Co poszło nie tak w firmie ‘Capital One’? – część II
„Co poszło nie tak w firmie giganta finansowego – ‘Capital One’? – część II” – to kontynuacja opublikowanego przez nas w zeszłym tygodniu materiału o naruszeniu danych firmy ‘Capital One’, które zostały upublicznione 19 lipca (część I).
Jakie techniki ataku zostały wykorzystane w Capital One według MITRE ATT&CK?
Niedawna publikacja Digital Shadows zawiera doskonały opis naruszenia danych w Capital One, mapując kroki ataku na matryce MITER ATT&CK, publiczną bazę wiedzy o TTP’s (ang. Tacticks, Techniques and Procedures) i obserwacjach.
- Wykorzystując publicznie dostępne aplikacje – Exploit Public-Facing Application (T1190) poprzez wykorzystanie luki w zabezpieczeniach w bezpośrednio narażonych zasobach, co nie wymaga interakcji z użytkownikiem.
Symulacje ataku Skybox wykorzystują model topologii sieci, systemy zabezpieczeń, informację o zasobach oraz lukach w zabezpieczeniach, aby zidentyfikować ścieżki ataku od źródła zagrożenia do wrażliwego zasobu. Bezpośrednie ekspozycje na atak są uważane za ryzyko krytyczne i są traktowane priorytetowo w celu natychmiastowego usunięcia.
- Użycie zewnętrznej usługi zdalnej – External Remote Service (T1133) . Może zostać zainicjowany z powodu niewłaściwej segmentacji sieci lub bezpośrednio zdalnego dostępu do wewnętrznego systemu organizacji (który powinien być ograniczony i odpowiednio zabezpieczony np. za pomocą serwerów proxy, bram czy zapór sieciowych lub VPN).
Skybox nieustannie ocenia zgodność z regułami, dostępem i konfiguracją sieci, upewniając się, że ograniczenia określone w polityce są egzekwowane w rzeczywistości, a kontrole są zgodne z zasadą najniższych uprawnień. Skybox wykorzystuje model topologii sieciowej oraz informację z systemów bezpieczeństwa do analizy dostępu typu „end to end” – pomiędzy sieciami i strefami sieci oraz w ich obrębie – aby potwierdzić, że istnieje odpowiednia segmentacja.
- Wykorzystanie aktywnego konta – Valid Accounts (T1078). Możliwe np. wtedy, gdy urządzenie sieciowe korzysta z domyślnych uprawnień, osoba atakująca może użyć domyślnych haseł, aby uzyskać dostęp do urządzenia.
Skybox zapewnia wiele specyficznych dla platformy zasad konfiguracji, które można dowolnie dostosowywać do potrzeb biznesowych lub pozostawić w postaci „dostarczonej z pudełka”. Zasady zawierają zestaw kontroli konfiguracji, z których każda jest reprezentowana przez wyrażenie regularne. Podczas analizy plików konfiguracyjnych urządzeń informację o naruszeniach są przekazywane tylko wtedy, gdy wyrażenie regularne, którego poszukujemy zostaje dopasowane. Oznacza to, że urządzenie nie jest zgodne z najlepszymi praktykami przedstawionymi przez producenta bądź naszymi założeniami.
Konsekwencje naruszenia danych osobowych przez Capital One
Konsekwencje naruszenia ochrony danych przez Capital One są ogromne. Reputacja Capital One została poważnie naruszona, cena akcji na amerykańskiej giełdzie po informacji o wycieku danych spadły o 4% godzinę po ich ogłoszeniu. Natomiast wyciek ten może kosztować Capital One znacznie więcej niż nadszarpnięta reputacja, firma już teraz musi liczyć się z karami grzywny za naruszenie regulacji lub też potencjalnymi odszkodowaniami w procesach sądowych.
Konsekwencje wycieku danych, które miały miejsce w Capital One są odczuwane nie tylko przez nich samych. Chociaż firma świadcząca usługi finansowe jest ostatecznie odpowiedzialna za naruszenie, wpłynęło to również na jej dostawcę w chmurze, firmę Amazon – według serwisów informacyjnych powiązanie AWS z atakiem może wystarczyć, aby poważnie zaszkodzić firmie Amazon. Obecnie toczy się walka o świadczenie 10-cio letnich usług w chmurze dla Departamentu Obrony USA wartego 10 miliardów dolarów. Powiązanie firmy Amazon z tym wyciekiem może skutkować nie wybraniem ich w toczącym się postępowaniu.
Zaraz po wypłacie 700 milionów dolarów za naruszenie Equifax, naruszenie danych Capital One powinno służyć jako ostrzeżenie dla wielu organizacji, nie tylko w sektorze usług finansowych. Innowacja jest atrakcyjna, ale należy do niej podchodzić ostrożnie: należy trzymać rękę na pulsie oraz być pewnym, że nasze rozwiązania są odpowiednio skonfigurowane i są bezpieczne. Organizacje przechodzące transformację chmurową muszą zapewnić odpowiedni nadzór nad dostępnością do sieci chmurowych i wewnątrz nich.
Jeżeli szybkość, z jaką Capital One zareagował na powiadomienie o naruszeniu, jest jakąkolwiek wskazówką dotyczącą problemu, który był przyczyną wycieku, prawdopodobnie nie było to nic skomplikowanego – pewnie to coś, co mieli zrobić „kilka miesięcy temu”.
Źródło: www.skybox.com