Угроза инсайдера, которого вы не нанимали

Компрометация учетных данных и обход MFA переопределили внутреннюю угрозу. Атакующий, входящий в систему с украденными токенами сессии, выглядит идентично вашему самому доверенному сотруднику — и большинство программ по обнаружению внутренних угроз не предназначены для их выявления.

Программы по внутренней угрозе строились на поведенческой модели: наблюдение за сотрудниками, проявляющими признаки недовольства, выявление необычного выхода данных, усиление мер при увольнении. Эта модель охватывает примерно половину текущего ландшафта внутренней угрозы. Другая половина — внешние злоумышленники, получившие доступ уровня инсайдера, никогда не появляясь в списке сотрудников.

Отчет Mandiant M-Trends 2024 зафиксировал медианный время пребывания злоумышленника внутри сети — десять дней до обнаружения, что достаточно для достижения большинства стратегических целей. Что изменилось — это способ проникновения. Использование легитимных учетных данных, а не уязвимостей нулевого дня, было наиболее часто наблюдаемым методом первоначального доступа в расследованиях Mandiant третий год подряд. Они не взламывают систему. Они входят в нее.

Техники обхода, делающие это возможным, не являются экзотическими. Фишинговые комплекты типа Adversary-in-the-middle — Evilginx2, Modlishka — доступны открыто и проксируют сессии аутентификации в реальном времени, захватывая токены сессий после прохождения легитимного MFA. Злоумышленник, импортировавший этот cookie в браузер, получает тот же аутентифицированный доступ, что и настоящий пользователь, включая любые привилегии, подтвержденные MFA. Событие MFA произошло. Но оно не подтвердило правильного человека.

Два инцидента ясно показывают, как эксплуатируется этот пробел. В сентябре 2022 года злоумышленник нацелился на подрядчика Uber, отправляя повторные push-уведомления MFA поздно ночью, а затем отправил сообщение в WhatsApp, выдавая себя за службу поддержки Uber, и попросил одобрить одно из них. Подрядчик одобрил. В течение нескольких минут злоумышленник получил доступ к внутреннему Slack Uber, AWS-консоли, Google Cloud и базе данных уязвимостей HackerOne — включая детали неустаревших уязвимостей, еще не раскрытых публично. Вектор доступа: push-уведомление и сообщение социальной инженерии.

Через две недели Cisco сообщила о почти идентичном инциденте. Злоумышленник получил учетные данные сотрудника через фишинг, а затем использовал усталость от push-уведомлений — затопляя сотрудника запросами на одобрение — чтобы получить доступ к VPN. Попав внутрь, он перемещался по корпоративной сети и exfiltrировал данные до обнаружения. В обоих случаях MFA было пройдено. В обоих случаях оно подтвердило личность злоумышленника.

Отчет Verizon Data Breach Investigations Report 2024 показал, что украденные учетные данные участвовали в 44% всех анализируемых утечек — значительная часть из них обходила механизмы аутентификации не через сам механизм, а через слой управления сессиями выше. Именно там большинство программ безопасности не расширили свои контрольные меры.

Закрытие этого пробела требует изменений на нескольких уровнях. Во-первых, переход на MFA, устойчивое к фишингу. Аппаратные ключи FIDO2 и привязанные к устройству пароли не уязвимы к атакам типа Adversary-in-the-middle — криптографический вызов-ответ одновременно привязан к домену и устройству. CISA официально рекомендовала всем критическим инфраструктурам использовать MFA, устойчивое к фишингу, в качестве минимального уровня аутентификации. Это уже не мечта — это базовый уровень.

Во-вторых, аутентификация не должна быть однократным барьером при входе. Поведенческая биометрия, проверка состояния устройства, контекст сети и периодические повторные проверки аутентификации должны оцениваться на протяжении всей активной сессии, чтобы обнаружить кражу токена после первоначального события. Microsoft Continuous Access Evaluation и реализация CAEP от Okta уже готовы к использованию в производстве.

В-третьих, инструменты обнаружения внутренней угрозы, настроенные только на поведенческие нормы сотрудников, пропускают активность скомпрометированных аккаунтов, когда злоумышленники успешно имитируют нормальное поведение изначально. Правила анализа поведения пользователей должны выявлять доступ с новых отпечатков устройств, аномалии геолокации и невозможные перемещения — даже если MFA было успешно пройдено в связанной сессии. А атаки на усталость от push-уведомлений можно предотвратить: требование сопоставить отображаемое число в запросе аутентификации и включение контекстных сигналов, таких как местоположение, устройство и запрашиваемое приложение, дают сотрудникам достаточно информации для распознавания мошеннического запроса до его одобрения.

Программы по внутренней угрозе, ориентированные исключительно на поведение сотрудников, имеют растущий разрыв в обнаружении. Организации, не интегрирующие мониторинг компрометации учетных данных, постоянную проверку сессий и обнаружение атак типа Adversary-in-the-middle в свои рамки, продолжат сталкиваться с утечками, вызванными злоумышленниками, которых они сами допустили, и не смогут их обнаружить, пока не будет нанесен ущерб.

Архитектура для решения этой проблемы существует. Пробел — не в возможностях. В организационной воле расширить мандат программы внутренней угрозы за рамки первоначальной ориентированности на сотрудников. Внешний актор с доступом инсайдера — это инсайдерская угроза. Программы безопасности должны начать рассматривать их как таковых.

Источники: Mandiant M-Trends 2024 (Google Cloud Security); Verizon Data Breach Investigations Report 2024; CISA Phishing-Resistant MFA Guidance (2023); Microsoft Security Blog on AiTM phishing detection (2023); FIDO Alliance FIDO2 Technical Brief (2023).