Kuidas üksainus GitHubi märgis murdis läbi globaalse farmaatsiahiiu turvapiirist

Novo Nordisk säilitab mitmekihilist turvataristut. Ettevõte kasutab täiustatud lõppseadmete tuvastamist, võrgu segmenteerimist ja spetsiaalset turvatoimingute keskust. Need kaitsesüsteemid maksavad igal aastal miljoneid dollareid. Ometi kukkus kogu arhitektuur kokku ühe tekstistringi tõttu avalikul veebisaidil. Taani farmaatsiahiiu andmeleke on juhtumiuuring kaasaegse tarkvaraarenduse arhitektuurilisest paradoksist. Massiivne investeering piirikaitsesse ebaõnnestus, sest üksainus autentimismärgis asus vales kohas.

Veetsin aastaid suheldes turvauurijatega Signali ja PGP-krüpteeritud kanalite kaudu. Enamik neist ei otsi keerulisi nullpäeva haavatavusi tugevdatud tulemüürides. Nad otsivad vähima vastupanu teed. Novo Nordiski intsidendi puhul oli selleks teeks kõrgete õigustega GitHubi isiklik juurdepääsumärgis (PAT), mis oli jäetud kliendipoolsesse JavaScripti vähetuntud alamdomeenil. See ei olnud keerukas häkkimine. See oli avastamisharjutus. Kui rühmitus nimega FulcrumSec märtsis märgise leidis, muutus ametlik turvapiir asjatuks. Märgis tagas autentitud juurdepääsu. Sisesüsteemide jaoks olid ründajad legitiimsed arendajad.

Vaikse sissetungi anatoomia

FulcrumSec tegutses Novo Nordiski võrgus enne avastamist üle kahe kuu. Selle perioodi jooksul kasutas rühmitus esialgset GitHubi märgist privaatsete hoidlate kloonimiseks. Need hoidlad sisaldasid enamat kui lihtsalt koodi. Need sisaldasid sekundaarseid mandaate, taristu definitsioone ja sisedokumentatsiooni. See on kaasaegsete sissetungide puhul tavaline muster. Ründaja kasutab väikest tugipunkti võimsamate saladuste kogumiseks. Nad ei pea ära kasutama tarkvaraviga, kui neil on peaukse võtmed.

Selleks ajaks, kui Novo Nordisk 11. juunil intsidendist teatas, olid ründajad välja viinud 1,3 TB andmeid. See kogum sisaldas 700 000 faili. Kuigi ettevõte kirjeldas esialgu mõju piiratuna pseudonüümitud patsiendiandmete ja tervishoiutöötajate kirjetega, näib tegelikkus tõsisem. Varastatud andmed sisaldavad konfidentsiaalset teavet turustatavate ja veel avaldamata ravimite, kliiniliste uuringute ja sisemiste tehisintellekti mudelite kohta. FulcrumSec väidab, et teave võib säästa konkurentidele kolm kuni viis aastat arendusaega. See on süsteemse ebaõnnestumise definitsioon. Leke arenes lihtsast avalikustatud märgisest olulise intellektuaalomandi kaotuseni.

Miks arendustorustikud on tootmissüsteemid

Arendusplatvormid on kaasaegse ettevõtte kõrgeima väärtusega süsteemid. Enamik turvaprogramme ei suuda seda tõsiasja teadvustada. Koodihoidla ei ole enam lihtsalt tekstifailide hoiukoht. See on kogu digitaalse keskkonna projekt. See sisaldab pilvekeskkondade konfiguratsioone ja juurutustorustikke, mis edastavad koodi klientidele. Kui ründaja saab juurdepääsu hoidlale, näeb ta organisatsiooni ülesehitust.

Matt Kimpel, Magna5 infoturbejuht, märgib, et arendajatel on pidev juurdepääs kõige olulisematele süsteemidele. Neil on mandaadid ehitustorustike ja pilvekeskkondade jaoks. Need süsteemid asuvad tootmiskeskkonnast eespool. Kui ründaja kompromiteerib koodi enne selle kompileerimist, kontrollib ta lõpptoodet. See muudab arendaja tööjaama ja hoidla kriitilisemaks kui tootmisserveri enda. Traditsioonilised kaitsed, nagu harude kinnitamine ja koodiülevaatused, eeldavad, et toimingut sooritav isik on usaldusväärne töötaja. Kui identiteet on kompromiteeritud, hõlbustavad need samad kontrollid rünnakut.

Masinidentiteetide nähtamatu risk

Organisatsioonid käsitlevad saladuste haldust kui tööriistade probleemi. Nad ostavad hoidla ja eeldavad, et probleem on lahendatud. Novo Nordiski intsident tõestab, et saladuste haldus on identiteedi küsimus. Lekkinud GitHubi märgis on masinidentiteet. Erinevalt inimkontodest puuduvad masina mandaatidel sageli selged omanikud. Neil ei ole järjepidevaid roteerimisgraafikuid. Sageli puudub neil sisuline seire. Need märgised püsivad kuude või aastate kaupa ilma muudatusteta.

Shane Barney, Keeper Security infoturbejuht, märgib, et see nähtamatus muudab ühe märgise pikaajaliseks sissetungiks. Kui masina mandaadil on laialdased õigused ja keegi selle kasutamist ei jälgi, ei pea ründaja õigusi laiendama. Juurdepääs on juba olemas. Mõjuala on kogu keskkond. See on põhjus, miks ründajad jäid 60 päevaks avastamata. Nad ei murdnud süsteemi sisse. Nad kasutasid süsteemi nii, nagu see oli ette nähtud kasutamiseks.

Sekundaarsete ründajate esilekerkimine

Teine rühmitus nimega TheUSERS007 väitis samuti, et neil oli ajavahemikus 5. juunist 7. juunini juurdepääs Novo Nordiski süsteemidele. See rühm sihtis tehisintellekti uuringutega seotud andmeid. See viitab sellele, et kui suur leke on toimunud, hakkavad ka teised osapooled sama taristut uurima. Üks haavatavus arendustorustikus viitab sageli laiematele süsteemsetele nõrkustele. Kui üks arendaja jätab märgise avalikku skripti, järgivad tõenäoliselt teised arendajad sarnaseid ebakindlaid mustreid. Rünnakupind ei ole staatiline kaart. See on dünaamiline keskkond, kus üks viga kutsub esile täiendava kontrolli mitmete vastaste poolt.

See sekundaarne sissetung rõhutab ohtu sisemistele tehisintellekti mudelitele. Need mudelid esindavad farmaatsiauuringute tulevikku. Need on üles ehitatud aastatepikkustele konfidentsiaalsetele andmetele ja massiivsetele arvutusinvesteeringutele. Nende mudelite kaotus ei ole lihtsalt andmeleke. See on konkurentsieelise kaotus. Digitaalsel keskkonnal puuduvad füüsilised seinad. Kui süsteemi loogika on lähtekoodi ja mudeli kaalude kaudu paljastatud, on kahju püsiv.

Liikumine reaktiivsetelt tööriistadelt proaktiivsele identiteedikontrollile

Nende riskide leevendamiseks peavad organisatsioonid muutma oma suhtumist arendajate juurdepääsu. Hoidla on kast saladuste jaoks. Identiteedihaldus on kontroll selle üle, kes saab kasti avada ja kui kauaks. Eesmärk on lühendada iga saladuse säilivusaega. Kui märgis aegub nelja tunni pärast, on leke JavaScripti failis ajutine tüütus. Kui märgis kestab aasta, on leke katastroof.

Saladuste halduse tsentraliseerimine on vajalik samm. Iga identiteet keskkonnas peaks järgima vähimate õiguste põhimõtet. See tähendab, et GitHubi märgis peaks omama juurdepääsu ainult konkreetsetele hoidlatele, mis on ülesande jaoks vajalikud. Sellel ei tohiks olla laialdasi administratiivseid õigusi kogu organisatsiooni üle. Automaatne roteerimine tagab, et mandaadid ei kesta kauem kui nende eesmärk. See distsipliin ei takista ründajat märgist leidmast, kuid piirab seda, mida nad saavad sellega teha.

Praktilised sammud torustiku turvalisuse tagamiseks

Organisatsioonid peaksid alustama mitte-inimeste identiteetide inventuurist. Enamik ettevõtteid ei tea, kui palju API-võtmeid või teenusekontosid nende keskkonnas eksisteerib. Te ei saa kaitsta seda, mida te ei näe. See inventuur peaks sisaldama iga võtme ulatust ja selle viimast kasutuskuupäeva. Paljud organisatsioonid leiavad, et suur osa nende aktiivsetest märgistest ei ole enam vajalikud. Need orbunud saladused on ründajate jaoks väärtuslikud sihtmärgid.

Masinidentiteetide jälgimine on sama oluline kui inimeste sisselogimiste jälgimine. Turvameeskonnad peavad määrama teenusekontode normaalse käitumise baastaseme. Kui GitHubi märgis pääseb tavaliselt ligi kolmele hoidlale tuntud IP-aadressilt ja hakkab äkki kloonima 500 hoidlat teisest piirkonnast, peaks süsteem käivitama hoiatuse. Tuvastamine peab toimuma identiteedi tasandil. Tarkvara paikamine on oluline, kuid ajastul, kus identiteedid on peamine sihtmärk, on mandaatide kasutamise nähtavus ainus viis vaikse sissetungija tabamiseks.

Sammud riski koheseks vähendamiseks

1. Skannige kõiki avalikke varasid paljastatud saladuste suhtes. Kasutage automatiseeritud tööriistu märgiste, API-võtmete ja andmebaasi mandaatide leidmiseks kliendipoolsest koodist.
2. Rakendage lühiajalised märgised. Asendage pikaajalised isiklikud juurdepääsumärgised täpsete, ajaliselt piiratud mandaatidega alati, kui platvorm seda toetab.
3. Auditeerige hoidlate õigusi. Eemaldage arendajate märgistelt administratiivne juurdepääs. Veenduge, et ühelgi märgisel ei oleks õigust kloonida kogu koodibaasi.
4. Lubage saladuste skannimine CI/CD torustikus. Blokeerige kõik muudatused (commit), mis sisaldavad tavatekstina saladust, enne kui see hoidlasse jõuab.
5. Jälgige anomaalset tegevust hoidlates. Seadistage hoiatused hulgikloonimise või ebatavalistest asukohtadest pärineva juurdepääsu kohta.

See intsident on meeldetuletus, et turvapiir on nihkunud. See ei asu enam võrgu servas. See eksisteerib üksiku märgise ja konkreetse identiteedi tasandil. Kui te ei halda neid identiteete sama rangelt kui oma tootmisservereid, on teie kaitse illusioon.

Allikad: NIST Cybersecurity Framework, MITRE ATT&CK Framework (Technique T1528: Steal Application Access Token), DataBreaches.net reporting.

Vastutuse välistamine: See artikkel on koostatud ainult teavitamise ja harimise eesmärgil. See ei asenda professionaalset küberjulgeoleku auditit ega intsidentidele reageerimise teenust.