Ağustos 2023’te, dağınık örümcek grubuna bağlanan saldırganlar, Clorox’u kesmek için sıfır günlük bir kırılganlıktan yararlanmadı. Sadece servis masasını (Cognizant tarafından işletilen) aradılar, çalışanlar olduğunu iddia ettiler ve şifre ve MFA sıfırlamalarını istediler.
Mahkeme başvurularına ve raporlamaya göre, saldırgan tekrar tekrar Cognizant’ın servis masasını aradı, anlamlı doğrulama olmadan tekrarlanan sıfırlamaları elde etti ve sonuçta erişimini hızla etki alanı-admin dayanaklarına doğru hareket etmek için kullandı.
Clorox, saldırının nihayetinde yaklaşık 49 milyon dolarlık iyileştirici maliyetler ve “yüz milyonlarca” iş etkileşimi kaybı da dahil olmak üzere kabaca 380 milyon dolar hasar verdiğini söyledi. Olanları, üçüncü taraf hizmet masalarını nasıl güvence altına alacağımızı ve doğru teknolojiyle doğrulamayı nasıl uygulayacağını göstereceğiz.
Saldırı nasıl ortaya çıktı?
Sosyal mühendislik saldırıları insan yanılgısını hedefleyerek başarılı olur. Saldırganlar keşif yaparlar (isimler, başlıklar, son işe alımlar, dahili bilet referansları), daha sonra meşru kullanıcı davranışını taklit eden sakin, senaryolu bir telefon görüşmesi kullanırlar. Servis masası temsilcisinin baskı altında hissetmesini ve güvenlik süreçlerini atlamasını istiyorlar.
Clorox’un durumunda, yasal şikayet, cephe ajanlarının, bant dışı doğrulamayı artırmadan veya gerçekleştirmeden kimlik bilgilerini ve MFA’yı sıfırlamaya ikna olduklarını iddia ediyor. Bunun, ajanların ilk önce bunları doğru bir şekilde doğrulamadan kimsenin kimlik bilgilerini asla sıfırlamaması gerektiğini bilerek kararlaştırılan prosedüre karşı olduğunu iddia ediyorlar.
Sonuç: Tek bir uzlaşmacı kimlik yanal hareket ve büyük bozulma için bir pivot haline geldi.
Verizon’un Veri İhlali Araştırma Raporu, çalınan kimlik bilgilerinin ihlallerin% 44.7’sinde yer aldığını buldu.
Active Directory’yi uyumlu şifre politikaları ile zahmetsizce güvence altına alıyor, 4+ milyar uzlaştırılmış şifreleri engelliyor, güvenliği artırıyor ve destek sorunlarını kesiyor!
Ücretsiz dene
Etki: operasyonel felç ve veri kaybı
Clorox, üretim, duraklatılmış üretim, manuel sipariş işleme ve satış hacimlerini bastıran sevkiyat gecikmelerini bildirdi. Bu tedarik zinciri ve yerine getirme etkileri (ve ayrıca adli ve iyileştirme maliyetleri) davada belirtilen kayıp rakamlarının çoğunu oluşturdu. Basit bir yetkisiz şifre sıfırlamasının geniş kapsamlı sonuçları olabileceğini hatırlatır.
CISA ve diğer ajanslar bu deseni işaretledi: dağınık örümcek ve benzer gruplar sözleşmeli yardım masalarını hedefliyor, çünkü dış kaynaklı masalar sık sık yüksek ayrı köprülerin arkasında birden fazla müşterinin ortamına oturuyor. Gruba karşı savunma konusunda tavsiyeler, tehdit aktörlerinin kullanıcıları taklit edeceği ve MFA’yı atlamak ve kimlik bilgilerini sıfırlamak için zayıf doğrulamayı kullanacağı konusunda uyarıyor. Bu, sağlam arayan doğrulamasını sadece iyi bir uygulama değil, temel bir tedarik zinciri kontrolü haline getirir.
Dış kaynak kullanımı neden riski büyüttü
Tedarikçi süreçleri güçlü olduğunda Dış Kaynak Yardım-Desk işlevleri bir güvenlik olmamalıdır-birçok kuruluş bunu yapmayı tercih eder. Ancak satıcının doğrulama süreci zayıf veya zayıf uygulanmıştır, risk güçlendirilir. Üç yapısal neden var:
- Konsantrik Güven: Tedarikçiler genellikle geniş, kiracılar arası ayrıcalıklara ve hızlı yol iş akışlarına (şifre sıfırlamaları, MFA sıfırları, hesap kilidini açar), istismar edilirse, bir işletme boyunca ayrıcalıklı sistemlere ulaşabilecek.
- Süreç kayması ve ölçek: Büyük satıcılar yüksek çağrı hacimlerini işler; Komut dosyaları belirsizse veya KG zayıfsa, ajanlar katı doğrulama yerine “kullanıcıyı çalıştırmaya” davranışına geri döner. Bu durumda, Clorox’un davası, doğrulama için sözleşme beklentilerinin izlenmediğini iddia etmektedir.
- Görünürlük Boşlukları: Üçüncü taraf masaları, kendi sistemlerinde veya müşterinin SIEM veya ayrıcalıklı erişim telemetrisine tam olarak entegre edilmeyen biletleme örneklerinde işlemleri günlüğe kaydedebilir ve tespiti geciktirir.
Savunucular ne yapmalı
Yardım-Desk Sıfırları ayrıcalıklı işlemler olarak sıfırlar ve bu beş eyleme geçirilebilir adımla buna göre enstrüman:
- Herhangi bir uzaktan sıfırlama için bant dışı doğrulamayı zorlayın: Şirkete ait bir telefon numarasına geri arama, bir çalışma gelen kutusuna bir kez e-postayla gönderilen bir jeton veya bilgiye dayalı sorulardan ziyade kısa bir şifreli zorluk gerektirir.
- Onay eşikleri gerektirir: Yüksek riskli sıfırlamalar (MFA, ayrıcalıklı gruplar, hizmet hesapları) iki kişilik onay ve bilet kimliğine bağlı bir otomatik yönetici bildirimine ihtiyaç duyar.
- Kısa ömürlü yükseklik ve seans izolasyonu: İyileştirme görevleri için geçici ayrıcalıklı oturumlar kullanın ve tespit üzerine uzun ömürlü yönetici oturumlarını iptal edin.
- Otomatik telemetri ve muhafaza: Her sıfırlamayı değişmez bir denetim izine (bilet kimliği, aracı kimliği, arayan geri arama numarası), anormal sıfırlama desenlerinde uyarın ve şüpheli dizilerde Yenileme jetonlarını / Force Auth’u otomatik olarak iptal edin.
- Tespiti kurallara çevirin: “Birden çok farklı kullanıcı sıfırlaması için kullanılan aynı harici geri arama numarası” veya “aynı iş birimindeki kullanıcılar için x dakika içinde birden fazla MFA sıfırlaması” gibi kalıpları izleyin. Bunlar, otomatik oturum iptalini ve SOC’yi tetiklemesi gereken yüksek sinyal olaylarıdır.
Operasyonel Yönetişim: Sözleşme Dili ve Denetimleri
Dış kaynak kullanırsanız, sözleşmeniz satıcı tarafı teknik kontrolleri ve denetlenebilirlik gerektirmelidir. Satıcının (günlükler ve yıllık testlerle) iki kanallı doğrulama, değişmez sıfırlama günlükleri ve SIEM’inizle entegrasyonu uyguladıklarını kanıtlayın. Şüpheli hesap uzlaşmalarına MTTD/MTTR için ölçülebilir SLA’lar ekleyin ve size yayınlanan iyileştirme sonuçlarıyla simüle edilmiş sosyal mühendislik testleri gerektirin.
Teknoloji yardımcı olur, ancak insanlar yine de sosyal tarafından tasarlanmıştır. Yardım masanıza (ve satıcılarınıza) karşı düzenli kırmızı takım telefon tabanlı simülasyonlar çalıştırın, arızaları ölçün ve düzeltici eğitimi operasyonlara pişirin. Sıfırlamadan muhafazaya kadar süreyi izleyin ve azaltın-bu metrik iğneyi pahalı, bir kerelik sertleştirici projelerden daha fazla hareket ettirecektir.
Specops Güvenli Servis Masasını deneyin
Bir üretim ortamında zorunlu arayan doğrulama, değişmez denetim parkurları ve bilet entegrasyonu için canlı bir yol izlemesi istiyorsanız, SpecOps Secure Service Mass’ı deneyin.
Deterministik doğrulama ve otomatik muhafazanın saldırganın penceresini nasıl hareket ettirdiğini görmenin en hızlı yoludur.
Canlı bir demo ayırtın.
Sponspored ve SpecOps Software tarafından yazılmıştır.