Notícias
A maioria das empresas não tem ideia de que são alvos fáceis para atacantes comuns de habilidade moderada, muito menos adversários apoiados por Estados-nação com recursos ilimitados.
Editorial convidado por Haroon Meer. Meer é o fundador da Thinkst, a empresa por trás do conceituado Thinkst Canary. Haroon contribuiu para vários livros sobre segurança da informação e publicou uma série de artigos e ferramentas sobre vários tópicos relacionados ao campo. Ao longo da última década (ou duas), ele apresentou pesquisas, palestras e palestras em conferências em todo o mundo.
O recente mega-hack SolarWinds conseguiu agarrar as manchetes da mídia em todo o mundo, mas quanto mais eu leio, mais acho que a cobertura da imprensa enterrou o lede.
O incidente é chamado de ataque de "cadeia de suprimentos", que sugere táticas de guerra e, aposto, lançará uma dúzia de startups apoiadas por VC. As pessoas estão (com razão) preocupadas com o efeito de arrastamento, já que os invasores do SolarWinds tiveram acesso a várias outras casas de desenvolvimento e também poderiam ter envenenado esses poços.
Isso é definitivamente assustador, mas há uma verdade dura e séria abaixo que realmente torna isso um pouco pior do que você possa imaginar.
Um resumo resumido de baixa resolução para aqueles (muito poucos) que não prestaram atenção ao incidente:
- A SolarWinds fabrica um produto de gerenciamento de rede chamado Orion que é implantado em centenas de milhares de redes em todo o mundo;
- Os invasores invadiram o SolarWinds e chegaram ao ambiente de compilação do SolarWinds; Eles comprometeram os pipelines de construção para injetar código malicioso no processo de atualização do SolarWinds;
- Redes de todo o mundo se atualizaram com essa atualização envenenada;
- (Agora comprometidos) Os servidores SolarWinds em todo o mundo atacaram redes internas de organizações selecionadas;
- Quase ninguém descobriu nada disso durante meses, até que uma empresa de segurança descobriu seu próprio compromisso. Aqui estão as quatro razões principais pelas quais é realmente pior do que pensamos.
O estado da segurança corporativa: embora tenhamos progredido em algumas áreas de segurança da informação (por exemplo, o grau de conhecimento e habilidade necessários para explorar bugs de corrupção de memória em sistemas operacionais modernos), a segurança corporativa ainda está presa com firmeza no início dos anos 2000. Uma rede corporativa consiste em um número incontável de produtos díspares, unidos com fita isolante por meio de interfaces mal documentadas, onde geralmente o padrão para integração de produto é "esta configuração funciona, não toque nisso!". Qualquer invasor moderadamente habilidoso dizimará uma rede corporativa interna muito antes de ser descoberto, e o tempo médio que leva para obter o Admin do Domínio é medido em horas e dias em vez de semanas ou meses.
A maioria das organizações, infelizmente, não sabe disso. Eles sabem que gastam dinheiro em segurança e que veem gráficos com caixas vermelhas e verdes e setas acompanhando o progresso. A maioria não tem ideia de que são alvos fáceis para atacantes comuns de habilidade moderada, muito menos adversários apoiados por Estados-nação com recursos ilimitados.
Produtos corporativos: mesmo ignorando a fraqueza que vem com a combinação de muitos produtos (segurança nas juntas), a maioria dos produtos corporativos não resiste muito bem a testes de segurança sérios. Fornecedores de peso, como Adobe e Microsoft, foram publicamente espancados a melhorar seu jogo anos atrás, mas a queda é acentuada depois deles. Há uma carveout interessante para empresas de SaaS online que precisam desenvolver competência em segurança, já que administram sua própria infraestrutura e comprometer seus produtos é o mesmo que comprometê-los. Mas, para produtos instalados em uma rede corporativa, os incentivos são terrivelmente desalinhados. Possuir, digamos, o agente antivírus da Symantec não compromete a Symantec, mas sim você (quem o está executando) e essa separação faz toda a diferença.
As redes corporativas têm muitas partes móveis: nos últimos anos, hackers criativos exploraram software em lugares que nunca sabíamos que estavam executando software. A equipe Thunderstrike executou código em adaptadores VGA da Apple . Ang Cui escreveu exploits para monitores e telefones de escritório. Bunnie e xobs executaram código em cartões SD e várias pessoas já executaram Linux em controladores de disco rígido. Isso deixa claro que a rede média de um escritório está conectada a dezenas e dezenas de tipos de dispositivos que nunca passarão por uma auditoria regular, mas que são capazes de ocultar invasores e injetar danos em sua rede.
Avaliações de risco de terceiros: a piada que rolou após o incidente foi que a SolarWinds havia impactado negativamente centenas de empresas, mas definitivamente passou nas avaliações de risco de terceiros. É um pouco injusto, mas também é verdade. Simplesmente não temos uma boa maneira para a maioria das organizações testar um software como este, e questionários de terceiros sempre foram um substituto fraco. Mesmo se pudéssemos saber se um produto estava atendendo a uma barra de segurança mínima (usando padrões de segurança, evitando chamadas inseguras, usando redes de segurança de tempo de compilação, etc.), as atualizações automáticas significam que a versão de amanhã do produto pode não ser o produto que você testou hoje . E se o fornecedor não souber quando foi comprometido, provavelmente não saberá quando seu mecanismo de atualização for usado para converter seu produto em um invasor.
Não estou dizendo que as atualizações automáticas são ruins. Acreditamos que eles resolvam problemas importantes, mas introduzem um novo conjunto de variáveis que precisam ser consideradas.
O foco atual na segurança da "cadeia de suprimentos" sem dúvida verá a criação apoiada pelo VC de start-ups de última geração alegando resolver o problema, mas essa parte do problema parece intratável. Este é o pacote "fácil" de software que você conhece: aplicativos instalados em sua infraestrutura e suas dependências. Mas, por um lado, isso ignora os próprios fornecedores do seu fornecedor. Além disso, qual produto irá fornecer orientação sobre a proveniência do código em execução em seus monitores (em processadores que nem sabíamos que existiam?). Vamos examinar o firmware no microfone que as pessoas estão usando agora para suas chamadas de Zoom? Vamos reexaminá-lo após a atualização automática? Existem muitos trechos de código conectados para resolver o problema desse ângulo.
Se levar apenas horas ou dias para comprometer com sucesso uma rede interna, e se a rede média tiver esconderijos suficientes para invasores qualificados se aprofundarem, o que você acha que acontece quando os invasores podem se mover sem serem detectados por meses?
Um grupo de analistas observando o incidente da SolarWinds apontou (corretamente) que os servidores SolarWinds comprometidos foram instalados em tantas redes que as ondas desse ataque poderiam ser loucamente exponenciais. O que essa análise omite é que a empresa média executa dezenas e dezenas de SolarWinds semelhantes em todos os lugares.
O ransomware não surgiu durante a noite. As redes atingidas por ransomware costumavam ficar vulneráveis por anos e funcionavam sem saber o que fazer até que os invasores descobrissem uma maneira de monetizar esses comprometimentos. A maioria das empresas também está completamente vulnerável à terrível insegurança de seus fornecedores. O incidente da SolarWinds acaba de publicar um plano de como abusar dela.
A situação é terrível não porque estejamos lutando contra algumas leis fundamentais da física, mas porque nos iludimos por muito tempo. Se há uma fresta de esperança nisso, é que os clientes, com sorte, exigirão mais de seus fornecedores. Prova de que eles passaram por mais do que listas de verificação de conformidade e prova de que teriam uma chance de saber quando foram comprometidos. Que mais empresas perguntarão "como nos sairíamos se essas caixas no canto se tornassem más? Será que saberíamos?"
Fonte: ZDNet