Nincs ember, aki a Solarwinds (megérdemelt) pokoljárásáról ne hallott volna. Ezért most nem is ez a konkrét téma, hanem a támadás típus. Az elmúlt időszakban – bár ez már sokkal kisebb figyelmet kapott – volt másik hasonló jellegű támadás, amit az ANSSI jelentett be a Centreon kapcsán. Ami az összefüggés a két eset között, az az, hogy mindkét esetben a beszállítókat támadták, azaz ún. “Supply chain attack”-ról van szó.
Mindkét eset jól mutatja azt, hogy milyen mértékben vagyunk kiszolgáltatva a beszállítóknak. Úgy vélem, hogy minden IT biztonságért felelős vezetőnek el kell gondolkodnia mostanában arról, hogy a biztonsági illetve frissítési stratégiái mennyire képesek egy hasonló esetben a támadókat kívül tartani. Az IBTV egyetlen pontja felsorolás szinten ugyan megemlíti, hogy minden frissítés tesztelése során biztonsági teszteket is el kell végezni, azonban valljuk be, arra elég kevés szervezetnek van kapacitása, hogy minden egyes frissítés kapcsán komplett behatolás vizsgálatot végezzen, valamint a frissítést kód visszafejtéssel (reverse engineering) ellenőrizze, hogy nincs-e benne ártó kód. Sajnos sok esetben a sandboxban való futtatás nem elegendő, ha például a kártékony kód csak néhány nap után aktivizálódik, ahogy a Solarigate esetén is történt.
Érdekes megfigyelni, hogy mind a Solarwinds, mind pedig a Centreon felügyeleti (monitoring) szoftvereket gyártó cég. Ugye ez nem rossz választás, hiszen a monitoring rendszerek általában elérik az összes szervert, ráadásul gyakran rendszergazda jogosultsággal.
Mit tehetünk akkor?
Elsősorban célszerű például mindig mélységi védekezésben gondolkodni. Gondoljunk a régi várakra: ugyan jó erősek voltak a falak, de építettek bástyákat, a vár köré vizesárkokat, ráadásul a hegy tetejére építették lehetőség szerint. A modern korunkra lefordítva, sokan úgy gondolják, hogy nagyszerű, hogy van egy jó tűzfalunk, ami az összes OSI Layeren az ég világon mindent IS néz. Háát, ez még csak a várfal meg persze a kapu. De ettől még ugyanolyan fontos a hálózat szegmentálás és fontos a teljes menedzsment hálózatot elszeparálni a többi hálózattól. (Gondoljunk a belső várra.) Nem olyan nagy baj az, hogy így a monitor szerver nem lát ki az internetre közvetlenül. A frissítés megoldható offline is, vagy ha nem akkor elég egyetlen címet kinyitni azt is csak a szükséges rövid időre. Sokkal kényelmesebb ugyan a kliens program nélküli monitorozás, nem kell klienseket telepíteni, azonban sokkal biztonságosabb, ha egy kliens gyűjti az adatokat és azt elküldi pár percenként a monitor szervernek: így nem kell a szervernek felhasználót ismernie, tanúsítványt (jelszót) tárolni. Az így beküldésre kerülő csomagokat át lehet akár egy Layer 7 tűzfalon is küldeni, ami képes ellenőrizni a formátumát, de ha csak egy belső zónázó tűzfal a forrás és cél címet ellenőrzi és forgat a VLAN-ok között, azzal is plusz védelmet értünk el.
Ha a rendszergazdák otthonról el akarják érni a monitor szervert, akkor sem jó megoldás, hogy kirakjuk az internetre a szerverünket (ami jól látszódó ajtó a várfalon), hanem használjunk egy VPN kapcsolatot többfaktoros hitelesítéssel, amin keresztül egy megfelelően felkeményített terminál szerver (ugrógép) érhető el, amelyről hozzá lehet férni a monitoring hálózathoz. Ha arra nincs is lehetőség, hogy egy állami támogatású “bűnszövetkezetet” kívül tartsunk, ezek az intézkedések mind egy-egy további védelmi szintet jelentenek, ami legalább sok bosszúságot okoz a támadóinknak.
A várépítők is tudták, hogy a mélységi védelmet ki lehet még egészíteni csapdákkal. A modern csapdák lehetnek például a mézes bödönök (ld. még Micimackó). Ezek egyre több helyen használt olyan, a hálózaton elhelyezett eszközök, amelyek a támadók számára értékesnek tűnhetnek. Viszont a hozzáférés esetén riasztják a biztonsági személyzetet. Ha a mélységi védelmünkre gondolunk, akkor ezeket az eszközöket sokfelé el lehet helyezni. Minél több ilyen eszközünk van a különböző hálózati szegmensekben, annál nagyobb az esély, hogy a támadók egyet megpróbálnak elérni, így felhívják a figyelmet a jelenlétükre. Természetesen számos további lehetőség van, gondoljunk a belső hálózaton elhelyezett IDS pontokra, a Netflow adatok figyelésére, amiből a szokatlan kapcsolódási kísérletek észlelhetők és persze nem utolsó sorban a SIEM rendszerekre, akár CTI-vel kiegészítve.
Elismerem, hogy a láthatóságot biztosító eszközök általában komoly erőforrás igénnyel rendelkeznek (nem csak drágák, de szakértő személyzetre is szükség van), de az, hogy mélységi védelmet alakítsunk ki, sok esetben csak gondolkodásmód kérdése, a meglévő eszközökkel is megvalósítható. Úgyhogy építsünk várakat!
