Kembali pada bulan Agustus 2023, penyerang terikat dengan kelompok laba-laba yang tersebar tidak mengeksploitasi kerentanan nol hari Hack Clorox. Mereka hanya memanggil meja layanan (dijalankan oleh Cognizant), diklaim sebagai karyawan yang dikunci, dan meminta kata sandi dan MFA Reset.
Menurut pengajuan dan pelaporan pengadilanpenyerang berulang kali menelepon meja layanan Cognizant, memperoleh reset berulang tanpa verifikasi yang bermakna, dan menggunakan akses yang dihasilkan untuk bergerak cepat ke arah pijakan domain-admin.
Clorox mengatakan serangan itu pada akhirnya menyebabkan kerusakan sekitar $ 380 juta, termasuk sekitar $ 49 juta dalam biaya perbaikan dan “ratusan juta” dalam kerugian pengintaian bisnis. Kami akan berjalan melalui apa yang terjadi, bagaimana mengamankan meja layanan pihak ketiga, dan menunjukkan bagaimana caranya menegakkan verifikasi dengan teknologi yang tepat.
Bagaimana serangan itu terjadi?
Serangan rekayasa sosial berhasil dengan menargetkan falibilitas manusia. Penyerang melakukan pengintaian (mengumpulkan nama, judul, karyawan baru -baru ini, referensi tiket internal), kemudian menggunakan panggilan telepon yang tenang dan skrip yang meniru perilaku pengguna yang sah. Mereka ingin agen meja layanan merasa tertekan dan melewatkan proses keamanan.
Dalam kasus Clorox, Keluhan hukum menuduh Agen garis depan diyakinkan melalui telepon untuk mengatur ulang kredensial dan MFA tanpa meningkatkan atau melakukan verifikasi di luar band. Mereka mengklaim ini bertentangan dengan prosedur yang disepakati dengan sadar bahwa agen tidak boleh mengatur ulang kredensial siapa pun tanpa mengotentikasi mereka terlebih dahulu.
Hasilnya: satu identitas yang dikompromikan menjadi poros bagi gerakan lateral dan gangguan besar.
Dampaknya: Kelumpuhan operasional dan kehilangan data
Clorox melaporkan sistem produksi yang diambil secara offline, dijeda manufaktur, pemrosesan pesanan manual, dan penundaan pengiriman yang menekan volume penjualan. Dampak rantai pasokan dan pemenuhan (serta biaya forensik dan remediasi) merupakan sebagian besar angka kerugian yang dikutip dalam gugatan. Ini berfungsi sebagai pengingat bahwa reset kata sandi tidak sah sederhana dapat memiliki konsekuensi yang luas.
Cisa Dan agensi lain telah menandai pola ini: Spider yang tersebar dan kelompok serupa menargetkan meja bantuan yang dikontrak karena meja outsourcing sering duduk di belakang jembatan privilege tinggi ke lingkungan banyak pelanggan. Saran untuk bertahan melawan grup Secara khusus memperingatkan bahwa aktor ancaman akan menyamar sebagai pengguna dan mengeksploitasi verifikasi yang lemah untuk memotong MFA dan mengatur ulang kredensial. Itu membuat verifikasi penelepon yang kuat bukan hanya praktik yang baik, tetapi kontrol rantai pasokan inti.
Mengapa outsourcing memperbesar risikonya
Outsourcing Fungsi Bantuan-Desk seharusnya tidak menjadi keamanan ketika proses vendor kuat-banyak organisasi memilih untuk melakukannya. Tetapi proses verifikasi vendor lemah atau ditegakkan dengan buruk, risiko diperkuat. Ada tiga alasan struktural:
- Kepercayaan Konsentris: Vendor sering memiliki hak istimewa yang luas, lintas-tenant dan alur kerja jalur cepat (reset kata sandi, reset MFA, membuka kunci akun) yang, jika disalahgunakan, dapat mencapai sistem istimewa di seluruh perusahaan.
- Proses penyimpangan dan skala: Vendor besar menangani volume panggilan tinggi; Jika skrip ambigu atau QA buruk, agen kembali ke perilaku “mendapatkan pengguna bekerja” daripada verifikasi yang ketat. Dalam hal ini, gugatan Clorox menuduh bahwa harapan kontrak untuk verifikasi tidak diikuti.
- Kesenjangan visibilitas: Meja pihak ketiga dapat mencatat tindakan dalam sistem mereka sendiri atau instance tiket yang tidak sepenuhnya terintegrasi ke dalam SIEM pelanggan atau telemetri akses istimewa, menunda deteksi.
Apa yang harus dilakukan para pembela
Perlakukan Reset Bantuan-Desk sebagai operasi istimewa dan instrumennya sesuai dengan lima langkah yang dapat ditindaklanjuti ini:
- Menegakkan verifikasi out-of-band untuk reset jarak jauh: Membutuhkan panggilan balik ke nomor telepon milik perusahaan, token satu kali melalui email ke kotak masuk, atau tantangan kriptografi pendek daripada pertanyaan berbasis pengetahuan.
- Membutuhkan ambang batas persetujuan: Reset berisiko tinggi (MFA, kelompok istimewa, akun layanan) memerlukan persetujuan dua orang dan pemberitahuan manajer otomatis yang terkait dengan ID tiket.
- Ketinggian dan isolasi sesi yang berumur pendek: Gunakan sesi istimewa sementara untuk tugas remediasi dan mencabut sesi admin berumur panjang pada deteksi.
- Telemetri dan penahanan otomatis: Masuk setiap reset ke jejak audit yang tidak dapat diubah (ID tiket, ID agen, nomor panggilan balik penelepon), mengingatkan tentang pola reset anomali, dan secara otomatis mencabut token penyegaran / paksa kembali pada urutan yang mencurigakan.
- Menerjemahkan deteksi ke dalam aturan: Perhatikan pola seperti “nomor panggilan balik eksternal yang sama yang digunakan untuk beberapa pengguna ulang pengguna yang berbeda” atau “beberapa pengaturan ulang MFA untuk pengguna di unit bisnis yang sama dalam waktu x menit.” Ini adalah acara sinyal tinggi yang harus memicu pencabutan sesi otomatis dan eskalasi SOC.
Tata Kelola Operasional: Bahasa Kontrak dan Audit
Jika Anda melakukan outsourcing, kontrak Anda harus membutuhkan kontrol teknis sisi vendor dan auditabilitas. Buat vendor buktikan (dengan log dan tes tahunan) bahwa mereka menegakkan verifikasi dua saluran, log reset abadi, dan integrasi dengan SIEM Anda. Sertakan SLA yang dapat diukur untuk MTTD/MTTR pada kompromi akun yang dicurigai dan memerlukan tes rekayasa sosial yang disimulasikan dengan hasil remediasi yang diterbitkan kepada Anda.
Teknologi membantu, tetapi orang masih akan direkayasa sosial. Jalankan simulasi berbasis telepon tim merah biasa terhadap meja bantuan Anda (dan vendor Anda), ukur kegagalan, dan panggang pelatihan korektif ke dalam operasi. Lacak dan kurangi waktu dari reset ke penahanan-metrik itu akan menggerakkan jarum lebih dari proyek pengerasan satu kali.
Coba Specops Secure Service Desk
Jika Anda ingin penelusuran langsung verifikasi penelepon yang dipaksakan, jalur audit yang tidak dapat diubah, dan integrasi tiket di lingkungan produksi, coba Specops Secure Service Desk.
Ini adalah cara tercepat untuk melihat bagaimana verifikasi deterministik dan penahanan otomatis menyusut jendela penyerang untuk bertindak.
Disponsori dan ditulis oleh Perangkat Lunak Specops.
