Kā viens GitHub marķieris apgāja globāla farmācijas giganta perimetru

Novo Nordisk uztur daudzslāņu drošības infrastruktūru. Uzņēmums izmanto progresīvu galiekārtu noteikšanu, tīkla segmentāciju un īpašu drošības operāciju centru. Šī aizsardzība katru gadu izmaksā miljoniem dolāru. Tomēr visa arhitektūra sabruka vienas teksta virknes dēļ publiski pieejamā tīmekļa vietnē. Dānijas farmācijas giganta datu aizsardzības pārkāpums ir gadījuma izpēte par mūsdienu programmatūras izstrādes arhitektūras paradoksu. Milzīgas investīcijas perimetra aizsardzībā cieta neveiksmi, jo nepareizā vietā atradās viens autentifikācijas marķieris.

Es pavadīju gadus, sazinoties ar drošības pētniekiem, izmantojot Signal un PGP šifrētus kanālus. Lielākā daļa no viņiem nemeklē sarežģītas nulles dienas ievainojamības nocietinātos ugunsmūros. Viņi meklē mazākās pretestības ceļu. Novo Nordisk incidentā šis ceļš bija augstu privilēģiju GitHub personīgās piekļuves marķieris (PAT), kas bija atstāts klienta puses JavaScript kodā kādā mazpazīstamā apakšdomēnā. Tas nebija sarežģīts uzbrukums. Tas bija atklāšanas vingrinājums. Tiklīdz draudu grupa, kas pazīstama kā FulcrumSec, martā atrada marķieri, formālais drošības perimetrs kļuva nebūtisks. Marķieris nodrošināja autentificētu piekļuvi. Iekšējām sistēmām uzbrucēji šķita kā leģitīmi izstrādātāji.

Klusā iebrukuma anatomija

FulcrumSec darbojās Novo Nordisk tīklā vairāk nekā divus mēnešus pirms atklāšanas. Šajā periodā grupa izmantoja sākotnējo GitHub marķieri, lai klonētu privātas krātuves. Šīs krātuves saturēja vairāk nekā tikai kodu. Tajās bija sekundārie akreditācijas dati, infrastruktūras definīcijas un iekšējā dokumentācija. Tas ir izplatīts modelis mūsdienu iebrukumos. Uzbrucējs izmanto nelielu atbalsta punktu, lai ievāktu jaudīgākus noslēpumus. Viņiem nav nepieciešams izmantot programmatūras kļūdu, ja viņu rīcībā ir galvenās ieejas durvju atslēgas.

Līdz brīdim, kad Novo Nordisk 11. jūnijā paziņoja par incidentu, uzbrucēji bija eksfiltrējuši 1,3 TB datu. Šis arhīvs ietvēra 700 000 failu. Lai gan uzņēmums sākotnēji raksturoja ietekmi kā ierobežotu ar pseidonimizētiem pacientu datiem un veselības aprūpes speciālistu ierakstiem, realitāte šķiet smagāka. Nozagtie dati ietver patentētu informāciju par tirgū esošām un vēl neizlaistām zālēm, klīnisko pētījumu datus un iekšējos MI modeļus. FulcrumSec apgalvo, ka šī informācija varētu ietaupīt konkurentiem trīs līdz piecus gadus izstrādes laika. Tā ir sistēmiskas kļūmes definīcija. Pārkāpums pārauga no vienkāršas marķiera noplūdes līdz pamata intelektuālā īpašuma zaudēšanai.

Kāpēc izstrādes cauruļvadi ir produkcijas sistēmas

Izstrādes platformas ir vērtīgākās sistēmas mūsdienu uzņēmumā. Lielākā daļa drošības programmu neatzīst šo realitāti. Koda krātuve vairs nav vienkārša teksta failu glabātuve. Tā ir visas digitālās vides projekts. Tajā glabājas mākoņvides konfigurācijas un izvietošanas cauruļvadi, kas nogādā kodu klientiem. Kad uzbrucējs iegūst piekļuvi krātuvei, viņš redz organizācijas "iekšējo elektroinstalāciju".

Mets Kimpels (Matt Kimpel), Magna5 galvenais informācijas drošības vadītājs, atzīmē, ka izstrādātājiem ir pastāvīga piekļuve vissvarīgākajām sistēmām. Viņu rīcībā ir akreditācijas dati būvēšanas cauruļvadiem un mākoņvidēm. Šīs sistēmas atrodas pirms produkcijas vides. Ja uzbrucējs kompromitē kodu pirms tā kompilēšanas, viņš kontrolē galaproduktu. Tas padara izstrādātāja darbstaciju un krātuvi kritiskāku par pašu produkcijas serveri. Tradicionālie aizsardzības mehānismi, piemēram, atzaru apstiprināšana un koda pārskatīšana, pieņem, ka persona, kas veic darbību, ir uzticams darbinieks. Ja identitāte ir kompromitēta, šie paši kontroles mehānismi atvieglo uzbrukumu.

Mašīnu identitāšu neredzamais risks

Organizācijas pret noslēpumu pārvaldību izturas kā pret rīku problēmu. Tās nopērk seifu un pieņem, ka problēma ir atrisināta. Novo Nordisk incidents pierāda, ka noslēpumu pārvaldība ir identitātes problēma. Noplūdušais GitHub marķieris ir mašīnas identitāte. Atšķirībā no cilvēku kontiem, mašīnu akreditācijas datiem bieži trūkst skaidru īpašnieku. Tiem nav konsekventu rotācijas grafiku. Tiem bieži trūkst jēgpilnas uzraudzības. Šie marķieri saglabājas mēnešiem vai gadiem bez izmaiņām.

Šeins Bārnijs (Shane Barney), Keeper Security CISO, norāda, ka šī neredzamība pārvērš vienu marķieri ilgtermiņa iebrukumā. Ja mašīnas akreditācijas datiem ir plašas atļaujas un neviens neuzrauga to izmantošanu, uzbrucējam nav nepieciešams eskalēt privilēģijas. Piekļuve jau ir nodrošināta. Trieciena rādiuss ir visa vide. Tāpēc uzbrucēji palika neatklāti 60 dienas. Viņi neuzlauza sistēmu. Viņi izmantoja sistēmu tā, kā tā bija paredzēta lietošanai.

Sekundāro draudu dalībnieku parādīšanās

Otra draudu grupa, kas sevi dēvē par TheUSERS007, arī apgalvoja, ka laikā no 5. jūnija līdz 7. jūnijam tai bijusi piekļuve Novo Nordisk sistēmām. Šī grupa mērķēja uz datiem, kas saistīti ar MI pētījumiem. Tas liecina, ka pēc tam, kad notiek liela noplūde, citi dalībnieki sāk pārbaudīt to pašu infrastruktūru. Viena ievainojamība izstrādes cauruļvadā bieži norāda uz plašākiem sistēmiskiem vājajiem punktiem. Ja viens izstrādātājs atstāj marķieri publiskā skriptā, citi izstrādātāji, visticamāk, ievēro līdzīgus nedrošus modeļus. Uzbrukuma virsma nav statiska karte. Tā ir dinamiska vide, kurā viena kļūda piesaista papildu uzmanību no vairākiem pretiniekiem.

Šis sekundārais iebrukums izceļ risku iekšējiem MI modeļiem. Šie modeļi pārstāv farmācijas pētniecības nākotni. Tie ir veidoti uz gadiem ilgiem patentētiem datiem un milzīgām skaitļošanas investīcijām. Šo modeļu zaudēšana nav tikai datu aizsardzības pārkāpums. Tas ir konkurētspējas priekšrocību zaudējums. Digitālajai videi nav fizisku sienu. Tiklīdz sistēmas loģika tiek atklāta caur pirmkodu un modeļu svariem, bojājums ir neatgriezenisks.

Pāreja no reaktīviem rīkiem uz proaktīvu identitātes kontroli

Lai mazinātu šos riskus, organizācijām ir jāmaina skatījums uz izstrādātāju piekļuvi. Seifs ir kaste noslēpumiem. Identitātes pārvaldība ir kontrole pār to, kurš var atvērt kasti un uz cik ilgu laiku. Mērķis ir samazināt katra noslēpuma "derīguma termiņu". Ja marķiera derīguma termiņš beidzas pēc četrām stundām, noplūde JavaScript failā ir īslaicīgs traucēklis. Ja marķieris ir derīgs gadu, noplūde ir katastrofa.

Noslēpumu pārvaldības centralizēšana ir nepieciešams solis. Katrai identitātei vidē jāievēro minimālo privilēģiju princips. Tas nozīmē, ka GitHub marķierim jābūt piekļuvei tikai konkrētām krātuvēm, kas nepieciešamas uzdevuma veikšanai. Tam nevajadzētu būt plašām administratīvajām pilnvarām pār visu organizāciju. Automatizēta rotācija nodrošina, ka akreditācijas dati nepārdzīvo savu mērķi. Šī disciplīna neattur uzbrucēju no marķiera atrašanas, bet tā ierobežo to, ko viņš var ar to iesākt.

Praktiski soļi cauruļvadu drošībai

Organizācijām jāsāk ar ne-cilvēku identitāšu inventarizāciju. Lielākā daļa uzņēmumu nezina, cik daudz API atslēgu vai pakalpojumu kontu eksistē to vidē. Jūs nevarat aizsargāt to, ko neredzat. Šajā inventarizācijā jāiekļauj katras atslēgas darbības joma un tās pēdējās izmantošanas datums. Daudzas organizācijas atklāj, ka liela daļa to aktīvo marķieru vairs nav nepieciešami. Šie "bāreņu" noslēpumi ir augstvērtīgi mērķi uzbrucējiem.

Mašīnu identitāšu uzraudzība ir tikpat svarīga kā cilvēku pieteikšanās uzraudzība. Drošības komandām ir jānosaka pakalpojumu kontu normālas uzvedības bāzes līnija. Ja GitHub marķieris parasti piekļūst trim krātuvēm no zināmas IP adreses un pēkšņi sāk klonēt 500 krātuves no cita reģiona, sistēmai ir jāizraisa trauksme. Noteikšanai jānotiek identitātes slānī. Programmatūras ielāpu uzstādīšana ir svarīga, taču laikmetā, kad identitātes ir galvenais mērķis, redzamība akreditācijas datu lietošanā ir vienīgais veids, kā noķert kluso iebrucēju.

Soļi tūlītējai riska samazināšanai

1. Skenējiet visus publiski pieejamos resursus, meklējot atklātus noslēpumus. Izmantojiet automatizētus rīkus, lai atrastu marķierus, API atslēgas un datubāzu akreditācijas datus klienta puses kodā.
2. Ieviesiet īslaicīgus marķierus. Aizstājiet ilgmūžīgus personīgās piekļuves marķierus ar detalizētiem, laikā ierobežotiem akreditācijas datiem ikreiz, kad platforma to atbalsta.
3. Auditējiet krātuvju atļaujas. Noņemiet administratīvo piekļuvi izstrādātāju marķieriem. Nodrošiniet, lai nevienam atsevišķam marķierim nebūtu pilnvaru klonēt visu pirmkodu.
4. Iespējojiet noslēpumu skenēšanu CI/CD cauruļvadā. Bloķējiet jebkuru iesūtni (commit), kas satur atklāta teksta noslēpumu, pirms tas sasniedz krātuvi.
5. Uzraugiet anomālas darbības krātuvēs. Iestatiet brīdinājumus par lielapjoma klonēšanu vai piekļuvi no neparastām vietām.

Šis incidents ir atgādinājums, ka perimetrs ir pārvietojies. Tas vairs neatrodas tīkla malā. Tas eksistē atsevišķa marķiera un konkrētas identitātes līmenī. Ja jūs nepārvaldāt šīs identitātes ar tādu pašu stingrību kā savus produkcijas serverus, jūsu aizsardzība ir ilūzija.

Avoti: NIST Cybersecurity Framework, MITRE ATT&CK Framework (Technique T1528: Steal Application Access Token), DataBreaches.net ziņojumi.

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem mērķiem. Tas neaizstāj profesionālu kiberdrošības auditu vai incidentu reaģēšanas pakalpojumu.