Klue hakiranje pogađa Huntress, HackerOne i još 3 sigurnosne tvrtke

Klue hakiranje pogađa Huntress, HackerOne i još 3 sigurnosne tvrtke

Provala na platformu za tržišnu inteligenciju Klue pokrenula je lančani incident krađe podataka u kibernetičkoj sigurnosti koji pogađa neka od najprepoznatljivijih imena u industriji. Huntress, HackerOne, Jamf, Recorded Future i Tanium potvrdili su da su podaci ukradeni kao izravna posljedica ranijeg Klue kompromitiranja. Incident je oštar podsjetnik da čak i organizacije čiji se cijeli poslovni model temelji na zaštiti drugih mogu biti oborene od strane dobavljača kojem su vjerovale.

Koje su sigurnosne tvrtke pogođene i koji su podaci ukradeni

Pet potvrđenih žrtava obuhvaća širok raspon sektora kibernetičke sigurnosti. Huntress se fokusira na upravljano otkrivanje i odgovor za mala i srednja poduzeća. HackerOne upravlja jednom od najčešće korištenih platformi za bug bounty i objavu ranjivosti na svijetu. Jamf se specijalizira za upravljanje Apple uređajima za poslovne klijente. Recorded Future je istaknuti pružatelj obavještajnih podataka o prijetnjama. Tanium pruža upravljanje krajnjim točkama i sigurnost na velikoj razini.

Svih pet su Klue korisnici. Klue je platforma za tržišnu inteligenciju koja pomaže tvrtkama pratiti aktivnosti konkurenata, obično unoseći podatke iz niza povezanih poslovnih alata. Ta povezanost upravo je ono što ju je učinilo metom visoke vrijednosti. Budući da je Klue imao autorizirane integracije sa sustavima svojih korisnika, proboj u Klue mogao se iskoristiti kao lansirna rampa u okruženja tih korisnika bez izravnog napada na njih.

Konkretni podaci ukradeni iz svake tvrtke nisu u potpunosti objavljeni, ali izloženost je uključivala poslovne sustave okrenute klijentima, a ne isključivo unutarnju operativnu infrastrukturu.

Kako je Klue proboj postao napad na lanac opskrbe sigurnosnih dobavljača

Mehanika kako se ovo proširilo s jedne tvrtke za istraživanje tržišta na pet tvrtki za kibernetičku sigurnost ilustrira točno zašto su napadi na lanac opskrbe postali tako privlačni akterima prijetnji. Umjesto da pokušavaju izravno probiti ojačanog sigurnosnog dobavljača, napadač kompromitira mekšu uzvodnu metu koja već drži ključeve.

U Klueovom slučaju, vektor napada uključivao je OAuth ranjivost koja je omogućila grupi prijetnji neovlašteni pristup povezanim Salesforce CRM podacima. Kao što je opisano u ranijem izvještavanju o Klue OAuth proboju koji je omogućio krađu Salesforce CRM podataka, grupa prijetnji poznata kao "Icarus" iskoristila je ovu autentifikacijsku manu za lateralno kretanje u Salesforce okruženja više Klue korisnika. Kad su ušli u te CRM sustave, napadači su imali pristup strukturiranim poslovnim podacima koje tvrtke obično tretiraju kao visoko osjetljive: zapisi o klijentima, informacije o prodajnom kanalu, povijest poslova i kontakti računa.

Ovo je školski primjer lančanog kompromitiranja. Žrtve organizacije nisu učinile ništa tehnički pogrešno u osiguravanju vlastite infrastrukture. Njihova izloženost proizašla je isključivo iz povjerenja trećoj strani koja, zauzvrat, nije uspjela adekvatno zaštititi OAuth integracije kojima je upravljala.

Zašto sigurnosne tvrtke čine mete visoke vrijednosti za aktere prijetnji

Možda se čini kontraintuitivnim da bi akter prijetnji posebno ciljao tvrtke za kibernetičku sigurnost. Ove organizacije zapošljavaju stručne praktičare, održavaju zrele sigurnosne programe i često grade upravo alate koji se koriste za otkrivanje i odgovor na napade.

Ali ta stručnost je dvosjekli mač. Sigurnosne tvrtke drže izvanredno osjetljive podatke. HackerOne platforma, na primjer, nalazi se na sjecištu istraživanja ranjivosti i korporativnog objavljivanja. Recorded Future agregira obavještajne podatke o prijetnjama koji bi, u pogrešnim rukama, mogli otkriti što branitelji znaju, a što ne znaju o aktivnim prijetnjama. Huntress ima duboku vidljivost u mreže tisuća malih poduzeća. Protivnik koji može pristupiti bilo kojem od ovih sustava dobiva ne samo podatke, već i strateško obavještavanje o širem sigurnosnom ekosustavu.

Štoviše, sigurnosni dobavljači često su duboko integrirani u okruženja korisnika upravo zato što njihovi proizvodi zahtijevaju privilegirani pristup za obavljanje svojih zadaća. Ta integracija stvara veću površinu, a ne manju. Tvrtke ciljane u Klue incidentu nisu probijene kroz vlastite proizvode, ali vrijednost onoga što je bilo dostupno kroz njihove CRM sustave vjerojatno je bila dovoljno značajna da trud učini isplativim.

Obrazac ovdje također odjekuje drugim visokoprofilnim incidentima lanaca opskrbe gdje su posredni dobavljači poslužili kao ulazna točka u inače dobro branjene organizacije. Platforme za istraživanje tržišta i konkurentsku inteligenciju, koje se rutinski povezuju s CRM-ovima i prodajnim alatima za unos i analizu podataka, predstavljaju novu kategoriju rizika koju mnogi sigurnosni timovi povijesno nisu prioritizirali u svojim procjenama dobavljača.

Što ovo znači za vas

Ako radite u ili s bilo kojom od pogođenih tvrtki, neposredni korak je provjeriti jesu li podaci vašeg računa ili poslovne informacije bili u Salesforce okruženjima kojima se pristupilo. Izravno kontaktirajte dobavljača i zatražite konkretne pojedinosti o tome koje su kategorije podataka bile izložene.

Šire gledano, ovaj incident naglašava nekoliko konkretnih praksi za svaku organizaciju koja procjenjuje vlastitu izloženost riziku:

• Redovito revidirajte svoje OAuth i integracije trećih strana. Svaka platforma ovlaštena za povezivanje s vašim CRM-om, e-poštom ili poslovnim alatima ima odnos povjerenja koji treba pregledati i ograničiti na minimalno potrebne dozvole.
• Agresivno segmentirajte pristup. Dobavljači bi trebali dobiti pristup samo podacima koji su im potrebni za obavljanje njihove specifične funkcije. Alat za tržišnu inteligenciju koji treba podatke o praćenju konkurenata ne treba puni CRM pristup.
• Primijenite strategije dubinske obrane u svom skupu dobavljača. Niti jedna sigurnosna kontrola nije dovoljna. Slojevito nadziranje, kontrole pristupa i otkrivanje anomalija u integracijama dobavljača smanjuju radijus posljedica svakog pojedinačnog kompromitiranja.
• Tretirajte svoj popis dobavljača kao dio svoje napadne površine. Svaki SaaS alat s kojim se vaša organizacija povezuje potencijalna je ulazna točka. Periodični pregledi koji dobavljači drže koje pristupne vjerodajnice mogu otkriti neočekivanu izloženost prije nego što je napadač pronađe.

Klue incident korisna je studija slučaja kako napadi na lanac opskrbe funkcioniraju u praksi. Napadači nisu trebali pobijediti Huntress ili HackerOne u njihovoj vlastitoj igri. Pronašli su mekšu ulaznu točku, iskoristili je i prikupili ono što je tamo bilo. Za korisnike osviještene o privatnosti i sigurnosno svjesne organizacije podjednako, lekcija je da je vaš sigurnosni položaj samo onoliko jak koliko je jaka najslabija integracija u vašem ekosustavu dobavljača. Pregled tih veza sada, prije sljedećeg incidenta, najkorisnija je stvar koju svaka organizacija može učiniti.