2020 év vége és 2021 eleje a SolarWinds támadástól volt hangos, és azóta is, ha bárhol előkerül szakmai körökben az ellátási lánc biztonsága mint téma, akkor nagy valószínűséggel a SolarWinds támadást hozzák fel elsőnek példaként. Nem véletlen, hiszen szerte a világon ~18000 ügyfél volt érintett, köztünk olyan szervezetek, mint a Pentagon, a Fehér Ház és az egyesült államok top 500 vállalatából 425! Nyilván való ez egy nagyon kifinomult, jól előkészített, nagy költségvetésű támadás volt melynek elsődleges célja titkos adatok megszerzése volt, de valójában itt egy olyan világméretű kiber kémkedésről beszélhetünk, ahol az érintett szervezetek információs- és adatvagyonának jelentős része lehetett érintett. Az esetet pikantáriáját csak növeli, hogy a támadóknak sikerült megszerezniük a FireEye zero-day támadó kódjait is, de gyakorlatilag ennek a cégnek köszönhetjük, hogy az esetre egyáltalán fény derült. Nem kívánok a támadás technikai részleteibe bele menni, mivel az interneten számos forrás mutatja be a támadást alapos részletességgel, de röviden összefoglalnám, hogy mely tényezők vezettek ahhoz, hogy ez a támadás az egész világra kiterjedően ilyen nagy sikerrel járjon.
Kellett egy, a „célkeresztben” lévő vállalatok által széles körben használt rendszer
Először is kellett egy olyan rendszer, melyet széles körben használtak a fent felsorolt szervezetek és vállalatok szerte a világon, és amely lehetővé tette a megcélzott szervezetek hálózataihoz és információs rendszereihez történő hozzáférést. Mivel a SolarWinds olyan megoldást nyújt ügyfeleinek, amely lehetővé teszi a szervezetek által üzemeltett hálózatok és informatikai infrastruktúrák működésének figyelemmel kísérését, ezért a felügyeleti rendszerük rendelkezik az ügyfeleik rendszereiben kiemelt hozzáféréssel. Ha nem is minden érintett ügyfél, de a jelentősebbek mindenképpen szerepeltek a SolarWinds referencia listájában! Tehát nyilvánvaló volt a támadók számára, hogy tökéletes ugródeszkának használható a SolarWinds rendszere.
Kellettek a kihasználható sérülékenységek
Szintén kellett hozzá az, hogy a kiadások készítésére használt build szerverek kompromittálhatóak legyenek. Az igazi blamázs az, hogy ezekhez a szerverekhez korábban a „solarwinds123” jelszót használták!, mely tényre már 2019 -ben egy független biztonság kutató felhívta a figyelmet. Egyebként a SolarWind felső vezetői a cég egy gyakornokát hibáztatta a gyenge jelszó alkalmazásáért. Lehetséges, hogy a támadók már ekkor hozzáférést szereztek a build szerverekhez, vagy éppen ennek a hírek köszönhetően került a rendszer a célkeresztbe? Egy biztos, a támadók 2020 márciusában sikeresen feltöltötték a backdoort tartalmazó programjukat a kódtárba, ahonnan az beépülhetett a következő szoftver kiadásba. Azoknál a SolarWinds ügyfeleknél, ahol ezt a kompromittált kiadást telepítették ahelyett, hogy befoltoztak volna egy vagy több sérülékenységet, éppen egy újat aktiváltak.
Rejtőzködés
A védelmi rendszereket is sikerrel kikerülték, egyrészt az ártó kód „obfuszkált” volt, tehát a működésének mechanizmusa rejtve tudott maradni, továbbá hosszabb ideig türelmesen várt, így a heurisztikus keresők nem tudták detektálni. Az adatok ellopása is nagyon kifinomult volt, ugyanis a SolarWinds fejlesztői felületén keresztül több hónapig sikeresen küldték vissza a begyűjtött adatokat telemetriai adatoknak álcázva.
De nem ez az első és biztosan nem is az utolsó eset, hogy egy támadó sikeresen beépül az ellátási láncba. Ráadásul az alkalmazott módszerek egyre kifinomultabbak. A vállalatok sok esetben nem látják világosan a beszállítókhoz köthető kockázatokat, és a felmérések is azt mutatják, hogy egyre gyakrabban szenvednek el beszállítóhoz köthető incidenseket a szervezetek. Ráadásul ezek a rések átlagosan 200 napig aktívak a vállalati hálózatokon, de volt már példa arra, hogy az adatok évekig szivárogtak a rendszerből, gondoljunk csak a Marriot Hotel lánc 2018-ban napvilágot látott adatszivárgására, melynek eredményeként az Egyesült Királyság adatvédelmi felügyelete 18,4 millió GBP pénzbírságot szabott ki szálloda láncra.
De mit tehetünk azért, hogy a hasonló támadásokat kivédhessük a jövőben?
• Vezetői elkötelezettség a kiberbiztonság növelésében
A kiberbiztonság nem informatikai probléma, hanem egy vállalati szintű kockázatkezelési kérdés, amely folyamatos figyelmet igényel a vezetés legfelsőbb szintjén. Több kutatás is kimutatta, hogy a vezetőség kiberbiztonság iránti elkötelezettségének hiánya és a bekövetkezett biztonsági incidensek és adatbiztonsági jogsértések száma között jelentős az összefüggés. Minél alacsonyabb az elkötelezettség annál gyakrabban következnek be incidensek.
• Az ellátási lánc biztonságának folyamatos és hosszú távú kezelése
A beszállítók és ügyfeleik közötti bizalom kihasználásával a támadó mindkét félnek jelentős károkat okozhatnak. Szükség van a beszállítók kockázatainak kezelésére. A beszállítók kiválasztása és értékelése jellemzően a beszerzési árakra fókuszál, az információbiztonsági megfontolások ritkán kerülnek figyelembevételre.
• Többszintű, redundáns védelem kialakítása
Egy többszintű és mélyreható védekezési stratégia megakadályozhatja a támadások fentiekben leírt mértékű terjedését. Különböző védelmi eszközok – például tűzfalak, végpontvédelmi megoldások, behatolásjelző és megelőző rendszerek (IDS/IPS), naplóelemző rendszerek, adattitkosítási és integritás-ellenőrzési megoldások – együttes használatával hatékonyabban zárhatjuk ki azokat a hiányosságokat, amelyek az egyedi biztonsági megoldásokra támaszkodva keletkeznek.
• A telephelyi rendszerek megerősítésének (hardening) fontossága
Amennyiben a helyben futatott rendszereket sikeresen kompromittálják, és az aláíró tanúsítványok privát kulcsaihoz hozzáférnek, akkor a felhőben lévő erőforrásaink is veszélybe kerülnek.
Célszerű megismerni a CIS-ellenőrzéseket, és alkalmazni azokat a szervezet kockázati szintjének megfelelően. A biztonságos logikai kulcskezelési folyamatok és a rendszeresen frissített biztonságos HSM -ek alkalmazása szintén fontos eleme a védekezésnek.
• Kockázatalapú sebezhetőség-kezelési programok megvalósítása
A sebezhetőségek hatékony kezelése nem biztosítható, ha nem tudjuk pontosan mit is üzemeltetünk, mi lehet a támadás célpontjában és mi az ami sérülékeny. A teljeskörű hardver és szoftver nyilvántartás csak a 0. lépés. Szükség van rendszereink kockázat alappú besorolására, figyelembe véve üzleti kritikusságukat és tárolt információk bizalmasságát. A sebezhetőségek és az érintett rendszerek kritikusságának figyelembevételével lehet időben és hatékonyan kezelni a feltárt gyengeségeket.
• A statikus alkalmazásbiztonsági tesztelések (SAST) hatékony használata
Az SAST egy fehérdobozos tesztelési módszer. Megvizsgálja a kódot, hogy megtalálja a szoftverhibákat és gyengeségeket, mint például az SQL-injekciót és az OWASP Top 10 -ben felsorolt egyéb sérülékenységeket.
• Magas kockázatú események figyelemmel kísérése
A SIEM rendszerek alkalmazásával a szervezet képes a biztonsági események gyors, pontos észlelésére és azonosítására. Egy ember számára gyakorlatilag lehetetlen több biztonsági eszköz naplóját nyomon követni, ezért a SIEM rendszerezi, elemzi és riasztásokat hoz létre a nyomon követhető biztonsági műveletekhez. Ilyenek lehetnek például a fióklétrehozás, a jogosultságok kiterjesztése, az új szolgáltatások létrehozása, a biztonsággal kapcsolatos szolgáltatások letiltása, a szokatlan hálózati kommunikáció, a biztonsági helyzet és a viselkedés minták változásai stb. A viselkedéselemzés számos adatpontot figyelembe vehet – például szokatlan bejelentkezési időtartam, idő vagy hely, IP összerendelések, a személyes e-mail-címek, vagy akár a fizikai belépőkártya olvasó tevékenységei, amellyel több különféle esemény összefűzésével azonosítható a rosszindulatú behatolás.
• Incidens reagálás és üzletmenet-folytonossági képességek növelése
Rendkívül fontos az incidens reagálási tervek, üzletmenet-folytonossági és helyreállítási tervek rendszeres felülvizsgálata, a változásokkal történő aktualizálása és rendszeres gyakoroltatása és tesztelése. A beszállítók és szolgáltatók reagálási képességének validálása, bevonásuk a gyakorlatokba és tesztekbe fontos eleme a reagálási képességek értékelésének.
• Alkalmazottak kiberbiztonsági tudatosítása
Végül de nem utolsósorban gondoskodni kell arról, hogy minden alkalmazott részt vegyen legalább éves rendszerességgel kiberbiztonsági tudatosítási képzésen. Eltérő szerepkörök eltérő képzési tematikát és gyakorlatot követelnek. A felmérések azt mutatják, hogy az adatvédelmi incidensek 80%-ban emberi hibára vagy mulasztásra vezethetőek vissza. A műszaki megoldással nem ellenőrizhető területeken adminisztratív kontrollokat kell alkalmazni, és rendszeres ellenőrzésekkel kell biztosítani a szabályzatok és irányelvek betartását.