Как OneLogin был скомпрометирован и уроки для остальной части нас

Как OneLogin был скомпрометирован и уроки для остальной части нас
На прошлой неделе OneLogin, одна из ведущих служб единого входа в облачный центр США (SEO), понесла серьезное нарушение, нарушив данные клиентов США. Хорошей новостью стало то, что OneLogin смог определить компромисс в течение нескольких часов и ответить, отключив экземпляры мошенников, ответственные за отказ службы.

На прошлой неделе OneLogin, одна из ведущих служб единого входа в облачный центр США (SEO), понесла серьезное нарушение, нарушив данные клиентов США. Хорошей новостью стало то, что OneLogin смог определить компромисс в течение нескольких часов и ответить, отключив экземпляры мошенников, ответственные за отказ службы. Однако, подчеркивая быстроту, с которой эти атаки могут иметь место и которые могут иметь место, все еще достаточно времени для вора, чтобы, скорее всего, получить данные о клиентах и ​​более зловеще, их учетные данные для доступа к облачным службам и даже их ключи шифрования для дешифрования данных в тех облачные сервисы.

Так же болезненно, как инциденты с нарушениями для поставщика услуг и затронутых компаний, они также предлагают учебный момент, который может помочь информировать о будущих поведенческих действиях и защите. В случае OneLogin, поскольку атаки пересекали службу, которая по существу управляла паролями в центральном месте в облаке, которые могут быть настроены через API, есть много уроков в связи с множеством современных задач, включая облако, API, потребительские пароли, привилегированные идентификаторы администраторов, уведомления о событиях, правила предотвращения нарушений и нарушения правил.

Связано: просто быть упреждающим недостаточно: что делать во время Cyberattack

Врожденные риски централизации ключей к королевству в облаке

Облако революционизировало то, как компании потребляют ИТ-услуги за последние семь лет. Он предлагает гибкость по требованию, отсутствие возможности запуска и простоту использования. Однако он имеет свой собственный набор рисков. Облачные службы единого входа символизируют как удобство, так и риски облака. Во-первых, доступ к облачным сервисам с использованием системы управления учетными данными на местах чрезвычайно сложный. Возникают проблемы с брандмауэром, проблемы с обновлением коннекторов и операционные сложности. Запуск облачной службы единого входа из облака имеет смысл на многих технических и бизнес-уровнях. Тем не менее, это, конечно, создает единую точку неудачи, помещая все учетные данные в центральное место, которое действует как привлекательный медовый банк для плохих актеров. Это означает, что и поставщики услуг единого входа, и их клиенты должны принять дополнительные меры предосторожности.

Управление административными входами для службы входа в систему

Для поставщика услуг самая простая и самая важная защита, которая может быть построена вокруг службы, - это защита от потенциальный административный захват услуги. Это, по-видимому, то, что вырублено OneLogin; злоумышленник смог украсть учетные данные администратора, которые затем были использованы для предоставления службы изгоев, которая затем обращалась к API-интерфейсам инициализации / администрирования, чтобы скопировать учетные данные клиента в экземпляр изгоев. Как бы то ни было, существует технология ограничения риска в отношении украденных учетных данных и защиты API. PIM или Privileged Identity Management, инструменты предоставляют однопользовательские хранилища паролей для административных учетных записей, которые ограничивают их доступ и полезность, если они украдены. Аналогичным образом существуют продукты защиты API, которые могут обеспечить более надежную защиту доступа и обнаружение необычной активности вокруг административных API и закрытие сеансов, прежде чем они могут оказаться повреждающими.

Связано: что происходит при взломе вашего малого бизнеса

Клавиши разделения, степпинг аутентификации

Для клиентов есть также действия, которые они могут предпринять, если их поставщик услуг скомпрометирован. Самое простое - разбить управление ключами шифрования на учетные данные доступа. Изоляция и разделение обязанностей всегда являются хорошей стратегией безопасности. Так что более сильная аутентификация. Многие службы теперь предлагают аутентификацию, основанную не только на том, что вы знаете, как на пароле, но и на том, что у вас есть или есть, например, на мобильном телефоне или отпечатке пальца. Последние гораздо сложнее скомпрометировать, поскольку владение паролями недостаточно для доступа к учетной записи клиента. В этот день и в возрасте, с преобладанием мобильных телефонов и биометрической аутентификации, нет никаких оправданий, чтобы не настаивать на более сильной аутентификации у вашего поставщика услуг.

Связанные: Самые худшие хаки 2017 года - до сих пор

После нарушения

Теперь, когда инцидент OneLogin предоставляет множество уроков как для поставщиков услуг, так и для их клиентов о том, как предотвратить или ограничить выпад из аналогичной атаки, это также рассказывает о том, что необходимо сделать в ответ на нарушение.

Для поставщика услуг, конечно, главная проблема заключается в обнаружении нарушения и ограничении любого ущерба. Хорошие инструменты аудита / безопасности и управления событиями (SIEM) могут помочь здесь, особенно если они предлагают обнаружение аномалий для обнаружения странных действий. Но затем шаг, который, возможно, является самым сложным и дорогостоящим: понимание того, кто был затронут, а также соответствующие уведомления и ответы.

Быстрая реакция на нарушение

Сегодня 48 штатов США и большинство зарубежных стран имеют законы о нарушениях, требующие определенного типа уведомления в течение установленного периода времени. То, что затрудняет для поставщиков услуг (и затронутых компаний), заключается в том, что они редко отслеживают клиентов по месту жительства и почти никогда не имеют инвентаризации данных этого человека или организации, чтобы они могли правильно проверять, кто был скомпрометирован и какие данные были приняты. Чтобы ответить на эту проблему, в пространстве управления конфиденциальностью существуют новые инструменты, которые могут отображать данные для каждого клиента по штату или стране и облегчать юридический ответ, а также помогают аудите поставщика проверить, что было сделано.

Related: Безопасность для стартапов: защита по бюджету

Для пострадавших компаний аналогичная потребность в понимании объема ущерба у поставщика услуг с нарушенными правами. Ведение инвентаризации того, какие конфиденциальные данные можно получить через то, какой сервис может застраховать пострадавших нисходящих пользователей, может быть надлежащим образом предупрежден, чтобы предпринять соответствующие действия до того, как может распространиться ущерб.

Уроки OneLogin

Есть высказывание, что никакой плохой опыт не должен быть без опыта. То, что произошло в OneLogin, было болезненным как для поставщика услуг, так и для затронутых компаний. Однако, вместо того, чтобы убежать от использования облачных сервисов, для пострадавших компаний существует много выводов, которые можно извлечь, чтобы ограничить будущие последствия и последствия. Для провайдера услуг есть аналогичные уроки, связанные с расширением защитного зонтика до административных учетных записей и API. OneLogin показал, как даже служба безопасности может быть скомпрометирована одним набором учетных данных; поэтому рекомендуется всегда предпринимать дополнительные шаги для защиты ваших самых важных активов.