eWAY s.r.o.

eWAY s.r.o. logo
Linkedin Facebook

Mesiac: január 2021

Crowdstrike Reporting Tool for Azure

od autora:
CrowdStrike Azure blog

Bezplatný nástroj CrowdStrike Reporting Tool for Azure pre kontrolu vášho Azure AD prostredia

CrowdStrike uvádza na trh CrowdStrike Reporting Tool for Azure (CRT), bezplatný komunitný nástroj, ktorý pomôže organizáciám rýchlo a ľahko skontrolovať nesprávne nastavené prístupové oprávnenia v ich prostrediach Azure AD, pomôže určiť slabé miesta v konfigurácii a poskytne rady na zníženie rizika. CrowdStrike pozoroval výzvy, ktorým organizácie čelia pri audite povolení Azure AD a zistil, že ide  o časovo náročný a zložitý proces – preto sa rozhodol vytvoriť nástroj, ktorý pomôže užívateľom Azure AD.  

Obchodný partner CrowdStrike bol ako jedna z mnohých spoločností  v nedávnom čase napadnutý rozľahlým kybernetickým útokom SUNBURST, no vďaka ich úrovni zabezpečenia po kontrole zistil, že nič z ich produkčného a interného prostredia nebolo zasiahnuté a nezaznamenal teda žiaden dopad na svoje produkty. 

CrowdStrike ale kvôli tomu samozrejme ihneď vykonal dôkladnú kontrolu nielen prostredia Azure, ale celej infraštruktúry ktorá obsahuje indikátory zdieľané so spoločnosťou Microsoft.
Crowdstrike počas celej analýzy  na vlastnej koži zažil ťažkosti, ktorým zákazníci čelia pri správe administratívnych nástrojov Azure. Zistil aké vzťahy a oprávnenia existujú v rámci  Azure užívateľov, a to  najmä s partnermi / predajcami tretích strán.  Zistil, že je obzvlášť náročné korigovať ich, že mnohé kroky potrebné na prešetrenie nie sú zdokumentované. Kľúčové informácie by mali byť ľahko dostupné, ale nie sú.

Pri podpore organizácií ovplyvnených incidentom SUNBURST vytvoril tím CrowdStrike Services komunitný nástroj s názvom CrowdStrike Reporting Tool for Azure (CRT) na rýchle a ľahké zistenie vyšších prístupových opatrení a ďalších dôležitých informácií o vašom prostredí Azure AD.
Patria sem delegované povolenia a povolenia aplikácií, Federation configurations, Federation trusts, pravidlá preposielania pošty, zodpovedné osoby, objekty s KeyCredentials a ďalšie.  Tento nástroj Crowdstrike sprístupnil komunite v ich úložisku CrowdStrike github.

Odporúčajú však všetkým správcom Azure AD skontrolovať ich konfiguráciu Azure AD, aby mohli zistiť, či náhodou neboli ovplyvnení spomínaným útokom, a podniknúť kroky na zabránenie prienikom. Dúfajú, že tento nástroj pomôže organizáciám z celého sveta.

Dôrazne tiež odporúčajú, aby všetky organizácie využívali CRT na kontrolu svojich Azure tenants a pochopili, či potrebujú podniknúť akékoľvek kroky v oblasti konfigurácie alebo povolení, najmä pokiaľ ide o tretie strany, ktoré môžu byť prítomné vo vašom prostredí Azure. Okrem toho je dôležité zabezpečiť, aby ste skontrolovali prístup svojho partnera / predajcu a aby ste pre Vašich partnerov navrhli overovanie viacfaktorovou autentifikáciou (MFA).   

Predstavenie CrowdStrike Reporting Tool pre Azure

Nevyhnutné predpoklady

CRT používa PowerShell a automaticky inštaluje moduly Exchange Online PowerShell V2, MSOnline a AzureAD. Aj keď odporúčame, aby bol tento nástroj spustený s účtom s oprávneniami Global Reader, niektoré „read-only“ funkcie si napriek tomu vyžadujú autentifikáciu ako používateľ s globálnym správcom alebo podobne vysokými oprávneniami. Ak  pre Vás oprávnenie globálneho správcu nie je k dispozícii, nástroj vás upozorní na informácie, ktoré pre vás nebudú k dispozícii.

CrowdStrike for Azure

Ukážka prostredia CRT zbierajúceho povolenia aplikácií

Ukážka prostredia CRT s CSV a JSON format

Prístup k novému bezplatnému nástroju získate tu: CrowdStrike Reporting Tool for Azure (CRT).

 Ďalšie odporúčania

Na základe reakcie na tento incident, vykonanej tímom CrowdStrike Services chceme zdôrazniť niekoľko ďalších odporúčaní na zmiernenie Vášho ohrozenia:

Logovanie

CrowdStrike odporúča centralizovať ukladanie protokolov na bezpečné miesto, aby sa zabránilo neoprávnenej manipulácii, neoprávnenému prístupu a súdnej ochrane. Musia byť povolené určité zdroje protokolov a je potrebné pridať diagnostické nastavenia, aby boli k dispozícii dostatočné podrobnosti. Ak tieto ďalšie nastavenia nie sú nakonfigurované, príslušné udalosti sa nezachytia.

Minimálne by sa nasledujúce protokoly mali zaznamenávať v systéme SIEM  alebo v prostredí úložiska protokolov oddelene od Azure:

  • Unified Audit Log
  • Azure Activity Logs
  • Azure Services Logs
  • Azure NSG Flow Logs
  • Azure AD Logs:
    • Azure AD Audit Logs
    • Azure AD Sign-In Logs
    • Azure AD Managed Identity Sign-In Logs (Preview)
    • Azure AD Non-Interactive User Sign-In Logs (Preview)
    • Azure AD Service Principal Sign-In Logs (Preview)
    • Azure AD Provisioning Logs
    • Azure AD Risky Sign-In events

Kontrola konfigurácie a hardening

CrowdStrike odporúča skontrolovať konfigurácie a podľa potreby uplatniť nasledujúce hardening opatrenia:

  • Skontrolujte vzťahy dôvery s partnermi vrátane IT konzultantov, predajcov a predajcov a obmedzte oprávnenia. Informácie o role partnera sú k dispozícii pre účty globálnych správcov na tomto odkaze. Zdá sa, že tieto informácie nie sú k dispozícii prostredníctvom zdokumentovaných rozhraní API.
  • Skontrolujte existujúce federations. Identifikujte neautorizované alebo neuznané federations a zrušte ich.
  • Uložte SAML kľúč podpisového certifikátu do hardvérového bezpečnostného modulu (HSM), aby nebolo možné ukradnúť podpisový kľúč. Prípadne pravidelne striedajte podpisové certifikáty SAML.
  • Skontrolujte poskytovateľov identity povolených v službe Azure AD (poskytovatelia identity SAML prostredníctvom priamej federation alebo sociálnych prihlásení) a identifikujte a odstráňte tých, ktorí nie sú legitímni.
  • Skontrolujte prístup externých identít Azure B2B na portál Azure a identifikujte a odstráňte tie, ktoré už nie sú potrebné alebo ktoré nie sú legitímne.
  • Zaistite, aby sa do cloudu synchronizovali iba požadované miestne organizačné jednotky AD (OU) a objekty. Pri vytváraní obojsmernej dôveryhodnosti a synchronizácii privilegovaných identít, účtov služieb alebo organizačných jednotiek medzi miestnymi a cloudovými servermi buďte mimoriadne opatrní.
  • Implementujte zásady Azure na obmedzenie konkrétnych akcií v tenantovi.
  • Obmedzte použitie regiónu
  • Vynúťte označovanie citlivých zdrojov
  • Skontrolujte princípy prístupu na portál správcu Azure pomocou princípov najvyššieho oprávnenia.
  • Skontrolujte služby, ktoré môžu mať prístup k miestnym prostrediam, ako aj k Azure, a pokiaľ je to možné, obmedzte oprávnenia a prístup.

Aplikácie Azure ADOAuth

  • Skontrolujte existujúce aplikácie s nedávno pridanými povereniami.
  • Skontrolujte aplikácie a povolenia, ktoré neregistruje spoločnosť Microsoft, a zrušte povolenia a poverenia pre všetky nerozpoznané aplikácie.
  • Skontrolujte a odstráňte nepoužívané aplikácie.
  • Politiku povolení aplikácií obmedzte iba na schválených správcov.

Kontrola oprávnení

  • Zaistite, aby sa na správu cloudu používali iba vyhradené účty správcu cloudov.
  • Kontrolujte si zásady pridelených privilégií a odstráňte nepotrebné privilégiá.
  • Skontrolujte používateľov, ktorým bolo udelené členstvo v administrátorských rolách alebo skupinách:
  • Používatelia so zvýšenými oprávneniami prostredníctvom nasledujúcich rol by mali byť podrobení osobitnej kontrole:
  • Správca autentifikácie
  • Správca fakturácie
  • Správca podmieneného prístupu
  • Správca a administrátor E-Discovery
  • Správca výmeny
  • Globálny správca
  • Správca technickej podpory
  • Správca hesla
  • Správca bezpečnosti
  • Správca SharePointu
  • Správca prístupu používateľov
  • Správca používateľov
  • Skontrolujte privilégiá a vynúťte požiadavky na viacfaktorové overovanie pre hostí.
  • Zaistite, aby mali prístup k rozhraniu Azure CLI tenantov iba príslušní používatelia.

Overenie

  • Vynútiťte viacfaktorovú autentizáciu (MFA) pre všetkých používateľov.
  • Skontrolujte nové neznáme registrácie MFA a obmedzte účty služieb z registrácie MFA.
  • Nastavte politiku prístupu pre viacfaktorové overenie na „Nepovoliť používateľom vytvárať heslá aplikácií na prihlásenie do aplikácií, ktoré nie sú prehliadačmi“, aby ste zabránili obchádzaniu MFA.
  • Skontrolujte a presadzujte zásady podmieneného prístupu:
    • Využite geografické obmedzenie.
    • Vynútiť moderné overovanie a blokovanie pôvodného overovania.
    • Blokujte „rizikové prihlásenia“.
  • Monitorujte požiadavky na autentifikáciu od neznámych poskytovateľov identity.
  • Monitorujte, či sa prihlasovacie údaje pridávajú k principálom služby.
  • Zaistite, aby boli povolené žiadosti o samoobslužné obnovenie hesla (SSPR), ktoré upozorňujú používateľov na zmenu ich hesiel.

Exchange

  • Skontrolujte pravidlá preposielania e-mailov a odstráňte neoprávnené pravidlá vrátane:
  • Pravidlá toku pošty v rámci celého tenantu
  • Jednotlivé poštové schránky
  • Skontrolujte delegácie e-mailov a odstráňte nepotrebné delegácie.
  • Zaistite, aby bolo používanie servera Exchange PowerShell povolené iba pre správcov servera Exchange.

Systémy Harden on-Premise a Self-Managed

Je dôležité zdôrazniť potrebu bezpečnostne posilniť miestne systémy, ako aj systémy hostované v cloude a dátovom centre, za ktoré je organizácia v konečnom dôsledku zodpovedná. Privilegovaní používatelia, roly a organizačné jednotky by sa mali synchronizovať medzi cloudovými a miestnymi alebo samostatne spravovanými adresármi s mimoriadnou opatrnosťou. Roly správcov v cloude sa musia spoliehať na autentifikáciu iba v cloude a neoverovať sa pomocou SAML SSO, rovnako ako roly správcov pre lokálne / samostatne spravované sa nesmú overovať prostredníctvom cloudových služieb.

Endpoint detection and response (EDR)

Nasaďte riešenie na detekciu a reakciu koncových bodov, napríklad Falcon Insight, aby ste poskytli viditeľnosť a prevenciu v rámci podnikových koncových bodov a cloudových pracovísk.

Správa Cloud security Posture (CSPM)

Monitorujte Azure pomocou riešenia Cloud Security Posture Management, ako je Falcon Horizon.

Implementovanie Risk Based Conditional Access

Dosiahnite jednotnú viditeľnosť a adaptívne presadzovanie pre lokálne aj v cloudové prostriedky a zabráňte hrozbám založených  na krádeže identity v reálnom čase pomocou riešenia, ako je Falcon Zero Trust. Patrí sem aj ochrana starších systémov, nespravovaných zariadení a všetkých typov účtov (privilegované, zamestnanecké, vzdialené a servisné).

Správa privilegovaných identít (PIM)

Implementujte riešenie Privileged Identity Management, ktoré sa bude využívať na obmedzenie vystavenia správcovských povolení. Falcon Zero Trust môže tiež pomôcť rozšíriť základnú funkčnosť PIM na systémy, ktoré vyžadujú podmienený prístup, keď PIM nie je uskutočniteľná pre všetky aplikácie, pracoviská a privilegovaných používateľov.

Vynútenie šifrovania a podpisovania pošty

Presaďte komplexného šifrovania a podpisovania e-mailov môže pomôcť zabrániť neoprávnenému prístupu a overiť autenticitu komunikácie.

Riešenie Security e-mail gateaway

Mať zabezpečené riešenie e-mailovej brány poskytne ochranu, viditeľnosť a ochranu údajov.

Mail DNS control

Implementácia záznamov SPF, DKIM a DMARC zabezpečí autenticitu e-mailu, zabráni falšovaniu a zabezpečí viditeľnosť.

Usporiadanie phishingovej kampane a školenia

Pravidelné phishingové cvičenia a školenia zamerané na zvyšovanie povedomia môžu zamestnancom pomôcť rozpoznať, vyhnúť sa a nahlásiť potenciálne hrozby, ktoré by mohli ohroziť životné prostredie.

 

 

crowdstrike logo

Zdroj informácií: blog CrowdStrike (ENG)

Povedomie o kybernetickej bezpečnosti – interné hrozby

od autora:
interne hrozby ransomware

Povedomie o kybernetickej bezpečnosti – interné hrozby

interne hrozby ransomware

Vnútorné hrozby sú často nepochopenou kategóriou kybernetickej bezpečnosti. Aby ste vo svojej spoločnosti mohli začať s implementovaním povedomia o kybernetickej bezpečnosti, je dôležité, aby každý vo Vašom tíme mal základné znalosti aj o interných hrozbách.

V tomto článku sa zameriame na to, ako môžete sprostredkovať informácie o interných hrozbách svojim zamestnancom – to znamená definovať ich a tiež vysvetliť dôvod, prečo sú práve teraz také relevantné.

Čo alebo kto je vlastne internou/vnútornou hrozbou?

Internou osobou môže byť každý, kto je blízky organizácii. To znamená zamestnanec, dodávateľ alebo aj partner. A interné hrozby vyplývajú zo zneužitia autorizovaného prístupu internej osoby k dôležitým informáciám alebo systémom.

Väčšina ľudí verí, že interné hrozby vždy od začiatku zamýšľané. Titulky správ sa najčastejšie zameriavajú na senzačné príbehy, ako sú vo firme nejakí tajní špióni. V skutočnosti spôsobí až 62 % interných osôb  incidenty náhodne a neúmyselne. Napríklad môžu omylom zdieľať dokument s nesprávnou e-mailovou adresou prostredníctvom cloudovej služby. Alebo môžu kliknúť na phishingový odkaz. Niektorí interní pracovníci (22 %) sú kompromitovaní, čo znamená, že sú obeťami krádeže súkromných údajov – ako napr. hesiel. Iba 14 % z incidentov interných hrozieb je spôsobených zámerne.

Kľúčový poznatok: Tieto štatistické údaje sa budú v jednotlivých organizáciách líšiť v závislosti od fluktuácie Vašich zamestnancov, pracovného tlaku, závislosti na tretích stranách a umiestnenia pracovných síl. To je ešte väčší dôvod na to, aby ste všetku svoju pracovnú silu – Vašich zamestnancov – poučili o rizikách ktorým môže organizácia čeliť prostredníctvom školenia o zvýšení povedomia o bezpečnosti. Mnohým interným hrozbám sa dá predísť. Dobrý vzdelávací program o interných hrozbách zosúlaďuje nie len povedomie o bezpečnosti ale aj iné obranné mechanizmy (ako je ochrana, detekcia, reakcia a obnova).

Prečo je teraz dôležité hovoriť o vnútorných hrozbách?

Pandémia mala za následok veľké zmeny pre väčšinu organizácií. Niektoré z týchto zmien zvýšili riziko vnútorných hrozieb. Napríklad veľa tímov je distribuovaných po rôznych domácich pracoviskách v iných mestách a pracuje na diaľku. Nie je isté, ako a kedy sa ľudia vrátia k tradičnému kancelárskemu prostrediu. Nehovoriac o tom, že organizácie sa teraz pri uskutočňovaní práce spoliehajú na menej zdrojov.

To znamená, že sa možno teraz využívajú viac napríklad externí dodávatelia a predajcovia. A takéto externé skupiny nemusia dôkladne porozumieť Vašim bezpečnostným politikám. Nemusia tiež vedieť, čo sa nachádza na Vašom zozname schválených technológií. Mnohí dodržiavajú svoje vlastné bezpečnostné politiky, ktoré sa môžu líšiť od toho, čo požaduje Vaša organizácia. Vami využívané tretie strany by mali teda tiež porozumieť bezpečnostnému povedomiu rovnako ako Vaši vlastní zamestnanci, aby boli skutočne dôveryhodné.

Vďaka práci na diaľku sa zamestnanci viac spoliehajú na technológie pre vzdialenú spoluprácu a správu a často používajú aj súkromné počítače. A možno nevedia, ktoré z týchto nových nástrojov či programov zapadajú do politík kybernetickej bezpečnosti. Zvyšuje sa tak šanca na stratu údajov, najmä v dôsledku interných chýb.

Kľúčový poznatok: Vysvetlite svojim zamestnancom dôvody prečo je pochopenie vnútorných hrozieb dôležité viac ako kedykoľvek predtým. Urobte to zaujímavým spôsobom, tak aby to utkvelo v pamäti -rozprávanie príbehu alebo použitie príkladu bude vo Vašom publiku často rezonovať viac ako len teória. Príkladov z praxe je mnoho – skúste napríklad načrtnúť príklad ako bola nejaká partnerská organizácia v správach kvôli bezpečnostnému incidentu spôsobeného internou
hrozbou – môžete o incidente diskutovať, riešiť aké opatrenia či mechanizmy by sa dali použiť a ako k takému problému pristupovať – tak pomôžete svojim zamestnancom pochopiť riziká kybernetickej bezpečnosti.

Zdroj: Proofpoint blog (ENG)