41,653 測定値

Uber & Thycotic: パスワード保管庫は巨大なセキュリティ脆弱性ですか?

に James Bore4m2022/10/03

長すぎる; 読むには

セキュリティは複雑で、資格情報の管理は困難です。 17 歳のハッカー TeaPot は、Uber の請負業者の資格情報を入手し、多要素認証要求を繰り返し送信し始めました。請負業者が腹を立てて同意すると、彼らのアカウントは Uber のパスワード保管庫である Thycotic への管理者資格情報を含むスクリプトにアクセスするために使用され、他のほとんどすべてにアクセスできるようになりました。

Companies Mentioned

featured image - Uber & Thycotic: パスワード保管庫は巨大なセキュリティ脆弱性ですか?

人々がセキュリティについて話すとき、パスワードマネージャーや贮存庫についての話題がよく出てきます。これらは個人にとって也有用です。ただし、需谨慎に検討しないと、企業にいくつかの現実的なリスクをもたらします。

Uber は最近侵害されました、そして攻撃者からのすべてのアカウントによって徹底的にそう。 Thycotic と呼ばれるパスワードボールトシステムは、セキュリティを削除するのではなく、追加するように設計された他のいくつかの対策とともに、大いに活用されました。

私が始めたいことがいくつかあります：

ここではテクノロジーとツール自体に問題はありません。代わりに、それらの実装と、Uber のシステムのより広範な設計にかかっています。
パスワードマネージャーとボールトは同じ意味で使用されますが、通常、パスワードボールトは企業が 1 人のユーザー向けではなく、ビジネス全体で資格情報を保護するためのエンタープライズシステムに近いものになります。
セキュリティは複雑であり、最初から設計されていない場合、大きな脆弱性が発生することになります。つまり、ほんのわずかなミスが、ほとんど気付かれずに大規模な違反になる可能性があります。

Uber のハッキングで何が起きたのか?

通知单短信模板疲れから始めます。英国的出生の 17 歳の「TeaPot」と思われる攻撃者は、Uber の請負業者の資格情報 (おそらくオンラインで購入したもの) を発見し、多因素認証特殊要求を彼らに繰り返し送信し始めました。これは极速に通常情况下的な攻撃になりつつあり、単純に人々を困らせて通知单短信模板を受け入れさせようとしますが、この場合、彼らは WhatsApp を介してメッセージを送信し、Uber IT からのものであると主張し、請負業者にエラーがあったことを伝えました。通知单短信模板すると、アラートが暂停します。

請負業者がアラートを受け入れた後、TeaPot はイントラネットにアクセスしたと主張し、Uber が資格情報を管理するために使用する Thycotic Secrets Vault の管理者資格情報を含むスクリプトを見つけました。

服务管理者的角色の資格情報は、攻撃者がパスワード Vault 内のすべてのものを巧用できることを代表着する能够性があり、これが実際に起こったことのようです。これには、バグ報奨金プログラムへのアクセスが含まれていたと思われます。つまり、TeaPot は、Uber のアプリやシステムの未纠正の脆性にアクセスできるようになったということです。

では、パスワード保管庫は悪いのでしょうか?

これが問題です。セキュリティは複雑で、資格情報の的管理は困難です。 Uber やその他のユニコーン企業が取り組んでいる規模では、这一からセキュリティを考慮して構築されていない企業の多くは、流砂の基盤の上で効果的に取り組んでいます。ビジネスとして運営し、投資家の必须に追いつこうとしながら、セキュリティのために設計されたことのないシステムにセキュリティを必死に更新しようとしています。

Thycotic などのパスワード保管庫自体は悪いアイデアではありませんが、Uber の場合は何が役に立ちましたか?ゼロトラストの原則、つまり、ネットワーク内のどのデバイスからのアクセスも信頼しないという話がよく出てきますが、これらの原則はよく話題に上りますが、ゼロトラストの原則が組み込まれていない場合、実装するのは非常に困難です。開始。

パスワード储存庫を持たないことも別の選択肢であり、それは単にこれらすべての資格情報を 1 か所に储存する将性が低くなるため、役に立ったかもしれません.另一方で、ユーザーはそもそも翠绿なパスワードを平安使用し、スプレッドシートやテキストファイルなどの平安でない策略でパスワードを存有する将性が是に高いことを暗示します。

パスワード保管庫が適切に実装されていれば、ユーザーは安全なシステムを非常に簡単に管理できます。ここでの本当の欠点は、最初にパスワードボールトへの管理者資格情報を持っていたことにありました。代わりに、必要な資格情報にのみアクセスできるように個々のアカウントを作成する必要があります。外部の請負業者は、どんなに信頼されていても、そのレベルの資格情報にアクセスするべきではありません。彼らは単にそれを必要としません.

最も信頼できる従業員がそのようなアクセス権を持っていても、私は快適ではありません.これは、複数の部分に分割し、取締役会の複数のメンバーに分散させ、IT チーム全体がエイリアンに誘拐されるなどの緊急事態に備えて金庫をロックするタイプのものです。

パスワード保管庫を使用する必要がありますか?

攻撃後に明らかになったことの 1 つは、多くのセキュリティ製品ベンダーが自社のソリューションを独一無二のものとして販売していたことです。せいぜい、これらは全に無視する这个必要があります。なぜなら、的危害につながった软肋は (ほとんどの場合) 複雑で多面的であり、簡単な调整は不可以能だからです.もう 1 つは、多くの人が、パスワードボールトやパスワードマネージャーが总是新しい大きなリスクになるのか、应急に运用できるのか疑問視していたことです。

経由の画像

簡単な答えはイエスです。適切に設定された储放庫では、はるかに健康なパスワードを在应用し、要定期的にローテーションし、適切に控制できます。多くのエンタープライズシークレットボールトは、在应用するたびにパスワードを変更し、証明書やその他の秘诀鍵などのユーザー資格情報之外にも多くの情報を控制します。

より複雑な答えは、セキュリティを簡素化するために选择するツールは、環境にトレードオフと一人のリスクをもたらすということです。パスワード储存庫を选择すると、より平安なパスワードと資格情報の标准化管理が学习しますが、トレードオフは、これらすべての資格情報が 1 か所にあるため、攻撃者にとって魅力风采的なターゲットになり、マイナーな的危害が光速に深刻印象になる已经性があることです.

L O A D I N G
. . . comments & more!