
استمر الاختراق لفترة طويلة دون أن يتم اكتشافه. يُعتقد أن المهاجمين، الذين تم ربطهم بالاستخبارات الروسية من قبل السلطات الأمريكية، قد تمكنوا من الوصول لمدة تسعة أشهر إلى "بعض أكثر الشبكات تعقيدًا في العالم"، بما في ذلك شركة الأمن السيبراني FireEye و Microsoft ووزارة الخزانة الأمريكية، قال Firstbrook، نائب رئيس الأبحاث والمحلل في Gartner. ومن الوكالات الفيدرالية المتأثرة الأخرى وزارات الدفاع، والدولة، والتجارة، والأمن الداخلي.
تحدثت Firstbrook عن هجوم SolarWinds، الذي تم الكشف عنه لأول مرة في 13 ديسمبر 2020، بواسطة FireEye، خلال محادثتين في قمة Gartner هذا الأسبوع. وقال خلال الجلسات، التي تضمنت جلسة أسئلة وأجوبة مع المراسلين، إن تداعيات الهجوم على أمن الهوية يجب أن تكون على رأس أولويات الشركات.
هذا وفقًا لـ Peter Firstbrook من شركة Gartner، الذي شارك وجهة نظره حول أكبر الدروس المستفادة حول اختراق SolarWinds Orion في قمة Security & Risk Management في شركة الأبحاث - المؤتمر الافتراضي لأمريكا هذا الأسبوع.
كان هجوم SolarWinds- الذي يقترب من الذكرى السنوية الأولى للكشف عنه- بمثابة جرس إنذار للصناعة نظرًا لنطاقه وتطوره وطريقة توصيله. قام المهاجمون باختراق سلسلة توريد البرامج عن طريق إدخال تعليمات برمجية ضارة في تطبيق مراقبة الشبكة SolarWinds Orion، والذي تم توزيعه بعد ذلك كتحديث لما يقدر بنحو 18000 عميل.
استمر الاختراق لفترة طويلة دون أن يتم اكتشافه. يُعتقد أن المهاجمين، الذين تم ربطهم بالاستخبارات الروسية من قبل السلطات الأمريكية، قد تمكنوا من الوصول لمدة تسعة أشهر إلى "بعض أكثر الشبكات تعقيدًا في العالم"، بما في ذلك شركة الأمن السيبراني FireEye و Microsoft ووزارة الخزانة الأمريكية، قال Firstbrook، نائب رئيس الأبحاث والمحلل في Gartner. ومن الوكالات الفيدرالية المتأثرة الأخرى وزارات الدفاع، والدولة، والتجارة، والأمن الداخلي.
تحدثت Firstbrook عن هجوم SolarWinds، الذي تم الكشف عنه لأول مرة في 13 ديسمبر 2020، بواسطة FireEye، خلال محادثتين في قمة Gartner هذا الأسبوع. وقال خلال الجلسات، التي تضمنت جلسة أسئلة وأجوبة مع المراسلين، إن تداعيات الهجوم على أمن الهوية يجب أن تكون على رأس أولويات الشركات.
ركز على الهوية Focus on identity
عند سؤاله عن أكبر استفادة من هجوم SolarWinds، قال Firstbrook إن الحادث أظهر أن "البنية التحتية للهوية هي هدف".
قال: "الناس بحاجة إلى إدراك ذلك، وهم لا يدركون ذلك". "هذه هي أكبر رسالتي للناس: لقد أنفقت الكثير من الأموال على الهوية، ولكن الأمر يتعلق في الغالب بكيفية السماح للأشخاص الطيبين بالدخول. عليك حقًا إنفاق بعض المال على فهم متى تتعرض البنية التحتية للهوية للخطر، والحفاظ على تلك البنية التحتية".
أشار Firstbrook إلى أحد الأمثلة حيث تمكن قراصنة SolarWinds من تجاوز المصادقة متعددة العوامل (MFA) Multifactor authentication، والتي غالبًا ما يتم الاستشهاد بها كواحدة من أكثر الطرق موثوقية لمنع الاستيلاء على الحساب. قال إن المتسللين فعلوا ذلك عن طريق سرقة ملف تعريف ارتباط على شبكة الإنترنت. كان هذا ممكنًا نظرًا لاستخدام التكنولوجيا القديمة وتصنيفها على أنها MFA، وفقًا لـ Firstbrook.
"عليك الحفاظ على البنية التحتية [للهوية]. يجب أن تعرف متى تم اختراقها، وعندما يكون شخص ما قد حصل بالفعل على أوراق اعتمادك أو يسرق الرموز المميزة الخاصة بك ويقدمها على أنها حقيقية".
تشتهر إدارة الهوية الرقمية بصعوبة بالنسبة للمؤسسات، حيث يعاني الكثير من توسع الهوية - بما في ذلك هويات الإنسان والآلة والتطبيقات (كما هو الحال في أتمتة العمليات الروبوتية). كشفت دراسة حديثة بتكليف من شركة One Identity لأمن الهوية أن جميع المؤسسات تقريبًا- 95%- أبلغت عن تحديات في إدارة الهوية الرقمية.
استغل مهاجمو SolarWinds هذه الثغرة الأمنية حول إدارة الهوية. خلال جلسة مع مؤتمر Gartner الكامل يوم الخميس، قال Firstbrook إن المهاجمين كانوا في الواقع "يركزون بشكل أساسي على مهاجمة البنية التحتية للهوية" خلال حملة SolarWinds.
ومن الأساليب الأخرى التي استخدمها المهاجمون سرقة كلمات المرور التي مكنتهم من رفع امتيازاتهم (المعروفة باسم kerberoasting)؛ سرقة شهادات SAML لتمكين مصادقة الهوية عن طريق الخدمات السحابية؛ وإنشاء حسابات جديدة على خادم Active Directory، وفقًا لـ Firstbrook.
التحرك جانبيا Moving laterally
وبفضل هذه النجاحات، كان المتسللون قادرين في وقت ما على استخدام وجودهم في بيئة Active Directory للقفز من البيئة المحلية حيث تم تثبيت خادم SolarWinds وإلى سحابة Microsoft Azure.
قال Firstbrook: "الهويات هي النسيج المجمع الذي يستخدمه المهاجمون للتحرك بشكل جانبي وللانتقال من مجال إلى مجال آخر".
وقال إن أنظمة إدارة الهوية والوصول "من الواضح أنها فرصة هدف ثرية للمهاجمين".
وقالت Firstbrook إن Microsoft نشرت مؤخرًا تفاصيل عن هجوم آخر يُعتقد أنه نشأ من نفس مجموعة الهجوم المرتبطة بروسيا، Nobelium، والتي تضمنت عملية زرع لخوادم Active Directory.
قال: "كانوا يستخدمون هذا الزرع للتسلل إلى بيئة Active Directory- لإنشاء حسابات جديدة، ولسرقة الرموز، وللتمكن من التحرك بشكل أفقي مع الإفلات من العقاب- لأنهم كانوا مستخدمين موثوقين داخل البيئة".
قال Tom Burt، نائب رئيس شركة Microsoft، في منشور على مدونة في أواخر أكتوبر إن "موجة من أنشطة Nobelium هذا الصيف" تضمنت هجمات على 609 عميلا. وقال Burt في المنشور إنه كان هناك ما يقرب من 23000 هجمة على هؤلاء العملاء بين 1 يوليو و 19 أكتوبر، "بمعدل نجاح في أقل من 10%".
مراقبة البنية التحتية للهوية Monitoring identity infrastructure
قال Firstbrook إن السؤال الشائع في أعقاب اختراق SolarWinds، هو كيف يمكنك منع هجوم سلسلة التوريد من التأثير على شركتك؟
قال: "الحقيقة هي أنك لا تستطيع".
قال Firstbrook إنه بينما يتعين على الشركات أداء العناية الواجبة بشأن البرامج التي يجب استخدامها، فإن فرص اكتشاف غرسة ضارة في برنامج بائع آخر "منخفضة للغاية" بالطبع.
وقال إن ما يمكن أن تفعله الشركات هو الاستعداد للاستجابة في حالة حدوث ذلك- وجزء مركزي من ذلك يراقب عن كثب البنية التحتية للهوية.
قال Firstbrook: "تريد مراقبة البنية التحتية لهويتك لتقنيات الهجوم المعروفة - والبدء في التفكير أكثر في البنية التحتية لهويتك باعتبارها محيطك".