Η πρόσφατη κυβερνοεπίθεση εναντίον της MGM Resorts απέσπασε πρωτοσέλιδα και προκάλεσε σοκ σε ολόκληρο τον κλάδο. Ο γίγαντας του ξενοδοχείου και της ψυχαγωγίας αγωνίστηκε να επαναφέρει τα συστήματα στο διαδίκτυο μετά από εκτεταμένες διακοπές λειτουργίας που επηρέασαν αρκετά από τα ορόσημα ακίνητά του στο Λας Βέγκας. Εκτός από τις διακοπές στα εσωτερικά δίκτυα, το χακάρισμα επηρέασε επίσης κουλοχέρηδες, ΑΤΜ, ψηφιακές κάρτες κλειδιών δωματίου και συστήματα ηλεκτρονικών πληρωμών.
Μεγάλο μέρος της αναφοράς για το περιστατικό επικεντρώθηκε στον τρόπο με τον οποίο η φαινομενικά αδιαπέραστη ασφάλεια του καζίνο διείσδυσε από έφηβους εισβολείς που συνδέονται με την ομάδα ransomware Διάσπαρτη Αράχνη. Για όσους από εμάς στον κλάδο της κυβερνοασφάλειας, η επίθεση επέστησε την προσοχή σε μία από τις πιο σημαντικές και δύσκολες προκλήσεις: τη σωστή κατανόηση και διαχείριση της πρόσβασης και των ελέγχων ελέγχου ταυτότητας.
Το χακάρισμα του MGM Resorts ξεκίνησε με μια παραβίαση του Vishing (φωνητικό ψάρεμα) του γραφείου βοήθειας πληροφορικής της εταιρείας. Μιμούμενοι τους υπαλλήλους και ζητώντας πρόσβαση στους λογαριασμούς τους μέσω τηλεφώνου, οι εισβολείς μπόρεσαν να παρακάμψουν την επαλήθευση του τελικού χρήστη και να αναπτύξουν μια επίθεση ransomware αφού απέκτησαν δικαιώματα διαχειριστή. Πολλοί αναλυτές έχουν προσηλωθεί στην ιδέα ότι η MGM θα μπορούσε να είχε αποτρέψει το περιστατικό μόνο αν χρησιμοποιούσε καλύτερες λύσεις ταυτότητας ή ισχυρότερες μεθόδους επαλήθευσης της ταυτότητας των χρηστών.
Ωστόσο, αυτό δεν συνάδει με τα γεγονότα.
Περισσότερα Η επαλήθευση ταυτότητας δεν είναι η απάντηση
Οι χάκερ απέκτησαν πρόσβαση μέσω κοινωνικής μηχανικής. Η απλή προσθήκη περισσότερων προϊόντων ταυτότητας σε έναν αυξανόμενο σωρό λύσεων ασφαλείας δεν είναι η απάντηση — και υποδηλώνει μια ευρεία παρανόηση των ελέγχων εξουσιοδότησης και πρόσβασης. Ενώ η προστασία της ταυτότητας είναι μια κρίσιμη μάχη στο σύγχρονο τοπίο στον κυβερνοχώρο, η πραγματικότητα είναι ότι τα προϊόντα ταυτότητας από μόνα τους δεν θα είχαν αποτρέψει αυτήν την επίθεση. Οι οργανισμοί πρέπει να δίνουν έμφαση στον κατάλληλο έλεγχο ταυτότητας και στους ελέγχους πρόσβασης παράλληλα με την ταυτότητα.
Συχνά χρησιμοποιούμε παρόχους ταυτότητας που δημιουργούν, αποθηκεύουν και διαχειρίζονται ψηφιακές ταυτότητες, διασφαλίζοντας ότι ένας χρήστης είναι αυτός που λέει ότι είναι όταν συνδέεται σε ένα δίκτυο. Ωστόσο, όπως αποδεικνύεται από την κυβερνοεπίθεση MGM, οι φορείς απειλών μπορούν να παρακάμψουν αυτούς τους παρόχους και να θέτουν σε κίνδυνο τις νόμιμες ταυτότητες, παρέχοντάς τους αδικαιολόγητη πρόσβαση στο περιβάλλον ενός οργανισμού.
Πρέπει να προστατεύσουμε την πληροφορική όπως ασφαλίζουμε τα αεροπλάνα
Η εξαγωγή μιας αναλογίας από την ασφάλεια του αεροδρομίου προσφέρει μια διαφωτιστική προοπτική σχετικά με το πού η MGM και πολλά άλλα μπορεί να πηγαίνουν στραβά. Σκεφτείτε ένα αεροδρόμιο. Εδώ, τα κύρια περιουσιακά στοιχεία - τα αεροπλάνα - προστατεύονται από απειλές όπως βόμβες και όπλα. Το αεροπλάνο, όπως ένας διακομιστής σε έναν οργανισμό, είναι ο ευαίσθητος πόρος. Στο αεροδρόμιο, τα αυστηρά σημεία ελέγχου ασφαλείας διασφαλίζουν ότι δεν υπάρχει άμεση πρόσβαση σε αυτά τα αεροπλάνα χωρίς ενδελεχή έλεγχο. Ομοίως, σε μια καλά ασφαλή επιχείρηση, ένα ισχυρό σημείο ελέγχου ασφαλείας (ή ένα σημείο επιβολής πολιτικής) θα πρέπει να στέκεται ως φύλακας μπροστά στους διακομιστές, διασφαλίζοντας ότι δεν υπάρχει άμεση πρόσβαση χωρίς αυστηρούς ελέγχους.
Το πρωτόκολλο τριών βημάτων του TSA προσφέρει μια συναρπαστική αναλογία:
- Επαληθεύσεις ταυτότητας: Το προσωπικό ασφαλείας ελέγχει σχολαστικά την ταυτότητα ή το διαβατήριό σας, χρησιμοποιώντας ειδικά μηχανήματα για να διασφαλίσει τη γνησιότητά του.
- Σάρωση αποσκευών: Αυτός είναι ένας έλεγχος για πιθανές απειλές, διασφαλίζοντας ότι οι επιβάτες δεν μεταφέρουν επιβλαβή αντικείμενα.
- Επαναλάβετε την επαλήθευση: Όταν οι επιβάτες μετακινούνται από τις γενικές περιοχές του αεροδρομίου στις ζώνες επιβίβασης, υποβάλλονται σε αυτούς τους ελέγχους, διασφαλίζοντας συνεπή ασφάλεια.
Αυτό το πρωτόκολλο αεροδρομίου μπορεί να μεταφραστεί στην ψηφιακή σφαίρα της επιχείρησης:
- Έλεγχος ταυτότητας χρήστη: Η χρήση εργαλείων γνωστών ως πάροχοι ταυτότητας και η συμπλήρωση με μηχανισμούς ελέγχου ταυτότητας πολλαπλών παραγόντων, όπως οι επαληθεύσεις τηλεφώνου, διασφαλίζει ότι οι χρήστες είναι γνήσιοι.
- Έλεγχος ακεραιότητας συσκευής: Όπως και η σάρωση αποσκευών για απειλές, οι οργανισμοί πρέπει να σαρώνουν τις μεταφορές δεδομένων μεταξύ ευαίσθητων διακομιστών και υπηρεσιών για να διασφαλίσουν ότι δεν πραγματοποιείται αεροπειρατεία, αποτρέπεται η μη εξουσιοδοτημένη πρόσβαση και δεν μεταφέρεται ransomware σε αυτά τα συστήματα.
- Συνεχής επαλήθευση: Ακριβώς όπως οι ταξιδιώτες πρέπει να επαναλαμβάνουν τους ελέγχους TSA κάθε φορά που έχουν πρόσβαση στους χώρους επιβίβασης, ανεξάρτητα από το αν αυτή είναι η πρώτη ή η εκατοστή πτήση σας, περνάτε από τη διαδικασία ασφαλείας. Η κυβερνοασφάλεια χρειάζεται την ίδια αυστηρότητα, όπου επαληθεύουμε κάθε αίτημα από χρήστες για πρόσβαση σε πόρους. Αυτός είναι ο τρόπος εφαρμογής των σωστών στοιχείων ελέγχου πρόσβασης και εξουσιοδότησης, επομένως μόνο οι επαληθευμένοι χρήστες μπορούν να έχουν πρόσβαση στους πόρους που ζητούν. Η ψηφιακή πρόσβαση θα πρέπει να ελέγχεται συνεχώς. Ο έλεγχος του φορητού υπολογιστή ή της συσκευής κάθε φορά που θέλει να περάσει από τον έξω κόσμο στην μπροστινή πόρτα του διακομιστή εξασφαλίζει προστασία. Αυτό σημαίνει ότι πρέπει να γίνονται έλεγχοι και μεταξύ των συνδέσεων.
Το μειονέκτημα της MGM; Ενώ πραγματοποίησε το πρώτο βήμα - επαλήθευση ταυτότητας - παρέβλεψε τις κρίσιμες επόμενες φάσεις. Η ιδέα ότι απλώς η ενίσχυση προϊόντων ταυτότητας θα μπορούσε να διορθώσει τέτοιες παραβιάσεις είναι θεμελιωδώς εσφαλμένη. Είναι ανάλογο με ένα αεροδρόμιο που αυξάνει τους ελέγχους ταυτότητας, αλλά παραμελεί τη σάρωση αποσκευών, πιστεύοντας αφελώς ότι αυτό θα αποτρέψει επιβλαβή αντικείμενα από το να φτάσουν στο αεροπλάνο.
Μια καλύτερη προσέγγιση για την εξουσιοδότηση και την πρόσβαση
Για την εφαρμογή καλύτερων ελέγχων εξουσιοδότησης και πρόσβασης στον οργανισμό σας, σύμφωνα με το μοντέλο NIST 800-207 Zero Trust Architecture, το οποίο δηλώνει ότι οι αποφάσεις πρόσβασης ανά αίτημα πρέπει να επιβάλλονται για να αποτρέπεται η μη εξουσιοδοτημένη πρόσβαση σε συστήματα και υπηρεσίες, είναι ο πυρήνας για την αποτροπή παραβιάσεων . Αντικατάσταση της τεχνολογίας παλαιού τύπου — όπως VPN, VDI και διακομιστές μεσολάβησης εσωτερικής εγκατάστασης — με μηδενική αξιοπιστία Η λύση ασφαλούς πρόσβασης στην άκρη της υπηρεσίας παρέχει μεγαλύτερους ελέγχους πρόσβασης και εξουσιοδότησης και επιθεωρεί αιτήματα κάθε φορά. Είναι σημαντικό να εφαρμοστεί επίσης τυποποιημένος έλεγχος ταυτότητας πολλαπλών παραγόντων μαζί με κωδικούς πρόσβασης για καλύτερο έλεγχο της ταυτοποίησης.
Η κυβερνοεπίθεση MGM αποκάλυψε μια από τις κρίσιμες προκλήσεις στον κυβερνοχώρο που αντιμετωπίζουν οι σύγχρονοι οργανισμοί. Για να προστατεύσουμε τα ψηφιακά μας τοπία από ολοένα και πιο εξελιγμένες απειλές, πρέπει να ενημερώσουμε τις παλαιού τύπου τεχνολογίες και να προχωρήσουμε προς μια προσέγγιση μηδενικής εμπιστοσύνης, μια προσέγγιση που αντικατοπτρίζει την ολοκληρωμένη, πολυεπίπεδη ασφάλεια που βλέπουμε στα αεροδρόμιά μας. Ως κλάδος, πρέπει να βελτιώσουμε κατά πολύ τον τρόπο με τον οποίο προσεγγίζουμε την έγκριση και τους ελέγχους πρόσβασης για την καταπολέμηση εξελιγμένων απειλών.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/operations/identity-alone-wont-save-us-tsa-paradigm-mgm-hack
- :έχει
- :είναι
- :δεν
- :που
- $UP
- a
- Ικανός
- πρόσβαση
- Λογαριασμοί
- απέναντι
- φορείς
- προσθήκη
- Επιπλέον
- επηρεαστούν
- Συνδεδεμένος
- Μετά το
- κατά
- αεροπλάνα
- αεροδρόμιο
- Ασφάλεια αεροδρομίου
- αεροδρόμια
- alone
- κατά μήκος της πλευράς
- Επίσης
- ενίσχυση
- an
- Αναλυτές
- και
- απάντηση
- Εφαρμογή
- πλησιάζω
- αρχιτεκτονική
- ΕΙΝΑΙ
- περιοχές
- AS
- Ενεργητικό
- At
- ΑΤΜ
- επίθεση
- προσοχή
- Πιστοποίηση
- αυθεντικότητα
- εξουσιοδότηση
- πίσω
- BE
- γίνονται
- ήταν
- ξεκίνησε
- πιστεύοντας
- Καλύτερα
- μεταξύ
- επιβίβαση
- παραβίαση
- παραβιάσεις
- αλλά
- by
- που ονομάζεται
- CAN
- Κάρτες
- μεταφέρουν
- Καζίνο
- προκλήσεις
- έλεγχος
- έλεγχος
- έλεγχοι
- την καταπολέμηση της
- εταίρα
- συναρπαστικό
- περιεκτικός
- συμβιβασμός
- Εξετάστε
- συνεπής
- συνεχώς
- έλεγχος
- ελέγχους
- πυρήνας
- θα μπορούσε να
- δημιουργία
- κρίσιμης
- Σταυρός
- στον κυβερνοχώρο
- Ηλεκτρονική επίθεση
- Κυβερνασφάλεια
- ημερομηνία
- αποφάσεις
- παρατάσσω
- γραφείο
- συσκευή
- δύσκολος
- ψηφιακό
- κατευθύνει
- Αμεση πρόσβαση
- Θύρα
- άκρη
- Ηλεκτρονικός
- ηλεκτρονική πληρωμή
- τονίζω
- υπαλλήλους
- απασχολώντας
- επιβολή
- Μηχανική
- εξασφαλίζω
- εξασφαλίζει
- εξασφαλίζοντας
- Εταιρεία
- Ψυχαγωγία
- Περιβάλλον
- Κάθε
- αποδεδειγμένα
- Πρόσωπο
- γεγονότα
- την καταπολέμηση της
- Όνομα
- ελαττωματική
- πτήση
- επικεντρώθηκε
- Εξής
- Για
- από
- εμπρός
- θεμελιωδώς
- κέρδισε
- κερδίζει
- General
- γνήσια
- παίρνω
- γίγαντας
- Go
- μετάβαση
- χορήγηση
- μεγαλύτερη
- Group
- Μεγαλώνοντας
- κηδεμόνας
- σιδηροπρίονο
- χάκερ
- είχε
- επιβλαβής
- Έχω
- Τίτλοι
- βοήθεια
- εδώ
- ξενοδοχείο
- Πως
- Πώς να
- Ωστόσο
- HTTPS
- ID
- ιδέα
- Αναγνώριση
- ταυτότητες
- Ταυτότητα
- ΛΥΣΕΙΣ ΤΑΥΤΟΤΗΤΑΣ
- Επαλήθευση ταυτότητας
- if
- εφαρμογή
- σημαντικό
- βελτίωση
- in
- περιστατικό
- όλο και περισσότερο
- βιομηχανία
- διεισδύσει
- αντί
- ακεραιότητα
- εσωτερικός
- isn
- IT
- αντικειμένων
- ΤΟΥ
- jpg
- Κλειδί
- γνωστός
- ορόσημο
- τοπίο
- laptop
- LAS
- Λας Βέγκας
- Κληροδότημα
- νόμιμος
- Μου αρέσει
- κούτσουρο
- μηχανήματα
- Κατασκευή
- διαχείριση
- διαχείριση
- πολοί
- ύλη
- μέσα
- μηχανισμούς
- απλώς
- μέθοδοι
- σχολαστικά
- ενδέχεται να
- παρεξήγηση
- μοντέλο
- ΜΟΝΤΕΡΝΑ
- περισσότερο
- πλέον
- μετακινήσετε
- πολύ
- επαλήθευση πολλών παραγόντων
- Πολυεπίπεδο
- πρέπει
- Ανάγκη
- ανάγκες
- παραμέληση
- δίκτυο
- δίκτυα
- nist
- Όχι.
- Εννοια
- συμβούν
- που συμβαίνουν
- of
- προσφορές
- συχνά
- on
- ONE
- διαδικτυακά (online)
- αποκλειστικά
- επάνω σε
- or
- τάξη
- επιχειρήσεις
- οργανώσεις
- Άλλα
- δικός μας
- Διακοπές
- εκτός
- επί
- παράδειγμα
- διαβατήριο
- Κωδικοί πρόσβασης
- πληρωμή
- Συστήματα πληρωμών
- εκτελούνται
- Προσωπικό
- προοπτική
- Phishing
- τηλέφωνο
- αεροπλάνο
- Αεροπλάνα
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- πολιτική
- δυναμικού
- πρόληψη
- πρόληψη
- πρωταρχικός
- διαδικασια μας
- Προϊόντα
- κατάλληλος
- δεόντως
- ιδιότητες
- προστασία
- προστασία
- πρωτόκολλο
- Παρόχους υπηρεσιών
- παρέχει
- πληρεξούσιοι
- ράμπες
- ransomware
- Επίθεση Ransomware
- Πραγματικότητα
- βασίλειο
- πρόσφατος
- επαναλαμβάνω
- Αναφορά
- ζητήσει
- αιτήματα
- Resorts
- πόρος
- Υποστηρικτικό υλικό
- Αποκαλυφθε'ντα
- δικαιώματα
- αυστηρός
- εύρωστος
- Δωμάτιο
- s
- ίδιο
- Αποθήκευση
- λένε
- σάρωση
- σάρωσης
- προστατευμένο περιβάλλον
- ασφάλεια
- δείτε
- φαινομενικώς
- ευαίσθητος
- αποστέλλονται
- διακομιστής
- Διακομιστές
- υπηρεσία
- Υπηρεσίες
- διάφοροι
- θα πρέπει να
- Ομοίως
- απλά
- ενιαίας
- θυρίδα
- So
- Μ.Κ.Δ
- Κοινωνική μηχανική
- λύση
- Λύσεις
- εξελιγμένα
- ειδική
- σταθεί
- τυποποιημένη
- Μελών
- Βήμα
- κατάστημα
- αυστηρός
- ισχυρότερη
- μεταγενέστερος
- τέτοιος
- Προτείνει
- συστήματα
- T
- Τεχνολογίες
- Τεχνολογία
- ότι
- Η
- η ασφάλεια
- τους
- Τους
- Εκεί.
- Αυτοί
- αυτοί
- αυτό
- εκείνοι
- απειλή
- απειλή
- απειλές
- τριών βημάτων
- Μέσω
- ώρα
- προς την
- εργαλεία
- προς
- μεταφέρονται
- μεταβιβάσεις
- μεταφραστεί
- ταξιδιώτες
- Εμπιστευθείτε
- ανεξουσιοδότητος
- υφίσταμαι
- κατανόηση
- Ενημέρωση
- us
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- χρησιμοποιώ
- VEGAS
- Επαλήθευση
- επαληθεύσεις
- επαληθεύεται
- επαληθεύει
- επαληθεύοντας
- vishing
- Φωνή
- VPN
- θέλει
- ήταν
- Τρόπος..
- we
- Όπλα
- ΛΟΙΠΌΝ
- ήταν
- πότε
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- διαδεδομένη
- θα
- με
- εντός
- χωρίς
- Κέρδισε
- κόσμος
- θα
- Λανθασμένος
- εσείς
- Σας
- zephyrnet
- μηδέν
- μηδενική αξιοπιστία
- ζώνες