Izraelský státní kontrolor odhalil selhání v zabezpečení vládní práce na dálku

Izraelský státní kontrolor odhalil selhání v zabezpečení vládní práce na dálku

Zpráva izraelského státního kontrolora odhalila vážná selhání v zabezpečení VPN pro práci na dálku napříč několika vládními ministerstvy a záchrannými složkami. Zjištění vykreslují znepokojivý obraz: fragmentované systémy ověřování, citlivá data uložená ve špatně zabezpečených sdílených discích a nastavení vzdáleného přístupu, která vystavují kritickou infrastrukturu útočníkům, zejména skupinám napojeným na íránský stát. Přestože je zpráva specifická pro Izrael, popsané zranitelnosti zdaleka nejsou jedinečné pro žádnou zemi nebo organizaci.

Co zpráva izraelského kontrolora skutečně zjistila

Audit státního kontrolora identifikoval tři hlavní kategorie selhání. Zaprvé, ověřovací systémy napříč úřady byly fragmentované, což znamená, že různá ministerstva používala nekonzistentní nebo nekompatibilní metody k ověření identity uživatele. Tento mozaikovitý přístup vytváří mezery, které mohou útočníci využít k laterálnímu pohybu napříč systémy poté, co získají počáteční přístup.

Zadruhé, nastavení práce na dálku byla shledána nebezpečně zranitelnými. Když vlády po celém světě během pandemie a po ní rychle rozšiřovaly vzdálený přístup, mnoho úřadů tak činilo bez uplatňování jednotných bezpečnostních standardů. Izraelská zpráva odráží to, co bezpečnostní výzkumníci široce zdokumentovali: tlak na umožnění vzdálené produktivity často předběhl implementaci odpovídajících bezpečnostních kontrol.

Zatřetí, citlivá data byla nalezena uložená na sdílených discích bez odpovídajících kontrol přístupu. Když jsou soubory obsahující vládní nebo provozní data přístupné širokým skupinám uživatelů s minimálním dohledem, jediný kompromitovaný účet může odhalit obrovské množství materiálu.

Proč jsou fragmentované ověřování a sdílené disky univerzální hrozbou

Selhání identifikovaná v této zprávě nejsou výhradně izraelským problémem. Odrážejí vzorce pozorované v organizacích napříč všemi sektory. Fragmentované ověřování je obzvláště běžné ve velkých institucích, které rostly prostřednictvím fúzí, rozpočtových cyklů nebo rychlé expanze. Každé oddělení přijímá nástroje nezávisle a nikdy není napříč organizací zavedena jednotná vrstva správy identit.

To je důležité, protože ověřování je první linií obrany. Když zaměstnanci používají slabá nebo opakovaně používaná hesla napříč systémy, nebo když je vícefaktorové ověřování aplikováno nekonzistentně, celá síť je jen tak silná, jako její nejslabší přihlašovací údaje. Rozsah odhalených přihlašovacích údajů v oběhu je ohromující. Únik RockYou2024, který odhalil přes 19 miliard kompromitovaných hesel, ilustruje, jak obrovská je zásoba zneužitelných přihlašovacích údajů, kterou mají útočníci k dispozici. Každá organizace, která se spoléhá pouze na hesla bez vrstveného ověřování, hazarduje se svými nejcitlivějšími daty.

Sdílené disky toto riziko významně zvyšují. I při dobrém perimetrickém zabezpečení se uživatel, který má legitimní přístup ke sdílené složce obsahující citlivé soubory, stává nevědomým vektorem útoku ve chvíli, kdy jsou jeho přihlašovací údaje kompromitovány.

Jak zranitelná nastavení práce na dálku ohrožují citlivá data

Práce na dálku zásadně mění model hrozeb pro každou organizaci. V kancelářském prostředí provoz obvykle proudí přes centrálně spravované sítě, kde mají bezpečnostní týmy přehled. Vzdálení pracovníci se připojují z domácích sítí, osobních zařízení a někdy i z veřejné Wi-Fi, což vše přináší proměnné, které je obtížné ve velkém měřítku kontrolovat.

Když je vzdálený přístup nakonfigurován bez bezpečného VPN tunelu, může být provoz mezi zaměstnancem a interními systémy zachycen nebo sledován. Ještě kritičtější je, že pokud není přístup přes VPN spojen se silným ověřováním, stačí útočníkovi ukradené přihlašovací údaje, aby se uvnitř síťového perimetru jevil jako legitimní uživatel.

Izraelská zpráva zdůrazňuje, že i vládní agentury, které teoreticky disponují specializovanými zdroji pro kybernetickou bezpečnost a regulačními mandáty, měly potíže s implementací konzistentního zabezpečení vzdáleného přístupu. Pro soukromé organizace s menšími zdroji je tato výzva ještě větší. Mezera mezi nasazením VPN a jejím správným nakonfigurováním a vymáháním u každého vzdáleného uživatele je místem, kde se mnoho organizací ocitá vystaveno riziku.

Architektura nulové důvěry a VPN: Praktické lekce pro vzdálené pracovníky

Izraelský audit implicitně poukazuje na soubor principů, které bezpečnostní profesionálové prosazují již léta pod hlavičkou architektury nulové důvěry. Hlavní myšlenka je jednoduchá: automaticky nedůvěřovat žádnému uživateli ani zařízení, a to ani těm uvnitř sítě. Každý požadavek na přístup by měl být ověřen, každé připojení zaznamenáno a přístup by měl být omezen pouze na to, co je nezbytné pro danou roli.

Pro vzdálené pracovníky a organizace, které je podporují, se to promítá do několika konkrétních postupů. VPN zůstávají základní vrstvou pro šifrování provozu mezi vzdálenými koncovými body a interními systémy, ale nemělo by se s nimi zacházet jako s kompletním řešením samy o sobě. Musí být kombinovány s vícefaktorovým ověřováním, kontrolou stavu zařízení a granulárními přístupovými právy, která zabrání jedinému kompromitovanému účtu dosáhnout na všechno.

Sdílené disky by měly být pravidelně auditovány s omezením přístupu na principu „potřeby znát“. Citlivé soubory by neměly být standardně přístupné všem v organizaci jen proto, že jsou tam zaměstnáni.

Co to znamená pro vás

Zjištění izraelského státního kontrolora slouží jako praktický kontrolní seznam pro každou organizaci nebo vzdáleného pracovníka, který hodnotí svou vlastní bezpečnostní pozici. Pokud vaše nastavení vzdáleného přístupu spoléhá na hesla bez druhého ověřovacího faktoru, jedná se o známou zranitelnost. Pokud váš tým ukládá citlivé dokumenty do široce přístupných sdílených složek, je toto vystavení reálné.

Začněte auditem svých vlastních ověřovacích postupů. Slabé přihlašovací údaje zůstávají jedním z nejčastějších vstupních bodů pro útočníky a úniky hesel, jako je RockYou2024, znamenají, že hesla znovu použitá z jiných úniků jsou již v rukou útočníků. Povolte vícefaktorové ověřování všude, kde je k dispozici, používejte renomovanou VPN pro všechna vzdálená připojení k pracovním systémům a prosazujte revizi toho, kdo má skutečně přístup k citlivým sdíleným souborům ve vaší organizaci.

Selhání na vládní úrovni jsou připomínkou, že žádná instituce není příliš velká nebo příliš oficiální, aby ji nezasáhly základní bezpečnostní mezery. Dobrou zprávou je, že způsoby zmírnění jsou dobře známy. Jednat podle nich je ta část, která vyžaduje cílevědomé úsilí.