La prossima settimana ricorre l'anniversario di un anno dalla prima divulgazione dell'hack di SolarWinds. Il 13 dicembre 2020, FireEye ha rivelato per la prima volta SUNBURST, una "campagna di intrusioni globale" che ha colpito più di 18.000 organizzazioni, tra cui i dipartimenti statunitensi del Commercio, della Sicurezza interna e del Tesoro, oltre a Microsoft, Deloitte e molte altre aziende private. Gli hacker potrebbero aver avuto accesso fino a 14 mesi.
La violazione di SolarWinds ha comportato importanti modifiche delle politiche e probabilmente informato L'ordine esecutivo del Presidente Biden che chiede a tutti i sistemi informativi federali di migliorare il loro sicurezza informatica.
Ma a distanza di un anno, il vicepresidente di Gartner per i rischi di sicurezza e la privacy Peter Firstbrook afferma che la maggior parte delle aziende non ha colto una delle principali conseguenze dell'attacco: "l'infrastruttura dell'identità è di per sé un obiettivo primario per gli hacker", secondo Kyle Alspach di VentureBeat.
Firstbrook ha esaminato queste lezioni al Gartner's Security & Risk Management Summit del mese scorso, osservando che "le implicazioni dell'attacco alla sicurezza delle identità dovrebbero essere al centro dell'attenzione delle aziende".
Dopo quasi un anno dalla notizia di SUNBURST, è il momento giusto per rivedere alcune delle principali lezioni apprese dopo la violazione di SolarWinds e perché i leader dovrebbero dare priorità all'identità per evitare che qualcosa di simile si ripeta.
Nel descrivere la campagna di SolarWinds, Firstbrook ha affermato che gli aggressori erano "principalmente concentrati sull'attacco all'infrastruttura di identità".
Rivolgendosi ai leader aziendali, Firstbrook ha detto: "Avete speso molti soldi per l'identità, ma si tratta soprattutto di come far entrare i buoni. È necessario spendere un po' di soldi per capire quando l'infrastruttura di identità è compromessa e per mantenerla".
I sistemi di gestione degli accessi e delle identità (IAM) di SolarWinds erano un "ricco obiettivo per gli aggressori", ha dichiarato Firstbrook. Gli hacker hanno eluso l'autenticazione multi-fattore rubando un cookie web obsoleto; hanno rubato le password usando kerberoasting; ha utilizzato i certificati SAML per "abilitare l'autenticazione dell'identità da parte dei servizi cloud" e ha creato nuovi account su Active Directory.
Gli aggressori hanno dato priorità all'identità perché forniva loro tutto ciò di cui avevano bisogno: accesso, capacità di eludere l'autenticazione e capacità di andare oltre la violazione iniziale. "Le identità sono il tessuto connettivo che gli aggressori usano per muoversi lateralmente e per saltare da un dominio all'altro", ha detto Firstbrook.
Attacchi alla catena di approvvigionamento come la violazione di SolarWinds "manipolano i prodotti o i meccanismi di distribuzione dei prodotti" per infettare i bersagli a valle. Come forma di attacco più indiretta, si avvalgono di complici inconsapevoli, rendendo così più difficile la loro individuazione.
Alla domanda su come prevenire questi attacchi, Firstbrook ha risposto che "la realtà è che non si può".
Alspach descrive in dettaglio il cinismo di Firstbrook, osservando che "la gestione dell'identità digitale è notoriamente difficile per le aziende, molte delle quali soffrono di una dispersione delle identità, comprese quelle umane, delle macchine e delle applicazioni (come ad esempio in automazione robotica dei processi)."
Il problema si estende ai fornitori di un'azienda: oggi anche le medie imprese utilizzano centinaia delle applicazioni SaaS.
Piuttosto che cercare di prevenire gli attacchi alla supply chain (o qualsiasi altro exploit specifico), Firstbrook ha consigliato alle aziende di prepararsi alle minacce spostando l'attenzione. "È necessario monitorare la propria infrastruttura di identità per individuare le tecniche di attacco conosciute e iniziare a pensare all'infrastruttura di identità come al proprio perimetro".
Firstbrook ha ragione. Oggi le aziende devono gestire innumerevoli fornitori, dipendenti che lavorano da casa, utenti esterni e altre terze parti che accedono al loro ecosistema. Con l'espansione esponenziale degli utenti e dei casi d'uso, l'identità è l'unico elemento che le organizzazioni dovrebbero essere in grado di controllare in ogni caso. Che si tratti di ransomware, di attacchi alla supply chain o della prossima moda del crimine informatico, l'identità è diventata il nuovo perimetro.
Le migliori pratiche per la sicurezza delle identità dopo SolarWinds:
- Costruire verso la fiducia zero: Fiducia zero è un nuovo modo di pensare la sicurezza informatica che elimina ogni fiducia implicita. Tratta ogni utente, dispositivo, richiesta e applicazione come una possibile minaccia e verifica costantemente ogni diritto di accesso e autorizzazione. Non si tratta di un prodotto o di un fornitore, ma di un modo di concepire la propria posizione in materia di sicurezza informatica e l'unico modo per iniziare a costruire verso la fiducia zero è iniziare dall'identità. Le aziende devono iniziare a sapere chi sono i loro utenti, come li autenticano e a cosa devono accedere. La presenza di queste basi consente alle aziende di creare una sicurezza basata sull'identità.
- Autenticazione da ogni piattaforma a ogni piattaforma: A questo punto, l'autenticazione a più fattori (MFA) dovrebbe essere un requisito per ogni organizzazione. L'assenza di MFA è stata una componente importante della Attacco ransomware di Colonial Pipeline ed è una parte fondamentale di L'ordine del Presidente Biden sulla cybersicurezza. Ma MFA deve funzionare a prescindere dagli utenti, da Windows e macOS, alle chiavi FIDO e ai codici di accesso unici, e anche quando gli utenti sono offline.
- Tutte le password sono difettose: Alcune delle prime notizie sulla violazione di SolarWinds si sono concentrate su una password specifica: "solarwinds123". I legislatori hanno persino criticato SolarWinds per la semplice credenziale; in seguito è stato rivelato che la password era per un sito FTP e non aveva nulla a che fare con la violazione. Ma l'attenzione susolarwinds123Non coglie il punto più ampio: tutte le password sono troppo facili da decifrare per i criminali informatici e troppo difficili da ricordare per gli utenti. Sono insicure, costose e creano attrito per gli utenti legittimi. Per le aziende, la soluzione non dovrebbe essere l'introduzione di password più complesse. Al contrario, le imprese dovrebbero eliminare del tutto le password e creare ambienti senza password in cui gli utenti non devono mai pensare, inserire o gestire le password.
- Sapere chi ha accesso a cosa: Se l'autenticazione decide chi può accedere a una rete, la governance e l'amministrazione delle identità (IGA) controllano ciò che un utente può fare con quell'accesso: L'IGA consente alle aziende di stabilire i diritti di accesso alle risorse giuste e per le risorse giuste. È un modo per impedire agli utenti, o ai malintenzionati, di muoversi lateralmente o al di là di un ruolo predefinito (SolarWinds ha incolpato per la prima volta uno stagista di "solarwinds123": un programma di identity governance avrebbe rivelato a cosa avrebbe potuto accedere quello stagista e cosa avrebbe potuto fare con quell'accesso). Il le migliori soluzioni controllerà lo "sprawl delle identità" automatizzando le certificazioni di accesso e dando priorità alle anomalie e alle violazioni dei criteri.
Un anno dopo, le aziende stanno ancora cercando di capire "una delle più grandi violazioni della sicurezza informatica del 21° secolo". Ciò è dovuto in gran parte al fatto che molte delle tendenze che hanno inizialmente contribuito alla violazione di SolarWinds, tra cui la dispersione delle identità, la crescente dipendenza dalle risorse cloud, le configurazioni ibride e remote permanenti e la crescente interdipendenza tra utenti, risorse e dispositivi, hanno subito un'accelerazione dal 13 dicembre 2020.
Dove andiamo a finire? L'unico modo per andare avanti è riconoscere (o ammettere) quanto siano diventati complessi i nostri ambienti operativi e dare priorità alla difesa degli attributi che ricorrono in ognuno di essi. Dobbiamo fare dell'identità il nostro nuovo perimetro e mettere l'identità al primo posto.
