В Microsoft пояснили, какому принципу следовать для защиты от атак наподобие SolarWinds

В Microsoft пояснили, какому принципу следовать для защиты от атак наподобие SolarWinds

Организации должны действовать с учетом возможного взлома и очень тщательно проверять безопасность учетных записей, конечных точек и пр.

Хотя взломавшие SolarWinds хакеры использовали поистине хитроумные техники, они также прибегали к весьма обычным и известным способам, использование которых можно было предотвратить заранее, считают специалисты Microsoft.

Для предотвращения атак, подобных атаке на SolarWinds, Microsoft рекомендует организациям придерживаться принципа «нулевого доверия» (Zero Trust), опровергающего предположение, будто IT-сети безопасны. Организации должны действовать с учетом возможного взлома и очень тщательно проверять безопасность пользовательских учетных записей, конечных точек, сети и других ресурсов.

Как пояснил директор Microsoft по безопасности личности Алекс Вайнерт (Alex Weinert), есть три основных вектора атак – взлом учетных записей пользователей, взлом учетных записей поставщиков и взлом ПО поставщиков.

Раскрытая в прошлом месяце атака на SolarWinds затронула тысячи компаний. Хакерская группировка UNC2452/Dark Halo атаковала среду разработки платформы SolarWinds Orion, модифицировав процесс компиляции ПО из исходного кода в исполняемый файл для развертывания пользователями.

На днях ИБ-компания Malwarebytes сообщила , что также стала жертвой UNC2452/Dark Halo, но атака была осуществлена не с помощью вредоносного обновления для Orion. Злоумышленники проникли в ее сети через приложения с привилегированным доступом к инфраструктурам Office 365 и Azure. По словам Вайнерта, хакеры воспользовались недочетами в «тщательной проверке» в каждом из трех векторов атак.

Как пояснил специалист, для компрометации пользовательских учетных записей киберпреступники использовали известные методы, такие как «распыление» паролей (password spray), фишинг и вредоносное ПО. Как оказалось, у взломанных привилегированных учетных записей поставщиков отсутствовали дополнительные уровни защиты, такие как многофакторная аутентификация, ограничение диапазона IP-адресов, соответствие устройств и просмотр доступов. По данным Microsoft, в 99,9% ежемесячно регистрируемых ею взломанных аккаунтов не используется многофакторная аутентификация.

«Первый принцип Zero Trust – тщательная проверка. Убедитесь, что проверка распространяется на все запросы доступа, даже от поставщиков, особенно из локальных сред», – рекомендует Вайнерт.

Эксперт также напомнил, почему наименее привилегированный доступ имеет решающее значение для минимизации возможностей злоумышленника для бокового перемещения внутри сети. Это должно помочь разделить атаки путем ограничения доступа к среде со стороны скомпрометированного пользователя, устройства или сети.

По словам Вайнерта, в атаке на SolarWinds хакеры «воспользовались широкими назначениями ролей, разрешениями, превышающими требования к ролям, и в некоторых случаях заброшенными учетными записями и приложениями, у которых вообще не должно было быть разрешений».

Вайнерт признает, что взлом SolarWinds – «действительно серьезная и продвинутая атака», но риски от применяемых злоумышленниками методов можно было существенно снизить с помощью лучших ИБ-практик.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь