Cu fata la frigurile reci

Ati simtit vreodata raceala rece in coloana vertebrala cand lumina „motor fix” se aprinde in masina? Ce zici de cand unul dintre copiii tai devine palid si primeste prima febra? Este un sentiment de neputinta si ingrijorare cu privire la ceea ce ar putea fi gresit. Apoi, exista sentimentul de usurare care vine odata cu intelegerea, chiar daca este doar intelegere partiala. Dam copilului medicamente si febra se estompeaza. Adaugam ulei la motor si se stinge lumina. Mintea umana doreste adesea sa ia cea mai usoara cale departe de frica si stres. Dar aceste solutii nu fac decat sa remedieze simptomele, lasand cauza problemei neadresata. Acelasi lucru este valabil si in situatiile legate de securitate.

Echipa de detectare si raspuns Microsoft (DART) a lucrat recent cu un client care fusese supus unui compromis vizat, unul in care entitatea incerca cu atentie si cu intentie sa intre in sistemele lor. Atacul a venit printr-una dintre organizatiile pentru copii ale clientului, care a fost initial compromisa. Organizatia parinte imparte o incredere organizatiei copil. In timpul unei investigatii a organizatiei pentru copii, organizatia parinte a fost notificata ca atacatorii si-au migrat punctul de acces in reteaua parinteasca. Organizatia parinte a reusit sa ia masuri imediate pentru a opri activitatile rau intentionate, chiar inainte ca lucrurile sa fi devenit foarte grave.

Dintr-o perspectiva de securitate, clientul a abordat simptomul (un compromis cunoscut), dar a ratat ocazia de a aborda problemele de baza care au permis compromisul. Nu este neobisnuit ca o organizatie sa treaca la perspectiva ca acum totul este mai bun. Dar nu este niciodata atat de simplu.

Pentru DART, una dintre responsabilitatile noastre cheie este de a ajuta clientii nostri sa inteleaga ce s-a intamplat, cum s-a intamplat, cat timp s-a intamplat, impactul potential asupra organizatiei si modul in care clientul isi poate imbunatati protectia, detectarea si mecanismele de raspuns pentru a fi mai bune pregatit in viitor.

Intelegerea unui compromis

Sa disecam putin mai mult aceasta poveste pentru a intelege mai bine ce s-a intamplat. Exemplul de client este o companie globala, cu zeci de organizatii pentru copii din intreaga lume, toate conectate la aceeasi arhitectura Active Directory. Din perspectiva clientului, functiile IT si de securitate sunt descentralizate la fiecare copil, fiecare regiune pastrand controlul autonom asupra functionarii resurselor lor de date. Acest lucru elimina presiunea organizatiei parinte prin delegarea proceselor administrative precum corectia, gestionarea contului si gestionarea configuratiei catre administratorii din organizatia copil; si permitand parintelui sa se concentreze in primul rand pe operatiuni critice de afaceri si propriile IT si securitate.

Fiecare dintre organizatiile copil opereaza propria padure Active Directory pentru utilizatorii si sistemele lor, iar majoritatea acestor organizatii au o incredere bidirectionala cu Active Directory in organizatia parinte. Aproximativ jumatate dintre aceste trusturi nu au niciun identificator de securitate (SID) filtrat pentru a restrictiona miscarea contului intre diferitele paduri. Incidentul organizatiei parinte a fost posibil, deoarece unui cont compromis i s-a permis sa se mute in reteaua lor, nestingherit. De fapt, un compromis in oricare dintre celelalte organizatii pentru copii ar avea acelasi rezultat, creand un risc legitim pentru parinte si pentru toate celelalte organizatii pentru copii conectate.

Modul in care DART ii ajuta pe clienti sa abordeze riscurile subiacente

DART a petrecut zile incercand sa tesa o poveste pentru client explicand riscul real pentru organizatie, chiar daca acest atac specific fusese blocat. Exista o serie de probleme sistemice care au functionat impreuna pentru a crea un risc pentru retelele de clienti. Patching-ul a fost sporadic si, datorita naturii descentralizate atat a tehnologiei informatiei (IT), cat si a proceselor de securitate din diferitele organizatii, a existat un numar mare de sisteme cu vulnerabilitati cunoscute. Natura descentralizata a retelei a creat, de asemenea, puncte oarbe in monitorizarea securitatii peste diversele limite ale padurilor si ale retelei. Clientul nu ar fi putut detecta miscarea laterala a actorilor rai din retea, deoarece nu urmareau acele limite.

In cele din urma, lipsa de gestionare a configuratiei in intreaga companie a permis utilizatorilor sa aiba privilegii excesive de cont si sa instaleze pachete software nesigure. Acest lucru a dus la instalarea unui numar mare de pachete software periculoase pe sistemele utilizatorilor cu acces privilegiat – pur si simplu pentru ca utilizatorii au deschis atasamente de e-mail, au dat clic pe un link sau au instalat software dubios descarcat de pe internet, cum ar fi generatoare de chei pentru produse software comerciale.

Numarul mare de aplicatii potential nedorite (PUA) si malware prezente in retea a fost o dovada clara a problemelor cu care se confrunta clientul. Un utilizator compromis intr-un segment al organizatiei clientilor creeaza riscuri pentru intreaga companie. Confruntat cu realitatea situatiei, clientul si-a schimbat perspectivele spre imbunatatirea securitatii mediului sau.

Pentru inceput, clientul trebuia sa obtina un control asupra configuratiei si securitatii diferitelor ramuri ale organizatiei. Centralizarea functiilor IT si de securitate ar permite corectii coerente, gestionarea sigura a conturilor si monitorizarea securitatii. Trusturile bidirectionale care pun in pericol organizatia ar trebui gestionate cu filtrarea SID adecvata, reduse la trusturile unidirectionale, dupa cum este necesar, sau eliminate dintr-o relatie de incredere, in functie de nevoile afacerii. Software-ul de securitate standardizat, cum ar fi solutiile anti-malware cu actualizari automate, ar oferi detectarea malware-ului mult mai rapid la punctele finale. Monitorizarea securitatii la toate limitele cheie ale retelei ar crea alerte imediate atunci cand software-ul rau intentionat sau actorii rai incearca sa se deplaseze in mediu sau sa creeze puncte de persistenta.

Este usor sa te uiti ca incidentele de securitate sunt uneori simptome ale unei probleme mai mari cu care se confrunta organizatia. Conducerea ar beneficia de a face un pas inapoi de la evenimentele actuale pentru a lucra cu echipa lor si a determina unde exista problemele reale de securitate si ce este necesar pentru a face organizatia mai sigura. In esenta, o aspirina de securitate ne va ajuta sa scada febra, dar este o solutie temporara. Febra se va intoarce si ar putea fi mai rau. Este mai eficient pe termen lung sa obtineti raze X necesare sau sa efectuati analize de sange adecvate pentru a determina cat de bolnava este reteaua si ce optiuni de tratament vor elimina riscurile cheie pentru sanatatea retelei.

Afla mai multe

Pentru a afla mai multe despre DART, angajamentele noastre si modul in care acestea sunt livrate de profesionisti cu experienta in securitatea cibernetica, care isi dedica 100% din timp pentru a oferi solutii de securitate cibernetica clientilor din intreaga lume, va rugam sa contactati directorul contului dvs. Marcati blogul Security pentru a tine pasul cu acoperirea noastra de experti in probleme de securitate. De asemenea, urmati-ne la @MSFTSecurity pentru cele mai recente stiri si actualizari privind securitatea cibernetica.