Az amerikai Colonial Pipeline cég elleni legutóbbi támadás megmutatta, hogy a kiemelt infrastruktúrát üzemeltető cégek elleni zsarolóvírusos támadások nemcsak közvetlenül a cégeknek okoznak súlyos károkat és kieséseket, hanem sok millió átlagember mindennapjait is azonnal befolyásolják.

Emlékszünk a hírekből a képsorokra, és az USA keleti partján élők is emlegetik még sokszor a tavalyi WC-papír felhalmozást idéző pánik tankolásokat, a napokig üres benzinkutakat. De nemcsak a létfontosságú szolgáltatások kiesése okozhat kellemetlenségeket: a zsarolók a cégek által tárolt adatok, köztük gyakran személyes adataink túszul ejtésével és nyilvánosságra hozatalával ugyanúgy fenyegetnek. A zsarolóvírus sztori virágzó üzlet. Napjainkra komoly ökoszisztéma és holdudvar épült ki köré, a benne részt vevő szervezett bűnözői és egyéb csoportok pedig valódi iparágat alkotnak. Csakúgy, mint a hagyományos „offline” szervezett bűnözésnél, itt is részfeladatokra specializálódott szereplők és csoportok működnek együtt.

Ilyen csoportok a kulcsrakész ransomware szoftvercsomagokat készítő, a kártevőt a védelmi megoldások elől álcázni próbáló „fejlesztők”, a cégek informatikai rendszerében a rést megtaláló, a bejutáshoz szükséges know-howt értékesítő „ajtónyitók”, céges rendszerek felett a tényleges kontrollt, és a céget kompromittáló adatokat megszerző „behatolók”, az áldozatok üzleti helyzetét felmérő, az adott cégre szabott váltságdíjat megbecsülni képes „elemzők”, a váltságdíjjal kapcsolatos tárgyalást profi módon lebonyolító „tárgyalók”, és persze a váltságdíj összegét kifehérítő „pénzmosók”. A csoportok legtöbbször nem ismerik közvetlenül egymást, de az ökoszisztémában természetesen mindenki részesül a váltságdíjból. Bár nem szervezett bűnözői csoportok, de az ökoszisztéma részei ugyanúgy az együttműködő „bulletproof” hosting cégek, és a ransomware támadásokkal kapcsolatban biztosítást kínáló pénzügyi szereplők is.

Érdekességképp megemlítendő, hogy a zsarolóvírussal támadók célja akár kizárólag a rombolás is lehet. A legutóbbi ilyen eset az “Apostle” nevű kártevő, amely jelenleg főleg a Közel-Keleten pusztítja az adattárolók tartalmát, miközben zsarolóvírusnak álcázza magát a támadást.

Fontos felismerni, hogy a zsarolóvírusos támadások szinte mindig egy hosszabb történet végére tesznek pontot. Egy olyan történetre, ami legtöbbször jóval korábban, egy másik biztonsági incidenssel kezdődik, ami akár heteken-hónapokon át felderítetlen marad. Azt is jó tudni, hogy egy zsarolóvírus támadás után – függetlenül attól, hogy végül fizet-e az áldozat – a támadók gyakran rejtett kiskapukat hagynak a megtámadott informatikai rendszerekben, amelyeket később másodpiacon más támadói csoportoknak értékesítenek.

De mit tehetünk azért, hogy hasonló esetekben felkészültek legyünk?

Véleményünk szerint alapvetően új megközelítésre van szükség. Olyan megközelítésre, ahol az identitások modern védelme kapja a legnagyobb hangsúlyt: erős azonosítást alkalmazunk, és minden hozzáférési kísérletet a lehető legpontosabban, a legtöbb rendelkezésre álló információ alapján, az aktuális kockázati szinttel arányosan, automatizáltan bírálunk el.

Ahhoz, hogy pontos információnk legyen az aktuális kockázati szintről, nyilván először mérni kell tudnunk a kockázatot. Ezért a visibility képességek megléte – az identitások, a végpontok, az alkalmazások és az infrastruktúra terén egyaránt – rendkívül fontossá vált. A kiosztott jogosultságoknál is arra törekszünk, hogy azokat mind mennyiségben, mind időben minimalizáljuk, a begyűjtött és elbírált szignálok alapján. Talán a legfontosabb, hogy olyan új hozzáállást is kell elsajátítanunk, amelyben elfogadjuk azt, hogy a jól kialakított mélységi, szegmentált védelem ellenére a támadók előbb-utóbb bejutnak a rendszereinkbe. Ezért inkább arra összpontosítunk, hogy a már bejutott támadók mozgását megnehezítsük, azokat minél előbb észleljük, és minél gyorsabban semlegesítsük. Az incidensek feltárásához nyilvánvalóan egymással jól együttműködő, releváns információt megosztó, automatizmusokkal megtámogatott, összehangolt védelmi elemek kellenek.

Cikkünk második része a Microsoft Zero Trust biztonsági megközelítése alapján, az első részben ismertetett kihívásokra kínál konkrét megoldásokat.

A védelem legfontosabb pillére, az identitások védelme a közös Azure Active Directory címtárra, és annak védelmi megoldásaira épül. Ilyen – az azonosításhoz kapcsolódó – védelmi megoldások az Azure Active Directory Password Protection, amely megakadályozza a gyenge, könnyen kitalálható felhasználói jelszavak használatát, valamint az Azure Active Directory Identity Protection, amely kockázatos vagy gyanús felhasználói aktivitásokat képes észlelni.

Napjainkban elengedhetetlenné vált az erős azonosítás használata, erre alkalmas az Azure Active Directory Multi-Factor Authentication technológia. Az MFA használat azonban csak az első lépcső, a jövő egyértelműen a jelszó nélküli azonosítás irányába mutat, amely egyszerre képvisel magas biztonsági szintet, és használata is kényelmes a felhasználóknak. Erre példák az Authenticator App, Windows Hello és FIDO2 kulcsok passwordless alkalmazása. A már említett elemeket egészíti ki a Defender for Identity nevű, a földi Active Directory identitások védelmét ellátó komponens. Segítségével azonosíthatók és nyomon követhetők a földi rendszerbe már bejutott támadók műveletei, valamint a szokatlan, gyanús felhasználói aktivitások. Miután nagy biztonsággal azonosítottuk a felhasználókat, az Azure Active Directory Conditional Access képes a kiosztott felhasználói jogosultságokat a lehető legtöbb kritérium és körülmény alapján kiosztani.

Ilyen kritérium vagy körülmény lehet a bejelentkezéshez használt földrajzi régió, a felhasználó telefonjának GPS koordinátája, az elérendő szolgáltatás vagy a benne található adat biztonsági besorolása, illetve akár a felhasználó fiókjának vagy eszközének aktuális kockázati szintje. Ahhoz, hogy ezek a kockázati értékek, mért szignálok a végpontokról vagy alkalmazásokról eljussanak a Conditional Access komponenshez, szükségünk van olyan rendszerekre, amelyek képesek a kockázatokat feltérképezni, mérni, és továbbítani. A végpontok oldaláról ez az Endpoint Manager végpont menedzsment, és a Defender for Endpoint végpont védelem, felhő alkalmazások oldaláról pedig a Cloud App Security nevű CASB (cloud access security broker) megoldás.

Gondoskodnunk kell arról is, hogy a kommunikációs csatornák – pl. Microsoft Exchange Online, Teams, SharePoint Online, OneDrive for Business – védettek legyenek kézbesítés előtti és utáni védelemmel egyaránt. Erre a feladatra alkalmas a Defender for Office 365 rendszer, de a Windows platform támadási felületét csökkentő Attack Surface Reduction szabálykészlet egy része is, kifejezetten a fájlok, csatolmányok és linkek megnyitásával kapcsolatos kockázatok csökkentésére.

A korszerű védelem alapja egy olyan végpont védelmi megoldás, amely jól integrálható egy végpont menedzsment rendszerrel. A végpont védelem feladata a kockázatok feltárása, az aktuális kockázati szint mérése és továbbítása, és természetesen segítség az incidensek feltárásában, megoldásában. A végpont menedzsment feladata pedig, hogy a feltárt kockázatokat módosításokkal javítsa a platform, a böngészők és egyéb alkalmazások szintjén. Az Endpoint Manager és Defender for Endpoint rendszerek egymásba ágyazottsága és SecOps támogatása kiváló példa az ilyen együttműködésre.

A támadók gyakran a VPN megoldásokat használják fel a céges rendszerekbe való bejutáshoz. Ebben a témakörben olyan védelmi technológiák jönnek szóba, amelyek erős azonosítást használva megnehezítik a támadók számára az ellopott fiókok felhasználását, támogatják az alkalmazás szintű szegmentációt, biztonságosabbá teszik a távadminisztrációt Az Azure Active Directory Application Proxy egy olyan modern alkalmazás távelérési szolgáltatás, amivel a felhasználók erős azonosítással, az Azure Active Directory fiókjukat használva, de VPN szoftver használata nélkül dolgozhatnak földi webes alkalmazásokon. Az Azure Bastion szolgáltatás pedig adminisztrátoroknak kínál erős azonosítással védett, Azure Active Directory integrált távadminisztrációt Azure infrastruktúra rétegbeli erőforrásokhoz.

Adatvédelemmel kapcsolatban az a célunk, hogy megnehezítsük a károkozást, és képesek legyünk megbízható forrásból minél gyorsabban helyreállítani az üzletmenethez szükséges adatokat. A rendelkezésre álló eszközök egyike a Windows platformon beépített Microsoft Defender Antivirus komponensének Controlled Folder Access funkciója, amely kijelölt védett mappákon csak jóváhagyott alkalmazásoknak enged műveleteket. További eszköz lehet a OneDrive és SharePoint Online dokumentumtárak verziókezelő és lomtár funkcióinak használata. Ezeket a felhős alkalmazásokat továbbá célszerű CASB megoldással, például Cloud App Security szolgáltatással védeni, amely többek között képes a szokatlan felhasználói műveletek és ransomware tevékenységek észlelésére. Természetesen át kell néznünk újra az adattárakon meglévő széleskörű módosítási jogosultságokat is.

Adatvédelem kapcsán megkerülhetetlen az olyan rendszeres adatmentések megléte, ahol a mentett adatokhoz csak erős azonosítással lehet hozzáférni, és a lementett adatokat nem lehet módosítani. Ilyen védelmi funkciók az Azure Backup, és az Azure blob storage immutable opciója. Ha az adatok mentése már megoldott, természetesen rendelkeznünk kell dokumentált, kipróbált és begyakorolt üzletmenet folytonossági tervvel is.

Természetesen minden eddig felsorolt témakör vagy védelmi elem esetén kötelező a naplózás, auditálás képességek megléte. Erre a feladatra ideális jelölt az Azure Log Analytics nevű felhő alapú központi naplógyűjtő és elemző szolgáltatás, amely később további védelmi megoldások alapjául is szolgálhat. Ahhoz, hogy a hibrid infrastruktúra biztonságát folyamatosan szinten tudjuk tartani, először is mérni kell tudnunk azt. Ebben a feladatban segítenek a Microsoft Secure Score, Microsoft Compliance Manager és Azure Security Center, Secure Score komponensek. Amellett, hogy mérhetővé teszik a biztonságot, konkrét javaslatokat is adnak a legkülönfélébb konfigurációs hibák és sérülékenységek kijavítására.

Végül ideje arról is beszélni, hogy az egyes védelmi elemek hogyan képesek kiélezett szituációban minél gyorsabb észlelni, semlegesíteni a támadókat, segíteni a védők munkáját. Meggyőződésünk, hogy integrált XDR – vagyis Extended Detection and Response – képességek nélkül nem lehet hatékonyan felvenni a kesztyűt egy adatainkat túszul ejtő ransomware támadással. Ezek az XDR rendszerek a mélységi védelmet alkotó egyes célmegoldások szignáljait, riasztásait egyesítik minél kevesebb, összefüggéseiben feltárt, triázs folyamaton előszűrt incidensekké. A cél, hogy az incidenseket kivizsgáló biztonsági csapat az energiáját mindig a legfontosabb feladatok megoldására koncentrálhassa. Amellett, hogy egy XDR rendszer incidenseket tár fel, bizonyos feladatokat – pl. forensic információ gyűjtése végpontról, végpont leválasztása hálózatról, third-party programok futtatásának tiltása – automatizáltan is képes elvégezni. Ilyen XDR rendszerek az M365 biztonsági elemeket összefogó Microsoft 365 Security Center, és az Azure Security Center különböző képességeit összefogó Azure Defender.

Fekete Gábor
cloud security consultant, Microsoft 365

Források:

• https://docs.microsoft.com/en-us/security/compass/human-operated-ransomware
• https://www.lawfareblog.com/its-time-surge-resources-prosecuting-ransomware-gangs