모든 계정에서 슬프게도 많은 해커가 있습니다. 네트워크에 침입하여 불법적으로 의미가 아니라 슈퍼 하드 코딩 문제를 펑키 방식으로 해결 센스(sense)는 차량 공유 회사인 우버(Uber)에 합류했습니다.
A에 따라 신고 BBC에 따르면 해커는 18세에 불과하며 영국 산악인을 몰고 갔던 것과 같은 이유로 공격을 중단한 것으로 보입니다. 조지 말로리 1920년대에 에베레스트 산을 등정하기 위해 계속 노력하다(그리고 궁극적으로 시도에서 죽는다)…
..."있으니까."
Uber는 당연히 지금까지 [2022-09-16T15:45Z] 알리다 : 트위터
현재 사이버 보안 사고에 대응하고 있습니다. 우리는 법 집행 기관과 연락을 취하고 있으며 사용 가능한 추가 업데이트를 여기에 게시할 것입니다.
- Uber Comms (@Uber_Comms) 2022 년 9 월 16 일
우리는 지금까지 얼마나 알고 있습니까?
침해의 규모가 의심되는 해커가 제안한 것만큼 광범위하다면, 우리가 트위터에서 본 스크린샷을 기반으로 할 때 Uber가 아직까지 특정 정보를 제공하지 않은 것은 놀라운 일이 아닙니다. 특히 법 집행 기관이 조사에 참여했습니다.
사이버 사건 포렌식의 경우, 악마 정말 디테일에 있습니다.
그럼에도 불구하고 해커가 직접 공개하고 널리 배포된 공개 데이터는 이 해킹에 두 가지 근본적인 원인이 있음을 시사하는 것 같습니다. 이를 중세 유추로 설명하겠습니다.
침입자:
- 내부자를 속여 안뜰에 들여보냈거나 외벽. 그것은 가장 바깥쪽 성벽 내부의 영역이지만 가장 방어적인 부분과 분리되어 있습니다.
- 킵에 액세스하는 방법을 설명하는 무인 세부 정보를 찾았거나 잔디. 이름에서 알 수 있듯이 유지 전통적인 중세 유럽 성의 중앙 방어 요새입니다.
초기 침입
성 안뜰에 해당하는 21 세기로의 길을 알리는 전문 용어는 다음과 같습니다. 사회 공학.
우리 모두가 알고 있듯이, 여러 가지 방법 시간과 인내심, 횡재수를 타고난 공격자는 정보를 잘 알고 선의의 사용자라도 이를 막아야 하는 보안 프로세스를 우회하도록 설득할 수 있습니다.
자동화 또는 반자동 사회 공학 속임수에는 이메일 및 IM 기반 피싱 사기가 포함됩니다.
이러한 사기는 실제 거래처럼 보이지만 실제로는 필요한 액세스 코드를 공격자에게 전달하는 위조 웹 사이트에 2FA 코드를 비롯한 로그인 세부 정보를 입력하도록 사용자를 유인합니다.
이미 로그인하여 현재 세션에 대해 일시적으로 인증된 사용자의 경우 공격자는 소위 쿠키 또는 액세스 토큰 사용자의 컴퓨터에서.
예를 들어 기존 세션을 가로채는 멀웨어를 삽입함으로써 공격자는 사용자가 처음부터 로그인하는 데 필요한 일반적인 자격 증명이 필요 없이 충분히 오랫동안 합법적인 사용자로 가장하여 완전히 인수할 수 있습니다.
그리고 다른 모든 방법이 실패하거나 위에서 설명한 기계적 방법을 시도하는 대신 공격자는 단순히 사용자를 불러 매혹시키거나 휘파람을 불거나 구걸하거나 뇌물을 주거나 협박하거나 위협할 수 있습니다. 대화가 펼쳐집니다.
숙련된 사회 공학자는 종종 선의의 사용자가 처음에 문을 열도록 할 뿐만 아니라 공격자가 더 쉽게 들어갈 수 있도록 문을 열어두고 공격자의 가방과 가방을 나르도록 설득할 수 있습니다. 다음에 갈 곳을 보여주십시오.
이것이 2020년의 악명 높은 트위터 해킹이 수행된 방법으로 Bill Gates, Elon Musk 및 Apple의 계정을 포함하여 45개의 블루 플래그 Twitter 계정이 인수되어 암호 화폐 사기를 조장하는 데 사용되었습니다.
그 해킹은 문화적인 것만큼 기술적인 것이 아니라 올바른 일을 하기 위해 열심히 노력한 지원 직원을 통해 수행되어 결국 정반대의 일을 하게 되었습니다.
완전한 타협
안뜰에서 성곽으로 들어가는 것과 같은 전문 용어는 다음과 같습니다. 권한 상승.
일반적으로 공격자는 내부적으로 알려진 보안 취약점을 의도적으로 찾아 사용합니다. 비록 방어자가 네트워크 경계에서 보안 취약점을 보호하기 위해 수고를 했기 때문에 외부에서 취약점을 악용할 방법을 찾지 못하더라도 말입니다.
예를 들어, 우리가 최근에 발표한 설문 조사에서 소포스의 신속한 대응 팀이 2021년에 조사한 결과, 공격자가 외부 벽을 넘어 베일리에 들어가는 초기 침입의 15%만이 RDP를 사용하여 침입할 수 있는 범죄자라는 것을 발견했습니다.
(RDP는 원격 데스크톱 프로토콜, 그리고 그것은 사용자 X가 컴퓨터 Y에서 원격으로 작업할 수 있도록 설계된 널리 사용되는 Windows 구성 요소입니다. 여기서 Y는 종종 자체 화면과 키보드가 없는 서버이며 실제로 서버실의 지하 XNUMX층에 있을 수 있습니다. , 또는 클라우드 데이터 센터에서 전 세계에 걸쳐 있습니다.)
그러나 공격의 80%에서 범죄자들은 일단 내부에 들어가면 RDP를 사용하여 네트워크 전체를 거의 마음대로 돌아다녔습니다.
걱정스럽게도 랜섬웨어가 관련되지 않았을 때(랜섬웨어 공격을 통해 사용자가 침해당했음을 즉시 알 수 있기 때문입니다!) 네트워크를 로밍 34일 - 한 달 이상:
우버 사건
초기 사회 공학(해킹 전문 용어로 SE로 줄임)이 어떻게 수행되었는지 아직 확실하지 않지만 위협 연구원인 Bill Demirkapi는 스크린 샷을 tweeted 그것은 (정확한 세부 사항이 수정된) 특권의 승격이 어떻게 달성되었는지를 드러내는 것 같습니다.
분명히 해커는 일반 사용자로 시작하여 네트워크의 일부에만 액세스할 수 있었지만…
...네트워크의 보호되지 않은 공유에 대한 약간의 방황 및 스누핑으로 많은 PowerShell 스크립트가 포함된 개방형 네트워크 디렉토리가 드러났습니다...
...전문 용어로 PAM으로 알려진 제품에 대한 관리자 액세스를 위한 하드 코딩된 보안 자격 증명이 포함되어 있습니다. 권한 있는 액세스 관리자.
이름에서 알 수 있듯이 PAM은 조직에서 사용하는 모든(또는 적어도 많은) 다른 제품 및 서비스에 대한 자격 증명을 관리하고 액세스를 제어하는 데 사용되는 시스템입니다.
간단히 말해서, 아마도 겸손하고 아마도 매우 제한된 사용자 계정으로 시작한 공격자는 Uber의 글로벌 IT 운영의 많은 ueber-password를 잠금 해제하는 ueber-ueber-password를 우연히 발견했습니다.
해커가 PAM 데이터베이스를 열었을 때 얼마나 광범위하게 로밍할 수 있었는지 확실하지 않지만 다양한 출처의 Twitter 게시물에 따르면 공격자는 Uber의 IT 인프라에 침투할 수 있었습니다.
해커는 최소한 다음 비즈니스 시스템에 액세스했다는 것을 보여주기 위해 데이터를 버렸다고 합니다. Slack 작업 공간; Uber의 위협 방지 소프트웨어(여전히 안티 바이러스); AWS 콘솔 회사 여행 및 경비 정보(직원 이름 포함) vSphere 가상 서버 콘솔; Google Workspace 목록 Uber의 자체 버그 현상금 서비스도 있습니다.
(분명히 그리고 아이러니하게도 버그 바운티 서비스는 헤드라인에서 볼 수 있듯이 해커가 대문자로 큰 소리로 자랑하는 곳이었습니다. UBER가 해킹당했습니다.)
무엇을해야 하는가?
이 경우 Uber를 지적하기 쉽고, 단순히 시끄럽고 매우 공개적인 특성 때문에 이 위반이 대부분의 것보다 훨씬 더 나쁜 것으로 간주되어야 함을 암시합니다.
그러나 불행한 사실은 대부분은 아니지만 많은 현대 사이버 공격이 공격자가 정확히 이 정도의 액세스 권한을 얻는 것과 관련되어 있다는 것입니다…
...또는 최소한 잠재적으로 이 수준의 액세스 권한을 가질 수 있습니다. 궁극적으로 그들이 가질 수 있는 모든 곳을 둘러보지는 않더라도 말입니다.
결국, 오늘날 많은 랜섬웨어 공격은 아마도 며칠 또는 몇 주 또는 몇 달 동안 지속되었을 수 있는 침입의 시작이 아니라 끝을 나타냅니다. 최상위 시스템 관리자와 동등한 지위 그들이 위반한 회사에서.
이것이 바로 랜섬웨어 공격이 종종 그토록 파괴적인 이유입니다. 공격이 닥칠 즈음에는 범죄자들이 쟁쟁한 접근을 하지 않은 랩톱, 서버 또는 서비스가 거의 없기 때문에 거의 문자 그대로 모든 것을 뒤섞을 수 있기 때문입니다.
다시 말해, 이 경우 Uber에 발생한 것으로 보이는 것은 새롭거나 독특한 데이터 유출 사례가 아닙니다.
따라서 다음은 자체 네트워크의 전반적인 보안을 개선하기 위한 출발점으로 사용할 수 있는 몇 가지 생각을 불러일으키는 팁입니다.
- 암호 관리자와 2FA는 만병통치약이 아닙니다. 잘 선택된 비밀번호를 사용하면 사기꾼이 침입하는 것을 막을 수 있으며 일회용 코드 또는 하드웨어 액세스 토큰(일반적으로 사용자가 휴대해야 하는 작은 USB 또는 NFC 동글)을 기반으로 하는 2FA 보안은 공격자. 그러나 오늘날의 이른바 인간 주도 공격, "적극적인 적"이 개인적으로 그리고 직접적으로 침입에 관여하는 경우 사용자가 일반적인 온라인 행동을 변경하도록 도와야 절차가 얼마나 포괄적이고 복잡할지에 관계없이 우회 절차에 대해 이야기할 가능성이 줄어듭니다.
- 보안은 에지뿐만 아니라 네트워크의 모든 곳에 속합니다. 오늘날 매우 많은 사용자가 직원, 계약자, 임시 직원, 경비원, 공급업체, 파트너, 청소부, 고객 등 네트워크의 최소한 일부에 액세스해야 합니다. 보안 설정이 네트워크 경계에서 강화할 가치가 있는 경우 거의 확실히 "내부"도 강화해야 합니다. 이것은 특히 패치에 적용됩니다. Naked Security에서 말하고자 하는 바와 같이, "일찍 패치하고, 자주 패치하고, 어디서나 패치하십시오."
- 정기적으로 사이버 보안을 측정하고 테스트하십시오. 생각했던 예방 조치가 실제로 효과가 있다고 가정하지 마십시오. 가정하지 마십시오. 항상 확인합니다. 또한 새로운 사이버 공격 도구, 기술 및 절차가 항상 나타나기 때문에 예방 조치를 정기적으로 검토해야 합니다. 간단히 말해서, "사이버 보안은 목적지가 아니라 여정입니다."
- 전문가의 도움을 받는 것이 좋습니다. 에 가입 관리되는 탐지 및 대응 (MDR) 서비스는 실패를 인정하거나 스스로 사이버 보안을 이해하지 못한다는 표시가 아닙니다. MDR은 귀하의 책임을 포기하는 것이 아닙니다. 그것은 단순히 귀하가 정말로 필요할 때 전담 전문가를 곁에 두는 방법입니다. MDR은 또한 공격이 발생할 경우 직원이 현재 하고 있는 모든 작업(비즈니스 연속성에 필수적인 일반 작업 포함)을 중단할 필요가 없으므로 잠재적으로 다른 보안 허점을 남겨둘 필요가 없음을 의미합니다.
- 제로 트러스트 접근 방식을 채택하십시오. 제로 트러스트는 말 그대로 아무 것도 하지 않는 사람을 절대 신뢰하지 않는다는 의미가 아닙니다. 이것은 "가정을 하지 않는다"와 "절대적으로 필요한 것보다 더 많은 일을 하도록 누군가에게 권한을 부여하지 말라"는 은유입니다. 제로 트러스트 네트워크 액세스 (ZTNA) 제품은 VPN과 같은 기존 네트워크 보안 도구처럼 작동하지 않습니다. VPN은 일반적으로 외부의 누군가가 네트워크에 대한 일반 액세스 권한을 얻을 수 있는 안전한 방법을 제공하며, 그 후에는 실제로 필요한 것보다 훨씬 더 많은 자유를 누리며 로밍, 스누핑 및 성의 나머지 부분에 대한 열쇠를 찾기 위해 주변을 찔러볼 수 있습니다. 제로 트러스트 액세스는 훨씬 더 세분화된 접근 방식을 취하므로 실제로 해야 할 일은 최신 내부 가격 목록을 검색하는 것만으로도 액세스할 수 있습니다. 또한 지원 포럼에 들어가거나 판매 기록을 샅샅이 뒤지거나 소스 코드 데이터베이스를 엿볼 수 있는 권리도 없습니다.
- 직원을 위한 사이버 보안 핫라인이 아직 없는 경우 설정하십시오. 누구나 쉽게 사이버 보안 문제를 보고할 수 있습니다. 의심스러운 전화 통화, 가능성이 없는 이메일 첨부 파일 또는 네트워크에 존재해서는 안 되는 파일일지라도 단일 연락 창구(예:
securityreport@yourbiz.example) 동료가 빠르고 쉽게 전화를 걸 수 있습니다. - 사람을 절대 포기하지 마십시오. 기술만으로는 모든 사이버 보안 문제를 해결할 수 없습니다. 직원을 존중하는 마음으로 대하고 사이버 보안 태도를 취하면 "바보 같은 질문은 없고 어리석은 대답만 있을 뿐", 그러면 조직의 모든 사람을 보안 팀의 눈과 귀로 만들 수 있습니다.
26년 29월 2022일부터 XNUMX일까지 올해의 행사에 참여하지 않으시겠습니까? 소포스 보안 SOS 주간:
세계 전문가들과의 짧지만 매혹적인 네 가지 대화.
보호, 탐지 및 대응에 대해 알아보십시오.
성공적인 SecOps 팀을 구성하는 방법:
