Fortinet telah mengesahkan kompromi data yang dimiliki oleh “sebilangan kecil” pelanggannya, selepas seorang penggodam menggunakan moniker yang agak berwarna-warni “Fortibitch” membocorkan 440GB maklumat melalui BreachForums minggu ini.
Penggodam itu mendakwa telah memperoleh data daripada laman Azure SharePoint dan mendakwa mereka membocorkannya selepas syarikat itu enggan berunding dengan individu berkenaan mengenai permintaan wang tebusan. Situasi itu sekali lagi menyerlahkan tanggungjawab syarikat untuk mendapatkan data yang disimpan dalam repositori awan pihak ketiga , kata penyelidik.
Akses Tanpa Kebenaran kepada Persekitaran SaaS
Fortinet sendiri tidak mengenal pasti secara khusus punca pelanggaran itu. Tetapi dalam nasihat 12 September , syarikat itu berkata seseorang telah memperoleh “akses tanpa kebenaran kepada bilangan fail terhad yang disimpan pada contoh Fortinet bagi pemacu fail kongsi berasaskan awan pihak ketiga.”
Penjual keselamatan itu, salah satu yang terbesar di dunia mengikut had pasaran, mengenal pasti isu itu memberi kesan kepada kurang daripada 0.3% daripada lebih 775,000 pelanggannya di seluruh dunia, yang akan meletakkan bilangan organisasi yang terjejas pada sekitar 2,325.
Fortinet berkata ia tidak melihat tanda-tanda aktiviti berniat jahat di sekitar data yang terjejas. “Fortinet segera melaksanakan rancangan untuk melindungi pelanggan dan berkomunikasi secara langsung dengan pelanggan mengikut kesesuaian dan menyokong pelan pengurangan risiko mereka,” kata vendor keselamatan itu dalam nasihat itu. “Insiden itu tidak melibatkan sebarang penyulitan data, penggunaan perisian tebusan, atau akses kepada rangkaian korporat Fortinet.” Fortinet berkata ia tidak menjangkakan insiden itu memberi kesan material terhadap operasi atau kewangannya.
Dalam laporan risikan ancaman yang dikongsi dengan Dark Reading, CloudSEK berkata ia telah memerhatikan seorang pelakon ancaman menggunakan pemegang Fortibitch membocorkan perkara yang kelihatan bukan sahaja termasuk data pelanggan, tetapi juga dokumen kewangan dan pemasaran, maklumat produk, data HR dari India dan beberapa pekerja. data.
“Pelakon itu cuba memeras ugut syarikat itu tetapi, selepas rundingan yang tidak berjaya, mengeluarkan data itu,” kata CloudSEK. Syarikat itu menjangkakan bahawa penggodam akan cuba menjual data terlebih dahulu, jika ia mempunyai nilai sebenar.
Fortinet tidak mengesahkan atau menafikan jika penggodam telah cuba untuk melibatkan diri dengan syarikat berkenaan data yang dicuri.
Siaran penggodam di BreachForums termasuk rujukan yang agak bebas konteks kepada pemerolehan Fortinet terhadap Lacework dan NextDLP. Ia juga merujuk kepada beberapa pelakon ancaman lain, yang paling menarik ialah pakaian Ukraine yang dijejaki sebagai DC8044. “Tiada hubungan langsung antara Fortibitch dan DC8044, tetapi nada itu menunjukkan sejarah antara keduanya,” menurut CloudSEK. “Berdasarkan maklumat yang ada, kami boleh memastikan dengan keyakinan sederhana bahawa aktor ancaman itu berpangkalan di luar Ukraine.”
Melanggar Peringatan Risiko Pendedahan Data Awan
Kompromi Fortinet – walaupun nampaknya tidak terlalu besar – adalah peringatan tentang risiko pendedahan data yang meningkat kepada organisasi perusahaan apabila menggunakan perisian-sebagai-perkhidmatan (SaaS) dan perkhidmatan awan lain tanpa pagar yang sesuai. Imbasan terbaru oleh Metomic terhadap kira-kira 6.5 juta fail Google Drive menunjukkan lebih daripada 40% daripadanya mengandungi data sensitif, termasuk data pekerja dan hamparan yang mengandungi kata laluan.
Selalunya, organisasi menyimpan data pada fail Google Drive dengan sedikit perlindungan. Lebih daripada satu pertiga (34.2%) daripada fail yang diimbas telah dikongsi dengan alamat e-mel luaran dan lebih daripada 350,000 fail telah dikongsi secara terbuka.
Rich Vibert, Ketua Pegawai Eksekutif dan pengasas Metomic, berkata terdapat tiga kesilapan asas yang dilakukan oleh organisasi apabila melindungi data dalam persekitaran awan: tidak menggunakan pengesahan berbilang faktor (MFA) untuk mengawal akses kepada aplikasi SaaS; memberi pekerja terlalu banyak akses kepada folder dan aset sensitif dalam apl itu sendiri; dan menyimpan data sensitif terlalu lama.
Masih tidak jelas bagaimana penggodam mungkin telah mengakses data daripada persekitaran SharePoint Fortinet. Tetapi satu senario yang mungkin ialah penyerang mendapat akses kepada bukti kelayakan log masuk yang sah, melalui pancingan data misalnya, dan kemudian log masuk dan mengeksfiltrasi data daripada SharePoint dan persekitaran yang serupa, kata Koushik Pal, wartawan perisikan ancaman di CloudSEK. Pencuri maklumat juga merupakan vektor serangan “sangat biasa”, nota Pal.
Memikirkan semula Keselamatan Awan
“Biasanya, pembangun harus menggunakan pembolehubah persekitaran, peti besi atau storan yang disulitkan untuk maklumat sensitif dan mengelakkan kelayakan pengekodan keras dalam kod sumber,” kata Pal. Selalunya pembangun hardcode mengakses kelayakan seperti kunci API, nama pengguna dan kata laluan ke dalam kod sumber dan secara tidak sengaja menolak kod tersebut ke dalam repositori persendirian awam atau tidak selamat dari mana ia boleh diakses dengan mudah.
“Organisasi harus mewajibkan MFA untuk mengakses SharePoint dan sistem kritikal lain untuk menghalang akses tanpa kebenaran walaupun bukti kelayakan terjejas,” jelas Pal. “Pantau repositori secara tetap untuk bukti kelayakan terdedah, data sensitif atau salah konfigurasi dan menguatkuasakan amalan terbaik keselamatan merentas semua pasukan.”
Akhil Mittal, pengurus kanan keselamatan siber di Synopsys Software Integrity Group, berkata insiden seperti yang dialami Fortinet menunjukkan mengapa adalah satu kesilapan bagi organisasi untuk menyerahkan keselamatan di sekitar aset awan mereka sepenuhnya kepada penyedia perkhidmatan awan. “Organisasi harus memikirkan semula cara mereka menyimpan data pelanggan dalam pemacu kongsi, memastikan maklumat kritikal disimpan berasingan daripada fail yang kurang sensitif,” katanya.
Adalah idea yang baik juga untuk menyulitkan data sensitif dalam transit dan semasa rehat, untuk mengurangkan kerosakan walaupun penyerang mendapat akses. Mittal menganggap pemantauan berterusan aset awan sebagai asas untuk melindunginya. “Menggunakan prinsip sifar amanah pada platform pihak ketiga juga memastikan tiada perkhidmatan luaran dipercayai secara automatik, mengurangkan risiko akses tanpa kebenaran,” tambahnya.