Об авторе
Брендон Макараег — директор по маркетингу продукции компании Signal Sciences. Ранее в CrowdStrike и Symantec он занимался евангелизацией и маркетингом предложений по безопасности.
Рассмотрим атаку на «цепочку поставок». Многие провайдеры VPN полагаются на сторонние центры обработки данных в качестве вычислительных ресурсов, что представляет собой риск. Поставщики VPN в конечном итоге доверяют поставщику центра обработки данных применять передовые методы обеспечения безопасности.
Понятно, что провайдер центра обработки данных использует систему удаленного управления для мониторинга и управления серверами, которые он перепродает для использования другими компаниями, но такие системы могут быть использованы злоумышленниками. В сочетании с неактивными, но действительными учетными записями пользователей злоумышленники могут получить доступ с помощью грубой силы, а затем получить доступ к системам/хостам в целевой среде.
Возьмем случай с NordVPN: злоумышленник получил root-доступ к одному из тысяч серверов NordVPN, воспользовавшись незащищенной системой удаленного управления, используемой провайдером центра обработки данных, о которой, по утверждению NordVPN, ничего не известно.
NordVPN указывает, что если бы злоумышленники смогли использовать закрытые ключи для перехвата и отображения трафика некоторых своих клиентов, им пришлось бы прослушивать маршрутизацию сообщений только через один из серверов компании.
Но имея доступ к этой системе удаленного управления, скорее всего к интеллектуальному интерфейсу управления платформой (IPMI), злоумышленник может иметь право, например, установить регистратор трафика. Любой клиент NordVPN, использующий VPN-сеансы на скомпрометированном сервере, подвергается определенному риску.
Погрузитесь в уязвимость NordVPN
Скомпрометированный сервер был предоставлен компанией Oy Creanova Hosting Solutions Ltd., которая, согласно ее веб-сайту, предлагает удаленное управление (IPMI). NordVPN не может утверждать, что игнорирует использование провайдером центра обработки данных системы удаленного управления, и публично признал, что ему «следовало делать больше, чтобы отфильтровать ненадежных поставщиков серверов и обеспечить безопасность своих клиентов».
Учетные записи VPN и протокола удаленного рабочего стола (RDP) уже много лет вызывают утечку данных. Многие компании были свидетелями того, как злоумышленники извлекли миллионы записей о кредитных картах клиентов, когда их компьютерные подрядчики или платежные системы использовали одни и те же удаленные учетные данные (взломы в отелях Hilton и Trump являются яркими примерами такого сценария атаки).
Часто говорят, что безопасность касается «людей, процессов и инструментов», которые определяют состояние безопасности организации и, как следствие, устойчивость. Для любой организации зависимость от третьих сторон в предоставлении услуг или инфраструктуры для ведения своего бизнеса представляет собой риск: будучи клиентами поставщиков инфраструктуры, организации полагаются на то, что у них есть персонал (необходимые навыки и навыки), чтобы следовать эффективному и безопасному процессу. инструменты эффективно. Чтобы снизить риск, организациям следует проводить ежегодные проверки, включающие инфраструктуру, предоставляемую сторонним поставщиком, а также любых людей или предметы, которые имеют к ней доступ.
(Изображение предоставлено NordVPN)
Узнайте о NordVPN
Слишком часто компании полагаются на своих сторонних поставщиков, чтобы обеспечить надлежащие методы обеспечения безопасности и соблюдать передовые методы кибербезопасности, но безопасность вашего бизнеса не должна быть только их ошибкой; ваша организация также несет за них ответственность.
Вот что следует запомнить из этого пробела и как применить эти уроки, чтобы добиться успеха:
Отношения с третьими лицами представляют собой значительный риск.
Компании не должны рассчитывать на то, что поставщики их цепочки поставок примут все необходимые меры для предотвращения несанкционированного доступа. Риск может быть создан сторонними поставщиками, которые не следуют передовым практикам или имеют недостатки в собственных операциях безопасности, например, не проверяют ваши данные для входа в систему, не удаляют заблокированные учетные записи или не соблюдают хорошие бизнес-процессы. Инфраструктура открытых ключей. Такие тактики, как использование программного обеспечения удаленного офиса/скомпрометированной управляющей информации для удаленного доступа к другим хостам в целевой сети или внедрение вредоносного ПО в точках продаж для использования плохих процессов безопасности и неадекватного управления аутентификацией пользователя.
Любая компания с распределенной бизнес-моделью должна оценить процессы безопасности в сторонней инфраструктуре или внешнем офисе, чтобы предотвратить несанкционированный доступ.
Например, модель франчайзинга очень уязвима для вторжений, поскольку безопасность бизнеса зависит как от существующих ИТ-систем, так и от методов обеспечения безопасности (или их отсутствия) в деятельности франчайзи. Примером могут служить отели и гостиничные сети. Они часто полагаются на сторонние платежные системы, которые используют инструменты удаленного доступа/управления, которые содержат скрытую или раскрытую идентификационную информацию. Такая практика представляет собой риск, который можно уменьшить или устранить путем принудительной смены идентификационных паролей, а также проверки и удаления заблокированных учетных записей.
Практикуйте безопасное управление ВЧД.
Хотя срок действия сертификата TLS, полученного злоумышленником, истек, его следовало полностью отозвать. (Однако в случае взлома TorGard такая практика применялась.)
Используйте инструменты мониторинга сети, чтобы оставаться на шаг впереди.
Мог ли NordVPN предотвратить это? Если бы они управляли собственными экземплярами серверов в центре обработки данных (при условии, что они это делают, основной деятельностью является предоставление конечным пользователям зашифрованного сетевого подключения), они могли бы использовать инструменты мониторинга сети для обнаружения необычной и неожиданной активности в удаленном управлении. системы и проконсультируйтесь по этому поводу со своим поставщиком центра обработки данных.
Ответственность лежит на поставщике услуг VPN.
Даже при наличии соглашения об уровне обслуживания то же самое относится к окончательной ответственности, а также к соответствующим мерам предосторожности и процедурам. Регулярный аудит вашей среды в рамках комплексной оценки безопасности в сочетании с тестированием на проникновение и другими упражнениями по обеспечению безопасности будет иметь большое значение для повышения устойчивости безопасности.
- Также представляем лучшие VPN-сервисы 2019 года.