С тех пор как появились новости о SolarWinds, мы с коллегами обсуждали, как ИТ-директора могут предотвратить эксплойт (атака с эксплуатацией доверия) цепочки поставок в нашей среде. Вместе у нас есть десятки, если не сотни решений, которые мы можем развернуть.

Автор: Дин Кратчфилд, директор по информационным технологиям TNCR

Я обратился к нескольким своим коллегам, директорам по информационным технологиям и информационной безопасности (CISOs), в профессиональной сети ИТ-директоров, чтобы получить отзывы непосредственно от профессионалов о том, как развернуть решения, созданные в наших средах, которые могут снизить вероятность успешного эксплойта. Вот что они сказали.

Внедрите средства контроля для создания нескольких линий обороны

Злоумышленникам обычно необходимо получить привилегированные учетные данные для проведения атак. Однако атака на цепочку поставок SolarWinds не требовала подготовки учетных данных, когда мониторинг безопасности мог обнаружить попытку, выдачу или перехват новых данных. Атака на SolarWinds унаследовала учетные данные и сертификаты системных учетных записей, используемые для включения программного обеспечения мониторинга сети Orion, что делает «обнаружение неправомерного использования учетных данных/сертификатов» незаметным и трудным. Тем не менее, по-прежнему важно следовать рекомендациям по защите вашей системы управления учетными данными.

1. Используйте многофакторную аутентификацию для учетных записей с повышенными привилегиями. Большинство эксплойтов будут стремиться установить данные учетной записи с повышенными привилегиями.

2. Минимизируйте привилегии, чтобы ограничить количество внутренних пользователей, имеющих к ним доступ, и убедитесь, что эти учетные записи/лица с привилегиями используют многофакторную аутентификацию. Для системных учетных записей используйте сертификат или маркер аутентификации, чтобы предотвратить их неправильное использование. Изучите управление доступом и рассмотрите возможность создания системы управления привилегированным доступом (PAM solution) для управления, контроля и аудита доступа к привилегированным учетным записям.

3. Всегда шифруйте транзитный трафик внутри вашего сообщества, чтобы предотвратить сбор/кражу учетных данных, называемых атаками Man in the Middle. Сетевые периметры CIO становятся все более мобильными, особенно когда так много людей работают удаленно. Поэтому, для шифрования трафика необходимо использовать виртуальную частную сеть или другие аналогичные средства управления, необходимые для предотвращения атак со сбором учетных данных посредником.

4. Установите, включите и обновите/исправьте защиту от вредоносных программ на серверах, где размещается программное обеспечение с коммерческой лицензией. Такое программное обеспечение – вектор для эксплойтов цепочки поставок. Системы обнаружения вредоносных программ могут обнаружить, когда злоумышленник пытается активировать вредоносное ПО на ваших активах.

5. Убедитесь, что вы хорошо управляете диапазонами IP-адресов и инвентаризацией активов (физических/виртуальных). И знайте, что вы отвечаете за защиту. Просканируйте диапазоны IP-адресов на наличие уязвимостей с помощью коммерческого продукта или услуги. Некоторые компании сообщили, что знают, что они используют продукт SolarWinds Orion, но не были уверены в том, на каких устройствах он был установлен, что замедлило исправление системы Orion и расследование инцидентов.

6. Удалите все учетные данные по умолчанию из вашей среды. Рассмотрите возможность использования решения для паролей локального администрирования (Laps solution) для рандомизации и управления паролями в вашей среде.

Оцените своих текущих поставщиков и потенциальных поставщиков решений

1. Ведите дела с аккредитованными фирмами: SOC1 & SOC2 Type 2, ISO 27001/2, и/или NIST.

2. Узнайте, какие права пользователя или системной учетной записи требуются решению в вашей сети до лицензирования или подписки на услугу. Исходя из того, какие права требуются, определите, хотите ли вы вести бизнес с этой организацией или вам нужно будет установить средства контроля на основе повышенных привилегий, необходимых для решения.

3. Поймите, как система решения использует сертификаты безопасности и управляет ими.

4. Рассмотрите возможность подписки на сервис, который оценивает методы обеспечения безопасности поставщиков программного обеспечения/решений.

5. Включите в программное обеспечение и системы решений формулировки, которые предусматривают ответственность поставщиков решений посредством штрафных санкций и других средств защиты от атак, которым способствуют их программные решения. 

Поддерживайте надлежащую гигиену программного обеспечения/решений 

1. Исключите программное обеспечение, которое вы не используете или не авторизуете, устранив права отдельных лиц на загрузку программного обеспечения.

2. Будьте в курсе управления изменениями. Большинство успешных эксплойтов после проникновения используют преимущества программного обеспечения без исправлений.

Обеспечьте ретроспективную видимость и протоколирование для облегчения обнаружения, реагирования и экспертизы

1. Такие инциденты, как атака на цепочку поставок, подчеркивают необходимость в программном обеспечении для обнаружения атак на конечные точки/ресурсы и реагирования на них, чтобы не только быстро локализовать проблемы, но и, что более важно, обеспечить видимость с помощью архивного журнала look-back. После того, как была выявлена атака, подобная эксплойту цепочки поставок, важно определить, были ли какие-либо признаки взлома ранее в вашей среде. Реализуя систему мониторинга журналов, часто называемую управлением инцидентами и событиями безопасности или SIEM, системные журналы можно исторически поддерживать, искать и анализировать на предмет шаблонов, присущих эксплойту. Эти средства контроля, предотвращения и обнаружения могут сэкономить вам много времени и денег при ответе на ключевые вопросы об инцидентах.

2. Рассмотрите возможность использования архитектуры «глубокой защиты», которая обеспечивает возможность добавления нескольких стратегий предотвращения атак. Одна из функций, которую необходимо включить в архитектуру глубокой защиты, – это перенаправление подозрительного интернет-трафика в специально построенные системы безопасности. Эти специально созданные активы направляют скомпрометированный трафик «в никуда». Пока выполняется это перенаправление трафика, фиксируйте детали транзакции и добавляйте запросы в свою структуру видимости трафика. Используйте прокси-серверы и другие средства управления для занесения в черный список или управления доступом к интернет-сайтам, а также решения для защиты от вторжений и обнаружения вредоносного и необычного сетевого трафика.

3. При использовании архитектуры глубокой защиты убедитесь, что ваши ресурсы не присоединены к домену. Это, в частности, было отмечено в заметках FireEye по исследованию цепочки поставок, на которые ссылается в интервью Джейк Уильямс, старший инструктор по безопасности SANS.

Проверьте готовность вашей группы экстренного реагирования в области кибербезопасности

1. Важно, чтобы, когда (а не если) ваша компания подозревается или фактически оказывается жертвой атаки, вы знали, как вы отреагируете на атаку не только технически, но и коммерчески, с клиентами и сотрудниками правоохранительных органов.

2. Пришло время отработать процедуры и процессы реагирования на чрезвычайные ситуации: логически (с помощью теоретических занятий) и физически (с помощью реальных учений по аварийному реагированию). Эти тесты ваших систем реагирования на чрезвычайные ситуации обеспечивают важные знания и обратную связь до фактического инцидента.

Спасибо всем в CIO Professional Network, кто внес свой вклад в эту статью. Мы надеемся, что публикуя эти рекомендации, мы сможем продолжать помогать друг другу поддерживать надлежащие стандарты защиты от кибератак и особенно от злоумышленников, кто хочет использовать эксплойт цепочки поставок.

Ссылка на источник