Klue-hakkerointi iskee Huntressiin, HackerOneen ja kolmeen muuhun tietoturvayritykseen

Klue-hakkerointi iskee Huntressiin, HackerOneen ja kolmeen muuhun tietoturvayritykseen

Markkinatietoalustan Klue tietomurto on laukaissut kyberturvayritysten tietomurron toimitusketjuhäiriön, joka vaikuttaa alan tunnetuimpiin nimiin. Huntress, HackerOne, Jamf, Recorded Future ja Tanium ovat kaikki vahvistaneet, että heidän tietojaan on varastettu suorana seurauksena aiemmasta Klue-murrosta. Tapaus on karu muistutus siitä, että jopa organisaatiot, joiden koko liiketoimintamalli rakentuu muiden suojaamiseen, voivat kaatua luottamansa toimittajan takia.

Mitkä kyberturvayritykset joutuivat kohteeksi ja mitä tietoja vietiin

Viisi vahvistettua uhria kattaa laajan osan kyberturvasektoria. Huntress keskittyy hallittuun havainnointiin ja reagointiin pieniä ja keskisuuria yrityksiä varten. HackerOne ylläpitää yhtä maailman käytetyimmistä bugipalkkio- ja haavoittuvuusjulkistusalustoista. Jamf on erikoistunut Apple-laitteiden hallintaan yritysasiakkaille. Recorded Future on merkittävä uhkatiedustelupalveluiden tarjoaja. Tanium toimittaa päätelaitteiden hallintaa ja turvallisuutta suuressa mittakaavassa.

Kaikki viisi ovat Klue-asiakkaita. Klue on markkinatietoalusta, joka auttaa yrityksiä seuraamaan kilpailijoiden toimintaa, tyypillisesti hyödyntäen tietoja useista yhdistetyistä liiketoimintatyökaluista. Juuri tämä kytkeytyneisyys teki siitä korkean arvon kohteen. Koska Klue oli valtuuttanut integraatiot asiakkaidensa järjestelmiin, tietomurto Kluessa voitiin aseistaa ponnahduslaudaksi näiden asiakkaiden ympäristöihin ilman, että asiakkaisiin koskaan hyökättiin suoraan.

Kultakin yritykseltä vietyjä tietoja ei ole täysin julkistettu, mutta tietovuoto koski asiakasrajapinnassa olevia liiketoimintajärjestelmiä eikä puhtaasti sisäistä operatiivista infrastruktuuria.

Miten Klue-murrosta tuli toimitusketjuhyökkäys tietoturvatoimittajiin

Mekaniikka, jolla tämä eteni yhdestä markkinatutkimusyhtiöstä viiteen kyberturvayritykseen, kuvastaa juuri sitä, miksi toimitusketjuhyökkäyksistä on tullut niin houkuttelevia uhkatoimijoille. Sen sijaan, että hyökättäisiin suoraan karaistun tietoturvatoimittajan kimppuun, hyökkääjä murtautuu pehmeämpään ylävirran kohteeseen, jolla jo on avaimet.

Klue-tapauksessa hyökkäysvektori hyödynsi OAuth-haavoittuvuutta, jonka avulla uhkaryhmä sai luvattoman pääsyn yhdistettyyn Salesforce CRM -tietoon. Kuten aiemmassa raportoinnissa Klue OAuth -murrosta, joka mahdollisti Salesforce CRM -tietojen varkauden kerrottiin, ”Icaruksena” tunnettu uhkaryhmä käytti tätä todennusheikkoutta liikkuakseen sivuttain useiden Klue-asiakkaiden Salesforce-ympäristöihin. Päästyään CRM-järjestelmiin hyökkääjillä oli pääsy jäsenneltyyn liiketoimintatietoon, jota yritykset yleensä pitävät erittäin arkaluonteisena: asiakastietueisiin, myyntiputkitietoihin, kauppahistoriaan ja asiakkaiden yhteystietoihin.

Tämä on oppikirjanomainen toimitusketjun kompromissi. Uhriorganisaatiot eivät tehneet mitään teknisesti väärin suojatessaan omaa infrastruktuuriaan. Heidän altistumisensa johtui täysin luottamuksesta kolmanteen osapuoleen, joka puolestaan epäonnistui hallinnoimiensa OAuth-integraatioiden riittävässä suojaamisessa.

Miksi tietoturvayritykset ovat korkean arvon kohteita uhkatoimijoille

Saattaa vaikuttaa ristiriitaiselta, että uhkatoimija iskisi juuri kyberturvayrityksiin. Nämä organisaatiot työllistävät asiantuntijoita, ylläpitävät kypsiä tietoturvaohjelmia ja usein rakentavat juuri niitä työkaluja, joita käytetään hyökkäysten havaitsemiseen ja niihin vastaamiseen.

Mutta tuo asiantuntemus toimii molempiin suuntiin. Tietoturvayritykset hallussaan pitävät poikkeuksellisen arkaluonteista tietoa. Esimerkiksi HackerOnen alusta sijaitsee haavoittuvuustutkimuksen ja yritysten julkistusten risteyskohdassa. Recorded Future kokoaa uhkatiedustelua, joka vääriin käsiin joutuessaan voisi paljastaa, mitä puolustajat tietävät ja eivät tiedä aktiivisista uhkista. Huntressilla on syvä näkyvyys tuhansien pienten yritysten verkkoihin. Hyökkääjä, joka pääsee käsiksi mihin tahansa näistä järjestelmistä, saa paitsi tietoja, myös strategista tiedustelua laajemmasta turvallisuusekosysteemistä.

Lisäksi tietoturvatoimittajat ovat usein syvälle integroituja asiakasympäristöihin juuri siksi, että heidän tuotteensa vaativat etuoikeutettua pääsyä tehtäviensä hoitamiseksi. Tämä integraatio luo enemmän hyökkäyspintaa, ei vähemmän. Klue-tapauksessa kohteena olleisiin yrityksiin ei murtauduttu heidän omien tuotteidensa kautta, mutta CRM-järjestelmien kautta saavutettavissa olleen tiedon arvo oli todennäköisesti niin merkittävä, että ponnistus kannatti.

Tämä kuvio kaikuu myös muita korkean profiilin toimitusketjuhyökkäyksiä, joissa välilliset toimittajat toimivat sisääntulopisteenä muuten hyvin puolustettuihin organisaatioihin. Markkinatutkimus- ja kilpailijatiedustelualustat, jotka rutiininomaisesti yhdistyvät CRM-järjestelmiin ja myyntityökaluihin tietojen keräämiseksi ja analysoimiseksi, edustavat uutta riskikategoriaa, jota monet tietoturvatiimit eivät ole historiallisesti priorisoineet toimittaja-arvioinneissaan.

Mitä tämä tarkoittaa sinulle

Jos työskentelet jossakin vaikutusalaisista yrityksistä tai niiden kanssa, välitön toimenpide on varmistaa, oliko tilitietojasi tai liiketoimintatietojasi niissä Salesforce-ympäristöissä, joihin päästiin käsiksi. Ota suoraan yhteyttä toimittajaan ja pyydä yksityiskohtia siitä, mitä tietoluokkia altistui.

Laajemmin ottaen tämä tapaus vahvistaa useita konkreettisia käytäntöjä mille tahansa organisaatiolle, joka arvioi omaa riskisijoitustaan:

• Tarkista OAuth- ja kolmannen osapuolen integraatiosi säännöllisesti. Kaikilla alustoilla, joilla on valtuutus yhdistää CRM-järjestelmääsi, sähköpostiisi tai liiketoimintatyökaluihisi, on luottamussuhde, joka on arvioitava ja rajattava vähimmäisvaltuuksiin.
• Segmentoi pääsyä aggressiivisesti. Toimittajien tulisi saada pääsy vain siihen tietoon, jota he tarvitsevat tiettyjen tehtäviensä suorittamiseen. Markkinatietotyökalu, joka tarvitsee kilpailijoiden seurantatietoja, ei tarvitse täyttä CRM-pääsyä.
• Sovella syvyyssuuntaista puolustusstrategiaa koko toimittajapinoosi. Mikään yksittäinen tietoturvakontrolli ei ole riittävä. Valvonnan, pääsynhallinnan ja poikkeamien havaitsemisen kerrostaminen toimittajaintegraatioissa pienentää minkä tahansa yksittäisen kompromissin vaikutusaluetta.
• Käsittele toimittajaluetteloasi osana hyökkäyspintaasi. Jokainen SaaS-työkalu, johon organisaatiosi yhdistää, on mahdollinen sisäänpääsypiste. Säännölliset tarkistukset siitä, mitkä toimittajat hallussaan pitävät mitäkin valtuustietoja, voivat paljastaa odottamattoman altistuksen ennen hyökkääjää.

Klue-tapaus on hyödyllinen esimerkkitapaus siitä, miten toimitusketjuhyökkäykset toimivat käytännössä. Hyökkääjien ei tarvinnut päihittää Huntressia tai HackerOnea heidän omilla pelikentillään. He löysivät pehmeämmän sisääntulopisteen, hyödynsivät sitä ja keräsivät sen, mitä siellä oli. Niin tietosuojatietoisille käyttäjille kuin turvallisuusorientoituneille organisaatioillekin opetus on, että tietoturvasi on vain niin vahva kuin heikoin integraatio toimittajaekosysteemissäsi. Noiden yhteyksien tarkistaminen nyt, ennen seuraavaa tapausta, on konkreettisin asia, jonka mikä tahansa organisaatio voi tehdä.