Klue-hack rammer Huntress, HackerOne og 3 andre sikkerhedsfirmaer

Klue-hack rammer Huntress, HackerOne og 3 andre sikkerhedsfirmaer

Et brud på markedsintelligensplatformen Klue har udløst en forsyningskædehændelse for cybersikkerhedsfirmaers databrud, der påvirker nogle af de mest anerkendte navne i branchen. Huntress, HackerOne, Jamf, Recorded Future og Tanium har alle bekræftet, at data blev stjålet som en direkte følge af det tidligere Klue-kompromittering. Hændelsen er en skarp påmindelse om, at selv organisationer, hvis forretningsmodel udelukkende er bygget på at beskytte andre, kan blive ramt af en leverandør, de stolede på.

Hvilke cybersikkerhedsfirmaer blev ramt, og hvilke data blev taget

De fem bekræftede ofre spænder over et bredt udsnit af cybersikkerhedssektoren. Huntress fokuserer på administreret detektering og respons for små og mellemstore virksomheder. HackerOne driver en af verdens mest anvendte platforme til bugbounties og sårbarhedsoplysning. Jamf specialiserer sig i administration af Apple-enheder til virksomhedskunder. Recorded Future er en fremtrædende udbyder af trusselsintelligens. Tanium leverer endpoint-administration og sikkerhed i stor skala.

Alle fem er kunder hos Klue. Klue er en markedsintelligensplatform, der hjælper virksomheder med at spore konkurrenters aktiviteter, typisk ved at indtage data fra en række tilsluttede forretningsværktøjer. Netop denne forbundethed gjorde det til et højværdimål. Fordi Klue havde autoriserede integrationer med sine kunders systemer, kunne et brud hos Klue bruges som et springbræt ind i disse kunders miljøer uden nogensinde at angribe kunderne direkte.

De specifikke data, der blev stjålet fra hvert firma, er ikke blevet fuldt oplyst, men eksponeringen involverede kundevendte forretningssystemer snarere end ren intern driftsinfrastruktur.

Hvordan Klues brud blev et forsyningskædeangreb på sikkerhedsleverandører

Mekanikken i, hvordan dette spredte sig fra ét markedsanalysefirma til fem cybersikkerhedsvirksomheder, viser præcis, hvorfor forsyningskædeangreb er blevet så attraktive for trusselsaktører. I stedet for direkte at forsøge at bryde ind hos en hærdet sikkerhedsleverandør, kompromitterer en angriber et blødere opstrømsmål, der allerede har nøglerne.

I Klues tilfælde involverede angrebsvektoren en OAuth-sårbarhed, der gjorde det muligt for en trusselsgruppe at få uautoriseret adgang til tilsluttede Salesforce CRM-data. Som dækket i tidligere rapportering om Klue OAuth-bruddet, der muliggjorde Salesforce CRM-datatyveri, udnyttede den trusselsgruppe, der kaldes "Icarus", denne autentifikationsfejl til at bevæge sig lateralt ind i Salesforce-miljøerne hos flere Klue-kunder. Når først inde i disse CRM-systemer, havde angriberne adgang til strukturerede forretningsdata, som virksomheder typisk betragter som meget følsomme: kunderegistre, pipeline-information, aftalehistorik og kontokontakter.

Dette er et skoleeksempel på et forsyningskædekompromittering. Offerorganisationerne gjorde intet teknisk forkert i, hvordan de sikrede deres egen infrastruktur. Deres eksponering kom udelukkende fra at have tillid til en tredjepart, der til gengæld ikke formåede at beskytte de OAuth-integrationer, den administrerede, tilstrækkeligt.

Hvorfor sikkerhedsvirksomheder er højværdimål for trusselsaktører

Det kan virke kontraintuitivt, at en trusselsaktør specifikt går efter cybersikkerhedsfirmaer. Disse organisationer ansætter ekspertpraktikere, opretholder modne sikkerhedsprogrammer og bygger ofte selve de værktøjer, der bruges til at opdage og reagere på angreb.

Men denne ekspertise er et tveægget sværd. Sikkerhedsvirksomheder besidder ekstremt følsomme data. HackerOnes platform sidder f.eks. i skæringspunktet mellem sårbarhedsforskning og virksomhedsoplysning. Recorded Future aggregerer trusselsintelligens, der i de forkerte hænder kan afsløre, hvad forsvarere ved og ikke ved om aktive trusler. Huntress har dyb indsigt i netværkene hos tusindvis af små virksomheder. En modstander, der kan få adgang til nogen af disse systemer, får ikke blot data, men strategisk intelligens om det bredere sikkerhedsøkosystem.

Desuden er sikkerhedsleverandører ofte dybt integrerede i kundemiljøer, netop fordi deres produkter kræver privilegeret adgang for at fungere. Denne integration skaber mere angrebsflade, ikke mindre. Virksomhederne, der var mål for Klue-hændelsen, blev ikke brudt via deres egne produkter, men værdien af det, der var tilgængeligt via deres CRM-systemer, var sandsynligvis betydelig nok til at gøre indsatsen umagen værd.

Mønsteret her genlyder også andre højtprofilerede forsyningskædehændelser, hvor mellemhandlere fungerede som indgangspunkt til ellers velbeskyttede organisationer. Markedsanalyse- og konkurrentintelligensplatforme, der rutinemæssigt forbinder til CRM'er og salgsværktøjer for at indtage og analysere data, repræsenterer en ny risikokategori, som mange sikkerhedsteams historisk ikke har prioriteret i deres leverandørvurderinger.

Hvad dette betyder for dig

Hvis du arbejder hos eller med nogen af de berørte firmaer, er det umiddelbare skridt at kontrollere, om dine kontodata eller forretningsoplysninger befandt sig i de Salesforce-miljøer, der blev tilgået. Kontakt leverandøren direkte og anmod om specifikke oplysninger om, hvilke kategorier af data der blev eksponeret.

Mere generelt understreger denne hændelse flere konkrete praksisser for enhver organisation, der vurderer sin egen risikoeksponering:

• Gennemgå jævnligt dine OAuth- og tredjepartsintegrationer. Enhver platform, der er godkendt til at oprette forbindelse til dine CRM-, e-mail- eller forretningsværktøjer, har en tillidsrelation, der skal gennemgås og begrænses til de minimumsnødvendige tilladelser.
• Segmentér adgang aggressivt. Leverandører bør kun få adgang til de data, de har brug for for at udføre deres specifikke funktion. Et markedsintelligensværktøj, der har brug for konkurrentsporingsdata, har ikke brug for fuld CRM-adgang.
• Anvend forsvarsdybde-strategier på tværs af din leverandørstak. Ingen enkelt sikkerhedskontrol er tilstrækkelig. Lagdeling af overvågning, adgangskontroller og anomaliopdagelse på tværs af leverandørintegrationer reducerer sprængningsradius for ethvert enkelt kompromittering.
• Behandl din leverandørliste som en del af din angrebsflade. Hvert eneste SaaS-værktøj, din organisation opretter forbindelse til, er et potentielt indgangspunkt. Periodiske gennemgange af, hvilke leverandører der har hvilke adgangsoplysninger, kan afsløre uventet eksponering, før en angriber gør det.

Klue-hændelsen er et nyttigt case-studie i, hvordan forsyningskædeangreb fungerer i praksis. Angriberne behøvede ikke at slå Huntress eller HackerOne i deres eget spil. De fandt et blødere indgangspunkt, udnyttede det og indsamlede, hvad der var der. For privatlivsbevidste brugere og sikkerhedsbevidste organisationer er lektionen, at din sikkerhedsposition kun er så stærk som den svageste integration i dit leverandørøkosystem. At gennemgå disse forbindelser nu, før den næste hændelse, er det mest handlingsorienterede, enhver organisation kan gøre.