A SolarWinds III című írás végén megígértem, hogy írok arról, hogyan lehet védekezni a hasonló típusú támadásokkal szemben. Kutatásaim során találkoztam néhány érdekes ötlettel, amelyeknek nem feltétlenül látom a relevanciáját, de megemlítem ezeket, hátha valaki ötletet/ihletet merít belőle.
A legfontosabb megérteni az ilyen támadások esetén, hogy technikai eszközökből keveset hasznosíthatunk, sokkal inkább adminisztratív kontrollok segíthetnek a kockázat csökkentésében. A követendő eljárások függnek attól is, milyen szerepet tölt be a partner a szolgáltatások körében.
Ha a szolgáltatónak bármilyen hozzáférése van az általunk használt rendszerekhez (pl. egy felhőben hostolt adatbázis esetén), mindenféleképpen mérjük fel, milyen adatokhoz férnek hozzá, ki férhet hozzá a szolgáltatótól és milyen célokra használják azokat. Ha a szolgáltató valamilyen szoftverét használjuk, kérjük el az általuk elvégzett - vagy elvégeztetett - pentest riportot, vagy legalább az összefoglalóját annak felmérésére, milyen esetleges kockázatokkal kell számolnunk. Azt is érdemes elkérni tőlük, milyen nyílt forrású komponenseket használtak fel, mert azokban is lehetnek hibák, amelyekről tudni kell. Mindenféleképpen szükséges egyfajta bizalom és átláthatóság kiépítése a szerződő felek között, de ez nem minden esetben egyszerű. A mi oldalunkon szükséges annak megértése, milyen kihívásokkal szembesül a partner és hogyan működik a hálózatának az a része, amely kapcsolatban van/lehet a mi adatainkkal/eszközeinkkel/rendszereinkkel.
Ha az előzőekkel megvagyunk, megtettük az előkészítő lépéseket egy esetleges támadás kivédésére, de még nem végeztünk. Egyes felmérések szerint a vállalkozások túlnyomó többsége a fenti lépések megtétele után kijelenti, hogy készen vannak, a kockázat kezelve van. Ez azonban nem igaz. Az incidenskezelési és kármentesítési tervekben szerepelnie kell azoknak a lépéseknek, amelyek segítenek az üzletmenet helyreállításában, ha mégis bekövetkezik egy ilyen jellegű támadás. Fontos megjegyezni, hogy ne várjuk el a szolgáltatótól, hogy megoldja azt a problémát, ami a mi oldalunkon jelentkezik. A fenti példánál maradva: ha a szolgáltatónál fellép egy incidens, a mi dolgunk azonnal elvágni a hozzáférésüket a felhős adatbázistól és nekünk kell megvizsgálni, történt-e illetéktelen adathozzáférés és ha igen, a mi dolgunk a megfelelő hatóságok, állami szervezetek értesítése.
Érdekes ötlet lehet a Zero Trust alkalmazása. Nem fogja teljes mértékben megállítani a támadót, de esetleg limitálhatja az elérhető rendszerek/adatok körét. Ez természetesen feltételezi, hogy a Zero Trust koncepciónak megfelelően az alap hozzáférési policy deny all-ra van állítva és expliciten vanak megállapítva és definiálva a hozzáférési szabályok.
2021.04.17.
CoreSec