Oktaのサポートユニットへの攻撃をつなぎ合わせる (2023/10/24)
https://www.cyberark.com/resources/blog/piecing-together-the-attack-on-oktas-support-unit
「6つのステップと新しいCyberArk HARツールでリスクを軽減
1. 時間をかけて検出と対応のプロセスとタイムラインを見直し、平均検出時間(MTD)と平均対応時間(MTR)を短縮する方法に焦点を当てます。新しい Identity Threat Detection and Response (ITDR) 規範は、有用なフレームワークであり、理想的な最終状態として機能します。
ユーザーの行動をベースライン化し、アカウント(特に強力な管理者アカウント)への疑わしい接続を継続的に監視する機能は、VPNや古いユーザーエージェントを介したログイン、不明な場所からのログイン、サポートセッションの直後のログイン、REST APIを介して作成/変更されたアカウントなど、疑わしいアクティビティをより迅速にキャッチするのに役立ちます。
2. ネットワークIDを保護するために、できればFIDOパスワードレス(つまり、物理デバイスに関連するパスキー)を使用して、すべてのユーザーにMFAを適用します。
3. 管理ポータルへのアクセスは、検証済みのソース(デバイス、IPアドレス、地域など)からのみ許可します。
4. 機密性の高いアカウント(管理者アカウントなど)にアクセスできる特定のマシンのホワイトリストを作成し、他のすべてのマシンをブロックします。
5. オペレーティングシステムを強化し、エンドポイントで最小権限を適用すると、攻撃者がエンドポイントにアクセスしたり、永続性を確立したり、ファイルを盗んだり、資格情報を侵害したり、損害を与えたりする能力が大幅に制限される可能性があります。
6. HARファイルを共有する前に、HARファイル内のすべての資格情報とセッショントークン(Cookie)をサニタイズします。このプロセスを簡素化するためのツールを作成しました。さらに、セッションの終了直後に、サポート担当者にすべてのサポート関連ファイルを消去するように要求します。
アイデンティティは、すべての組織における信頼の根源です。信頼が乱用されると、たとえそれが1つのアイデンティティの侵害や誤用に関与していたとしても、リスクはすぐに下流に転じる可能性があります。私たちは皆、警戒を怠らず、攻撃の検出、軽減、開示のスピードを優先し、すべてのサイバーセキュリティに関する意思決定をアイデンティティのレンズを通して評価する必要があります。」
No comments:
Post a Comment