Команды по разведке угроз заняты изучением взломов в Министерстве финансов США в декабре 2024 года, в поисках закономерностей и детализируя индикаторы компрометации, чтобы помочь другим организациям предотвращать и выявлять подобные атаки. Такой анализ является полезным и необходимым для нашей индустрии, чтобы делиться извлеченными уроками, чтобы мы все могли предвидеть, что будет дальше. Поскольку машинные идентификационные данные, такие как ключи API, растут в геометрической прогрессии, этот инцидент является поучительной историей для всех нас.
Вот что нам известно:
Министерство финансов США использовало сторонний сервис SaaS для предоставления технической поддержки удаленным работникам в офисах департамента. Предоставление удаленного доступа к конфиденциальным данным и ресурсам является растущей потребностью для организаций с распределенными работниками и гибридными рабочими средами.
Тем не менее, удаленный доступ может быть уязвимой частью вашей системы безопасности. Большинство решений для удаленного доступа требуют открытия сетевых портов для входящего трафика. Они также предлагают ограниченный аудит с только базовыми журналами событий, что увеличивает вероятность того, что вы пропустите злонамеренную активность.
Для защиты удаленного доступа Gartner рекомендует удаленное управление привилегированным доступом (RPAM), которое позволяет получить подробный доступ к авторизованным привилегированным учетным записям с помощью PAM-шлюзов, которые являются посредниками. Самые безопасные системы удаленного доступа позволяют только односторонний трафик – из вашего PAM-хранилища наружу.
В этом случае сторонняя система удаленного доступа была подключена к внутренним ИТ-системам Казначейства с помощью API-ключа – машинной идентичности, который позволял менять пароли локальных учетных записей приложений на рабочих станциях пользователей.
Все работало хорошо, пока ключ API не был скомпрометирован китайскими хакерами.
Продвинутая постоянная угроза (APT) использовала уязвимость в программном обеспечении для удаленного доступа. Аналитики считают, что это одна из ряда спонсируемых государством атак, которые используют уязвимые контакты с третьими сторонами, в том числе хрупкие или незащищенные API-интеграции.
В начале декабря производитель программного обеспечения обнаружил проблему и открыто заявил о ней на своем сайте. Они отозвали API-ключ, чтобы его больше нельзя было использовать, и сообщили об этом соответствующим клиентам.
Однако к тому времени, похоже, злоумышленники уже были внутри Министерства финансов. Получив доступ к ключу API, злоумышленники использовали его для разблокировки нескольких систем, в том числе рабочих станций пользователей, на которых локально хранилась несекретная информация.
Что означает утечка данных из Министерства финансов для вашей организации и вашей стратегии защиты идентификационных данных?
Снижение риска машинных идентификационных данных, например API
API являются важнейшими компонентами интегрированной ИТ-экосистемы и обеспечивают доступ к критически важным системам и данным. Однако небезопасные API и раскрытие секретных ключей API, которые аутентифицируют и авторизуют запросы к API, могут поставить под угрозу вашу безопасность.
Вы должны обращаться с ключами API как с важными секретами и применять лучшие практики, например, хранить их в зашифрованном репозитории и регулярно менять.
- Никогда не указывайте ключи API в открытом тексте и не храните их в коде, особенно если ваш код публикуется на таких платформах, как GitHub.
- Всегда сохраняйте отдельные ключи API для каждого сервиса и ограничивайте их использование необходимыми сферами и доменами.
- Автоматически ротируйте секреты, такие как ключи API. Таким образом, если злоумышленник получит старый ключ, он будет недействительным.
Ознакомьтесь с другими лучшими практиками безопасности API >
Будьте бдительны благодаря непрерывному обнаружению и реагированию
Злоумышленники часто придерживают похищенные учетные данные некоторое время, прежде чем использовать их, иногда продавая их в Dark Web или через брокеров доступа. Попав в вашу ИТ-среду, они могут находиться там несколько дней или недель, прежде чем начать действовать.
Праздничные дни, когда компании работают с минимальным штатом сотрудников, могут стать хорошей возможностью для злоумышленников остаться незамеченными. Кроме того, поскольку все больше людей путешествуют, системы удаленного доступа становятся привлекательной мишенью. Автоматизация лучших практик безопасности может помочь разделить это бремя.
Постоянное обнаружение и контекстно-ориентированное обнаружение являются ключевыми. Министерство финансов могло бы обнаружить это нарушение раньше, обнаружив признаки компрометации, такие как большое количество сбросов паролей или необычная активность входа или загрузки на уровне рабочих станций.
Кроме того, можно было бы добавить этапы проверки личности (MFA), чтобы даже в случае мошеннической попытки сброса локального пароля несанкционированный пользователь не смог бы продолжить работу без дополнительных уровней защиты.
Киберустойчивость и многоуровневая защита имеют важное значение
Убедитесь, что вы следуете лучшим практикам кодирования и проверки качества. Тем не менее, ошибки и недостатки встречаются у всех типов поставщиков программного обеспечения. Поэтому продолжайте устанавливать патчи. Отслеживайте известные проблемы в любом стороннем программном обеспечении, которое вы используете, особенно если у вас есть API, подключаемый непосредственно к вашим внутренним системам.
Чтобы убедиться, что «все чисто», поставщик программного обеспечения нанял стороннюю судебно-экспертную фирму, что является лучшей практикой в подобных случаях. Это хорошая практика – быть готовым; убедитесь, что вы знаете, кого бы вы наняли в случае необходимости. Для проведения пост-эквайринговой экспертизы убедитесь, что у вас есть легкодоступные и легко анализируемые аудиторские следы привилегированного поведения – как человеческих пользователей, так и машинных идентификаторов – для поддержки расследований и анализа первопричин.
Delinea решает подобные проблемы, предлагая комплексный подход к управлению привилегированными учетными записями (PAM), в частности для защиты неуправляемых API-ключей и других неперсонализированных идентификаторов. Используя динамическое управление доступом, безопасное хранение секретов и автоматическую ротацию учетных данных, Delinea помогает организациям минимизировать риски компрометации ключевых интеграций. Благодаря интегрированному мониторингу и анализу поведения пользователей и сервисов, решения Delinea позволяют выявлять подозрительную активность в режиме реального времени и быстро реагировать на потенциальные угрозы. Это обеспечивает эффективный контроль над привилегированными учетными записями и повышает общую киберустойчивость организаций.
Источник: Reverse engineering the Dept. of Treasury breach (and how to avoid it happening to you)
