Ударът срещу Klue засяга Huntress, HackerOne и още 3 компании за сигурност

Ударът срещу Klue засяга Huntress, HackerOne и още 3 компании за сигурност

Пробив в платформата за пазарно разузнаване Klue предизвика верижен инцидент с изтичане на данни, засягащ едни от най-разпознаваемите имена в индустрията. Huntress, HackerOne, Jamf, Recorded Future и Tanium потвърдиха, че техни данни са били откраднати като пряка последица от по-ранния пробив в Klue. Инцидентът е остър напомняне, че дори организации, чийто цялостен бизнес модел е изграден около защитата на други, могат да бъдат повалени от доставчик, на когото са се доверили.

Кои компании за киберсигурност бяха засегнати и какви данни бяха взети

Петте потвърдени жертви обхващат широк спектър от сектора на киберсигурността. Huntress се фокусира върху управлявано откриване и реагиране за малки и средни предприятия. HackerOne управлява една от най-широко използваните в света платформи за награди за откриване на уязвимости и за разкриване на уязвимости. Jamf специализира в управлението на устройства на Apple за корпоративни клиенти. Recorded Future е водещ доставчик на разузнаване за заплахи. Tanium предлага управление на крайни точки и сигурност в голям мащаб.

И петте компании са клиенти на Klue. Klue е платформа за пазарно разузнаване, която помага на компаниите да проследяват активността на конкурентите, като обикновено поглъща данни от набор от свързани бизнес инструменти. Именно тази свързаност я превърна във високоценна цел. Тъй като Klue имаше оторизирани интеграции със системите на своите клиенти, пробив в Klue можеше да бъде използван като трамплин към средите на тези клиенти, без изобщо да бъдат атакувани директно самите клиенти.

Конкретните данни, откраднати от всяка фирма, не са напълно оповестени, но излагането е засегнало ориентирани към клиенти бизнес системи, а не чисто вътрешна оперативна инфраструктура.

Как пробивът в Klue се превърна в атака по веригата на доставки срещу доставчици на сигурност

Механиката на това как инцидентът каскадно премина от една фирма за пазарни проучвания към пет компании за киберсигурност илюстрира точно защо атаките по веригата на доставки са станали толкова привлекателни за заплашващите участници. Вместо да се опитват да пробият пряко укрепен доставчик на сигурност, нападателите компрометират по-уязвима цел нагоре по веригата, която вече държи ключовете.

В случая с Klue векторът на атака включваше OAuth уязвимост, която позволи на заплашваща група да получи неоторизиран достъп до свързани Salesforce CRM данни. Както беше отразено в по-ранно репортуване за OAuth пробива в Klue, който позволи кражба на данни от Salesforce CRM, групата за заплахи, известна като „Икар“, е използвала този недостатък в удостоверяването, за да се придвижи странично в Salesforce средите на множество клиенти на Klue. Веднъж попаднали в тези CRM системи, нападателите са имали достъп до структурирани бизнес данни, които компаниите обикновено третират като изключително чувствителни: клиентски записи, информация за продажбените потоци, история на сделките и контакти на клиенти.

Това е класически пример за компрометиране по веригата на доставки. Организациите-жертви не са направили нищо технически неправилно в начина, по който са осигурили собствената си инфраструктура. Тяхното излагане произлезе изцяло от доверието към трета страна, която на свой ред не успя да защити адекватно OAuth интеграциите, които управляваше.

Защо компаниите за сигурност са високоценни цели за заплашващите участници

Може да изглежда нелогично, че заплашващ участник би се насочил специално към фирми за киберсигурност. Тези организации наемат експерти практици, поддържат зрели програми за сигурност и често изграждат самите инструменти, използвани за откриване и реагиране на атаки.

Но тази експертиза е нож с две остриета. Компаниите за сигурност държат изключително чувствителни данни. Платформата на HackerOne, например, се намира на пресечната точка на изследването на уязвимости и корпоративното разкриване. Recorded Future агрегира разузнаване за заплахи, което в грешни ръце може да разкрие какво защитниците знаят и не знаят за активните заплахи. Huntress има дълбока видимост в мрежите на хиляди малки предприятия. Противник, който получи достъп до която и да е от тези системи, печели не просто данни, а стратегическо разузнаване за по-широката екосистема за сигурност.

Освен това доставчиците на сигурност често са дълбоко интегрирани в средите на клиентите именно защото техните продукти изискват привилегирован достъп, за да вършат работата си. Тази интеграция създава повече повърхност за атака, а не по-малко. Компаниите, обект на инцидента с Klue, не бяха пробити чрез собствените си продукти, но стойността на достъпното чрез техните CRM системи вероятно беше достатъчно значителна, за да си струва усилието.

Моделът тук също така напомня за други известни инциденти по веригата на доставки, при които посреднически доставчици послужиха като входна точка към иначе добре защитени организации. Платформите за пазарни проучвания и конкурентно разузнаване, които рутинно се свързват с CRM и инструменти за продажби, за да поглъщат и анализират данни, представляват нововъзникваща категория риск, която много екипи по сигурността не са приоритизирали исторически в своите оценки на доставчиците.

Какво означава това за вас

Ако работите в или със засегнатите фирми, непосредствената стъпка е да проверите дали данните на вашия акаунт или бизнес информация се съхраняват в достъпените Salesforce среди. Свържете се директно с доставчика и поискайте конкретни детайли за това кои категории данни са били изложени.

По-общо, този инцидент подчертава няколко конкретни практики за всяка организация, оценяваща собствената си експозиция на риск:

• Одитирайте редовно вашите OAuth интеграции и интеграции с трети страни. Всяка платформа, оторизирана да се свързва с вашия CRM, имейл или бизнес инструменти, има доверителна връзка, която трябва да бъде преглеждана и ограничавана до минимално необходимите разрешения.
• Агресивно сегментирайте достъпа. Доставчиците трябва да получават достъп само до данните, от които се нуждаят, за да изпълнят конкретната си функция. Инструмент за пазарно разузнаване, който се нуждае от данни за проследяване на конкуренти, не се нуждае от пълен CRM достъп.
• Прилагайте стратегии за защита в дълбочина върху целия си стек от доставчици. Нито един единичен контрол за сигурност не е достатъчен. Наслояването на наблюдение, контроли за достъп и откриване на аномалии в интеграциите с доставчици намалява обхвата на поражението при всеки отделен пробив.
• Третирайте списъка си с доставчици като част от вашата повърхност за атака. Всеки SaaS инструмент, към който вашата организация се свързва, е потенциална точка за проникване. Периодичните прегледи на това кои доставчици държат какви удостоверения за достъп могат да разкрият неочаквана експозиция, преди нападателят да го направи.

Инцидентът с Klue е полезен казус за това как атаките по веригата на доставки работят на практика. Нападателите не е трябвало да побеждават Huntress или HackerOne в тяхната собствена игра. Те откриха по-уязвима входна точка, експлоатираха я и събраха това, което беше там. За потребителите, грижещи се за поверителността, и за организациите с осъзнато отношение към сигурността, урокът е, че вашата позиция по сигурност е толкова силна, колкото най-слабата интеграция в екосистемата от доставчици. Преглеждането на тези връзки сега, преди следващия инцидент, е най-действеното нещо, което всяка организация може да направи.