การแฮ็ก Klue กระทบ Huntress, HackerOne และบริษัทความปลอดภัยอีก 3 แห่ง

การแฮ็ก Klue กระทบ Huntress, HackerOne และบริษัทความปลอดภัยอีก 3 แห่ง

การรั่วไหลของข้อมูลที่แพลตฟอร์มข่าวกรองตลาด Klue ได้ก่อให้เกิดเหตุการณ์ห่วงโซ่อุปทานการรั่วไหลของข้อมูลของบริษัทความปลอดภัยไซเบอร์ ซึ่งส่งผลกระทบต่อชื่อที่รู้จักดีที่สุดในอุตสาหกรรม Huntress, HackerOne, Jamf, Recorded Future และ Tanium ต่างยืนยันว่าข้อมูลถูกขโมยอันเป็นผลโดยตรงจากการบุกรุก Klue ก่อนหน้านี้ เหตุการณ์นี้เป็นเครื่องเตือนใจที่ชัดเจนว่าแม้แต่องค์กรที่รูปแบบธุรกิจทั้งหมดสร้างขึ้นจากการปกป้องผู้อื่น ก็ยังอาจถูกทำให้เสียหายโดยผู้ให้บริการที่พวกเขาไว้วางใจได้

บริษัทความปลอดภัยไซเบอร์ใดบ้างที่ถูกโจมตี และข้อมูลใดถูกนำไป

เหยื่อที่ได้รับการยืนยันทั้งห้ารายครอบคลุมภาคส่วนความปลอดภัยไซเบอร์ที่หลากหลาย Huntress มุ่งเน้นด้านการตรวจจับและตอบสนองที่มีการจัดการสำหรับธุรกิจขนาดเล็กและขนาดกลาง HackerOne ดำเนินงานแพลตฟอร์ม Bug Bounty และการเปิดเผยช่องโหว่ที่มีการใช้มากที่สุดแห่งหนึ่งของโลก Jamf เชี่ยวชาญด้านการจัดการอุปกรณ์ Apple สำหรับลูกค้าองค์กร Recorded Future เป็นผู้ให้บริการข่าวกรองภัยคุกคามที่โดดเด่น ส่วน Tanium ให้บริการจัดการเอนด์พอยท์และความปลอดภัยในระดับสเกลใหญ่

ทั้งห้าบริษัทเป็นลูกค้าของ Klue Klue เป็นแพลตฟอร์มข่าวกรองตลาดที่ช่วยบริษัทติดตามกิจกรรมของคู่แข่ง โดยทั่วไปจะนำเข้าข้อมูลจากเครื่องมือทางธุรกิจที่เชื่อมต่อกันหลายตัว การเชื่อมต่อนั้นเป็นสิ่งที่ทำให้มันเป็นเป้าหมายที่มีมูลค่าสูง เนื่องจาก Klue มีการอนุมัติการผสานรวมกับระบบของลูกค้า การบุกรุกที่ Klue จึงสามารถถูกใช้เป็นจุดเริ่มต้นเข้าสู่สภาพแวดล้อมของลูกค้าเหล่านั้น โดยไม่ต้องโจมตีลูกค้าเหล่านั้นโดยตรงเลย

ข้อมูลที่ขโมยไปจากแต่ละบริษัทยังไม่ได้มีการเปิดเผยอย่างครบถ้วน แต่การเปิดเผยเกี่ยวข้องกับระบบธุรกิจที่ใช้ติดต่อลูกค้า มากกว่าจะเป็นโครงสร้างพื้นฐานปฏิบัติการภายในล้วน ๆ

การรั่วไหลของ Klue กลายเป็นการโจมตีห่วงโซ่อุปทานต่อผู้ให้บริการด้านความปลอดภัยได้อย่างไร

กลไกที่ทำให้เหตุการณ์จากบริษัทวิจัยตลาดหนึ่งลุกลามไปยังบริษัทความปลอดภัยไซเบอร์ห้าแห่ง แสดงให้เห็นชัดเจนว่าเหตุใดการโจมตีห่วงโซ่อุปทานจึงน่าดึงดูดสำหรับผู้คุกคาม แทนที่จะพยายามเจาะผู้ให้บริการความปลอดภัยที่แข็งแกร่งโดยตรง ผู้โจมตีกลับบุกรุกเป้าหมายต้นน้ำที่อ่อนแอกว่า ซึ่งมีกุญแจอยู่ในมืออยู่แล้ว

ในกรณีของ Klue เวกเตอร์การโจมตีเกี่ยวข้องกับช่องโหว่ OAuth ที่อนุญาตให้กลุ่มคุกคามเข้าถึงข้อมูล Salesforce CRM ที่เชื่อมต่อโดยไม่ได้รับอนุญาต ตามที่ได้รายงานก่อนหน้านี้ใน การรั่วไหลของ OAuth ของ Klue ที่ทำให้เกิดการโจรกรรมข้อมูล Salesforce CRM กลุ่มคุกคามที่รู้จักในชื่อ "Icarus" ใช้ประโยชน์จากช่องโหว่การตรวจสอบสิทธิ์นี้เพื่อเคลื่อนย้ายเข้าสู่สภาพแวดล้อม Salesforce ของลูกค้า Klue หลายราย เมื่อเข้าไปในระบบ CRM เหล่านั้นแล้ว ผู้โจมตีสามารถเข้าถึงข้อมูลธุรกิจที่มีโครงสร้าง ซึ่งบริษัทมักถือว่ามีความอ่อนไหวสูง ได้แก่ บันทึกลูกค้า ข้อมูลไปป์ไลน์ ประวัติการซื้อขาย และรายชื่อผู้ติดต่อในบัญชี

นี่คือการบุกรุกห่วงโซ่อุปทานตามตำรา องค์กรที่ตกเป็นเหยื่อไม่ได้ทำสิ่งใดผิดพลาดทางเทคนิคในการรักษาความปลอดภัยโครงสร้างพื้นฐานของตนเอง การเปิดเผยของพวกเขามาจากการไว้วางใจบุคคลที่สาม ซึ่งล้มเหลวในการปกป้องการผสานรวม OAuth ที่ตนจัดการอย่างเพียงพอ

เหตุใดบริษัทด้านความปลอดภัยจึงเป็นเป้าหมายที่มีมูลค่าสูงสำหรับผู้คุกคาม

อาจดูไม่สมเหตุสมผลที่ผู้คุกคามจะมุ่งเป้าไปที่บริษัทความปลอดภัยไซเบอร์โดยเฉพาะ องค์กรเหล่านี้จ้างผู้ปฏิบัติงานที่เชี่ยวชาญ มีโปรแกรมความปลอดภัยที่เติบโตเต็มที่ และมักสร้างเครื่องมือที่ใช้ตรวจจับและตอบสนองต่อการโจมตีเหล่านั้น

แต่ความเชี่ยวชาญนั้นก็เป็นดาบสองคม บริษัทด้านความปลอดภัยถือครองข้อมูลที่อ่อนไหวอย่างยิ่ง ตัวอย่างเช่น แพลตฟอร์มของ HackerOne ตั้งอยู่ที่จุดตัดของการวิจัยช่องโหว่และการเปิดเผยต่อองค์กร Recorded Future รวบรวมข่าวกรองภัยคุกคาม ซึ่งหากตกไปอยู่ในมือที่ไม่ดี อาจเปิดเผยว่าผู้ป้องกันทราบและไม่ทราบเกี่ยวกับภัยคุกคามที่มีการใช้งานจริงอย่างไร Huntress มีการมองเห็นเชิงลึกเข้าสู่เครือข่ายของธุรกิจขนาดเล็กนับพันแห่ง ฝ่ายตรงข้ามที่สามารถเข้าถึงระบบเหล่านี้ได้จะไม่เพียงได้ข้อมูล แต่ยังได้รับข่าวกรองเชิงกลยุทธ์เกี่ยวกับระบบนิเวศความปลอดภัยที่กว้างขึ้นด้วย

ยิ่งไปกว่านั้น ผู้ให้บริการความปลอดภัยมักถูกรวมเข้าไว้ในสภาพแวดล้อมของลูกค้าอย่างลึกซึ้ง เพราะผลิตภัณฑ์ของพวกเขาต้องการการเข้าถึงแบบมีสิทธิ์สูงเพื่อทำงานของตัวเอง การผสานรวมนั้นสร้างพื้นผิวโจมตีมากขึ้น ไม่ได้น้อยลง บริษัทที่ตกเป็นเป้าหมายในเหตุการณ์ Klue ไม่ได้ถูกบุกรุกผ่านผลิตภัณฑ์ของตนเอง แต่มูลค่าของสิ่งที่เข้าถึงได้ผ่านระบบ CRM ของพวกเขาอาจมีค่ามากพอที่จะทำให้ความพยายามนั้นคุ้มค่า

รูปแบบนี้ยังสะท้อนให้เห็นถึงเหตุการณ์ห่วงโซ่อุปทานที่มีชื่อเสียงอื่น ๆ ซึ่งผู้ให้บริการตัวกลางทำหน้าที่เป็นจุดเข้าสู่องค์กรที่ได้รับการป้องกันอย่างดีอื่น ๆ แพลตฟอร์มการวิจัยตลาดและข่าวกรองคู่แข่ง ซึ่งเชื่อมต่อกับ CRM และเครื่องมือขายเพื่อนำเข้าและวิเคราะห์ข้อมูลเป็นประจำ ถือเป็นประเภทความเสี่ยงที่เพิ่งเกิดใหม่ ซึ่งทีมความปลอดภัยจำนวนมากไม่ได้ให้ความสำคัญในการประเมินผู้ให้บริการมาแต่เดิม

สิ่งนี้หมายถึงอะไรสำหรับคุณ

หากคุณทำงานร่วมกับหรือที่บริษัทใด ๆ ที่ได้รับผลกระทบ ขั้นตอนทันทีคือการตรวจสอบว่าข้อมูลบัญชีหรือข้อมูลธุรกิจของคุณถูกเก็บไว้ในสภาพแวดล้อม Salesforce ที่ถูกเข้าถึงหรือไม่ ติดต่อผู้ให้บริการโดยตรงและสอบถามรายละเอียดเกี่ยวกับประเภทของข้อมูลที่ถูกเปิดเผย

ในแง่กว้าง เหตุการณ์นี้ตอกย้ำแนวปฏิบัติที่เป็นรูปธรรมหลายประการสำหรับองค์กรใด ๆ ที่ประเมินความเสี่ยงของตนเอง:

• ตรวจสอบการผสานรวม OAuth และของบุคคลที่สามเป็นประจำ แพลตฟอร์มใด ๆ ที่ได้รับอนุญาตให้เชื่อมต่อกับ CRM อีเมล หรือเครื่องมือทางธุรกิจของคุณ มีความสัมพันธ์ที่ไว้วางใจ ซึ่งจำเป็นต้องได้รับการตรวจสอบและจำกัดขอบเขตให้เหลือสิทธิ์ขั้นต่ำที่จำเป็น
• แบ่งแยกการเข้าถึงอย่างเข้มงวด ผู้ให้บริการควรได้รับการเข้าถึงเฉพาะข้อมูลที่จำเป็นต่อการทำหน้าที่เฉพาะของตน เครื่องมือข่าวกรองตลาดที่ต้องการข้อมูลการติดตามคู่แข่ง ไม่จำเป็นต้องเข้าถึง CRM แบบเต็มรูปแบบ
• ใช้กลยุทธ์การป้องกันเชิงลึกกับชุดผู้ให้บริการของคุณ การควบคุมความปลอดภัยเพียงตัวเดียวไม่เพียงพอ การซ้อนทับกันของการเฝ้าติดตาม การควบคุมการเข้าถึง และการตรวจจับความผิดปกติบนการผสานรวมกับผู้ให้บริการ จะช่วยลดรัศมีการระเบิดของการบุกรุกใด ๆ ก็ตาม
• ปฏิบัติต่อรายชื่อผู้ให้บริการเป็นส่วนหนึ่งของพื้นผิวโจมตีของคุณ เครื่องมือ SaaS ทุกตัวที่องค์กรของคุณเชื่อมต่อด้วย เป็นจุดเข้าที่อาจถูกโจมตีได้ การทบทวนเป็นระยะ ๆ ว่าผู้ให้บริการรายใดถือข้อมูลประจำตัวใดบ้าง สามารถเปิดเผยความเสี่ยงที่ไม่คาดคิดได้ ก่อนที่ผู้โจมตีจะพบ

เหตุการณ์ Klue เป็นกรณีศึกษาที่มีประโยชน์เกี่ยวกับการทำงานของการโจมตีห่วงโซ่อุปทานในทางปฏิบัติ ผู้โจมตีไม่จำเป็นต้องเอาชนะ Huntress หรือ HackerOne ในเกมของพวกเขา พวกเขาแค่พบจุดเข้าที่อ่อนแอกว่า ใช้ประโยชน์จากมัน และเก็บรวบรวมสิ่งที่อยู่ที่นั่น สำหรับผู้ใช้ที่ตระหนักถึงความเป็นส่วนตัวและองค์กรที่ตระหนักถึงความปลอดภัย บทเรียนคือ สถานะความปลอดภัยของคุณจะแข็งแกร่งเท่ากับจุดเชื่อมต่อที่อ่อนแอที่สุดในระบบนิเวศผู้ให้บริการของคุณ การตรวจสอบการเชื่อมต่อเหล่านั้นในตอนนี้ ก่อนที่จะเกิดเหตุการณ์ครั้งต่อไป คือสิ่งที่เป็นรูปธรรมที่สุดที่องค์กรทุกแห่งสามารถทำได้