8 Minutės
Google patvirtino tai, ko bijojo saugumo tyrėjai: grandinėmis susijusi ataka, prasidėjusi per Gainsight programėles, lėmė plataus masto duomenų vagystę iš Salesforce – paveikti gali būti daugiau nei 200 pasaulinių įmonių. Dabar paaiškėja naujos detalės, kaip užpuolikai judėjo nuo trečiosios šalies programėlės prie įmonių įrašų ir kokius mechanizmus jie išnaudojo norėdami pasiekti jautrią informaciją.
Kaip įvyko ataka
Remiantis pranešimais ir pareiškimais iš nukentėjusių tiekėjų, įsilaužimas prasidėjo per Gainsight — plačiai naudojamą klientų sėkmės ir integracijų platformą — ir leido užpuolikams pasiekti duomenis, saugomus įvairiuose Salesforce instancijose. Atakos operatoriai, tikėtina, pasinaudojo anksčiau nutekėjusiais ar pavogtais autentifikavimo žetonais (authentication tokens) iš kitų trečiųjų šalių klientų, taip įgydami galimybę apsimesti teisėtomis integracijomis ir parsisiųsti duomenis iš sujungtų Salesforce organizacijų (orgs).
Pradinis įveikimas per Gainsight
Įsibrovimas, pasak ataskaitų, susijęs su tua, kad Gainsight veikia kaip tarpinė integracijų platforma: ji turi prieigą prie API raktų ir žetonų, kuriuos naudoja jos klientai, kad susietų savo CRM, marketingo automatizacijos ir kitus įrankius. Kai trečiosios šalies teisės aktų ar vartotojų prieigos duomenys yra kompromituoti, tas pažeidžiamumas gali išplisti grandine — nes pakanka vieno sugebėjusio žetono ar paslaugos paskyros, kad būtų atvertas kelias į daug skirtingų organizacijų duomenis.
Techniniu požiūriu, užpuolikai dažnai taikosi į:
- OAuth arba kitus autentifikavimo žetonus, leidžiančius ilgam laikui arba be pakartotinio prisijungimo prie API;
- trečiųjų šalių integracijų prieigos raktus arba servisines paskyras (service accounts);
- automatizuotus darbo srautus ir eksportavimo mechanizmus, kurie leidžia parsisiųsti didelius duomenų kiekius be papildomo žmogaus patvirtinimo.
Kaip buvo panaudoti autentifikavimo žetonai
Atakos modelis, aprašomas ekspertų, primena tiesioginę „žetonų perėmimo“ (token hijacking) schemą: pasinaudojus jau pavogtais žetonais iš vienos paslaugos (pvz., Salesloft ar Drift), užpuolikai įgijo prieigą prie tarpinės platformos (Gainsight), kurią vėliau panaudojo kaip tiltelį į atskiras Salesforce organizacijas. Tokiu būdu vieną kartą gavus reikiamus privilegijinius žetonus, sumažėja papildomų prisijungimų slenkstis ir išauga efektyvumas, leidžiantis per trumpą laiką pasiekti didelį kiekį duomenų.
Praktikoje tai reiškia, kad saugumo silpnumai ankstyvoje tiekimo grandinės grandyje (pvz., mažesnių trečiųjų šalių įrankių užraktai) gali lemti išsiliejimą į aukštos vertės tikslus, tokius kaip Salesforce orgai, kuriuose saugomi klientų įrašai, kontaktai, sandoriai ir jautri informacija.
Grandininio kompromiso ilgalaikės pasekmės
Nors Salesforce teigia, kad pažeidimas neatsirado dėl „platformos pločio“ pažeidžiamumo jo pagrindinėje paslaugoje, pati trečiųjų šalių integracijų grandinė iliustruoja, kaip vieno tiekėjo kompromisas gali sklęsti ir paveikti daugelį klientų. Tokie incidentai kelia rimtus klausimus dėl tiekimo grandinės saugumo (supply chain security), trečiųjų šalių rizikų valdymo ir organizacinės atskirties tarp įrankių ir duomenų saugyklų.
Kas nurodyta — ir kas neigia
Grupė, save vadinanti Scattered Lapsus$ Hunters ir apimanti narius iš ShinyHunters bei kitų komandų, pareiškė esanti atsakinga už ataką, teigdama, jog jie panaudojo prieigą, gautą per ankstesnį Salesloft klientų kompromisą ir pavogtus Drift žetonus, kad pasiektų Gainsight ir vėliau – Salesforce. Tokius teiginius perdavė žiniasklaidai keli šaltiniai, įskaitant TechCrunch ir kitus leidimus.
Pavadintos aukos ir jų reakcijos
Scattered Lapsus$ Hunters įvardijo kelias žinomas bendroves kaip tariamas aukas, tarp jų Atlassian, CrowdStrike, DocuSign ir LinkedIn. Dalies firmų atsakymai buvo greiti ir prieštaringi: CrowdStrike ir DocuSign pranešė, kad nerado įrodymų apie savo sistemų duomenų nutekėjimą. CrowdStrike taip pat patvirtino, kad atleido darbuotoją, kurį įtaria bendradarbiavimu su užpuolikais.
Tuo tarpu kitos organizacijos, tokios kaip Verizon, Malwarebytes ir Thomson Reuters, pranešė atliekantys tyrimus ir dar nepriėmė galutinių išvadų. Tokie nevienareikšmiai pranešimai pabrėžia, kad tiekimo grandinės atakos atvejais vieši kaltinimai gali pasirodyti anksčiau nei baigiasi kruopštūs forensiniai tyrimai.
Tiekėjų ir tyrėjų bendradarbiavimas
Gainsight dirba su incidentų reagavimo ekspertų komanda iš Mandiant, siekdama atsekti gedimo šaltinį ir nustatyti kompromitacijos mechanizmą. Tuo tarpu Salesforce, kaip prevencinę priemonę, laikinai išjungė su Gainsight susietus integracijos žetonus, kol tęsiasi tyrimas. Tokie veiksmai yra būdingi reaguojant į tiekimo grandinių incidentus: laikinai ribojamas prieigos srautas, kad būtų sumažinta tolesnė žala, kol atliekama analizė ir rotacija.
Šis incidentas rodo, kaip svarbu greitai informuoti bendruomenę ir koordinuoti atsaką tarp tiekėjų, klientų ir trečiųjų šalių ekspertų, nes viena neatitiktis ar vėlavimas gali leisti užpuolikams išnaudoti papildomas spragas.
Teisiniai ir reputaciniai padariniai
Didelės organizacijos, nukentėjusios nuo duomenų nutekėjimo arba neteisingų kaltinimų, susiduria ne tik su techniniais iššūkiais, bet ir su teisinių prievolių, reguliavimo institucijų užklausų bei reputacijos valdymo problemais. Verslams gali tekti pranešti apie incidentą reguliuotojams, partneriams ir klientams, įvertinti GDPR arba kitų privatumo taisyklių pažeidimo riziką bei įgyvendinti kompensacines saugumo priemones.
Praktinės išvados ir rekomendacijos įmonėms
Įmonėms, ypač toms, kurios naudoja trečiųjų šalių integracijas su verslo kritinėmis sistemomis, šis incidentas turėtų tapti rimtu priminimu. Žemiau pateikiamos techniškai orientuotos, bet praktinės rekomendacijos, kaip sumažinti panašių grandinių riziką ir pagerinti incidentų valdymą bei detekciją.
Auditas ir privilegijų valdymas
- Reguliariai audituokite visas trečiųjų šalių programėles ir integracijas, turinčias prieigą prie CRM, finansinių ar kitų jautrių duomenų.
- Tvirtinkite principą „mažiausių privilegijų“ (least privilege) servisiniams ir API vartotojams — suteikite tik būtinus leidimus ir laikiną prieigą.
- Naudokite atskiras servisines paskyras kiekvienai integracijai, kad būtų aiškus audito takas ir būtų paprasčiau atšaukti kompromituotas prieigas.
Žetonų valdymas ir rotacija
Autentifikavimo žetonų ir API raktų tvarkymas turi būti centralizuotas ir apsaugotas. Rekomenduojama:
- Įdiegti automatinę žetonų rotaciją ir trumpesnį galiojimo laiką (token expiration), kad pavogtas žetonas būtų naudinas tik ribotą laiką;
- Stebėti ir atšaukti nenaudojamus arba ilgą laiką neaktyvius žetonus;
- Naudoti revokavimo sąrašus ir įrankius (token revocation), kurie leidžia greitai išjungti kompromituotą prieigą.
Detekcija ir stebėsena
Laiku pastebėti neįprastą API naudojimą — kritinė užduotis. Organizacijos turėtų:
- Įgyvendinti įrankius, stebinčius didelius duomenų eksportus, neįprastus užklausų dažnius, ir greitus prisijungimus iš naujų geografinių vietovių;
- Kūrti taisykles, kurios identifikuoja ir blokuoja automatizuotus arba neįprastus atsisiuntimus;
- Integruoti SIEM/EDR sprendimus su API žurnalais (logs), kad būtų lengviau koreliuoti įvykius tarp sistemų.
Identity & Access Management (IAM) ir sąlyginė prieiga
Stiprus IAM ir sąlyginės prieigos politika (conditional access) sumažina riziką:
- Reikalaukite daugiafaktorinės autentifikacijos (MFA) ten, kur tai įmanoma, net ir servisinių paskyrų valdymo sluoksniuose;
- Apribokite priėjimus pagal IP adresus, tinklo kontekstą ar paslaugų kredencialų konfigūraciją;
- Naudokite privilegijų valdymo sprendimus (PAM) servisiniams prisijungimams ir operacijoms didelės rizikos aplinkose.
Incidentų reagavimo planai ir tiekėjų valdymas
Įmonės turėtų turėti aiškiai apibrėžtus tiekėjų rizikos vertinimo procesus ir incidentų reagavimo planus, kurie apima:
- Tiekėjų saugumo reikalavimų sąrašus, įskaitant reguliarius patikrinimus ir ataskaitas;
- Sutrauktus komunikacijos planus su partneriais bei klientais, kad būtų sumažintas informacijos vakuumas ir neteisingos žinios;
- Grybavimo paleidimo (playbook) veiksmus grandininiams incidentams, įskaitant greitą žetonų atšaukimą, logų sujungimą ir forensinius veiksmus.
Išvados ir tolimesni žingsniai
Šis incidentas su Gainsight ir Salesforce dar kartą parodo, kad tiekimo grandinės saugumas ir trečiųjų šalių integracijų valdymas yra kritiniai elementai modernioje IT saugumo architektūroje. Nors nėra vienos universalios priemonės apsisaugoti nuo visų rizikų, organizacijos, kurios aktyviai valdo prieigas, rotuoja žetonus, diegia efektyvią stebėseną ir turi gerai išvystytus incidentų reagavimo planus, sumažina skaitmeninės atakos „blast radius" ir gali greičiau atsigauti po kompromiso.
Galiausiai, svarbu pabrėžti tarptautinį bendradarbiavimą ir skaidrumą: tiekėjų vieši pranešimai, trečiųjų šalių tyrėjų ataskaitos ir koordinuotas reagavimas padeda greičiau identifikuoti poveikį ir priimti reikalingas saugumo priemones. Organizacijos turėtų vertinti tiek techninius, tiek valdymo veiksmus, kad būtų apsaugotos nuo panašių grandininių incidentų ateityje.
Rizikos valdymo požiūriu, pagrindinės pamokos yra aiškios: valdykite trečių šalių prieigas kaip potencialų taikinį, aktyviai stebėkite API veiklą ir užtikrinkite, kad jūsų incidentų reagavimo komanda veiktų koordinuotai su tiekėjais ir nepriklausomais forensikos ekspertais.
Šaltinis: smarti
Palikite komentarą