セキュリティ
前従業員のアカウントを無効にしなかったのは大きな間違いだった
PWNED セキュリティ上の失敗が厳しく検証されるPWNEDコラムへようこそ。今週の悲劇的な話は、基本的なアカウント管理を怠った自治体が、その代償を大きく支払うことになったというものです。
ネットワークに大きな穴を残した人についての話がありますか?[email protected]で私たちと共有してください。匿名性はリクエストに応じて利用可能です。
技術的な失敗の話は、テレメトリー用のAIプラットフォームであるCriblでセキュリティエンジニアリングおよび運用のシニアディレクターを務めるNicole Beckwithから寄せられました。彼女はかつてコンサルタントとして働いており、ある時点ではアメリカの都市のネットワークにおける侵害を調査するために雇われました。
脅威アクターは都市のオンラインリソースを「のんびりと見学」し、会議室プロジェクターや他の比較的害のないエンドポイントをいじり始めていました。その後、彼らは水道施設の設定を変更でき、多くの制御をオフに切ることで、水道供給を危険にさらす可能性があることに気付きました。
Beckwithが調査したとき、すべてのいたずらが「監査部門のGreg」に属するアカウントによって実行されていたことを彼女は発見しました。ただし1つの問題がありました。Gregは長年その都市のために働いていませんでした。
残念ながら、Gregはもはや存在していませんでしたが、彼のアカウントは存在し、ドメイン管理者権限、SCADA(監視制御およびデータ取得)オペレーターアクセス、さらにはヘルプデスク機能を実行する能力を含む広範な権限を保持していました。監査部門の誰かがこのレベルのアクセスを必要としていたのか明確ではありませんが、前従業員は確実に必要ではありませんでした。
ネットワークをハッキングしたのはGreg自身ではありませんでした。しかし、彼は仕事のメールアドレスを使用して様々なオンラインアカウントにサインアップしていました。その一部は以前のデータ漏洩で暴露されている可能性があります。彼女は、ハッカーが.govの電子メールアドレスを見て、それに伴う漏洩したパスワードで運試しをしようと決め、Gregがこれらの外部サービスで使用していたのと同じパスワードを仕事で使用した可能性が高いと推測しています。
ここにいくつかの教訓があります。まず、都市のITセキュリティを担当していた人々は、Gregが退職したときに彼のアカウントを削除し、定期的に監査を実施して、誰がアクセスを持っていて、まだ持つべきかどうかを確認すべきでした。
第二に、Gregは仕事の認証情報をショッピングやソーシャルメディアサイトなどのサードパーティサービスから分離して保つべきでした。また、複数の場所で同じパスワードを使用すべきではありませんでした。
「この明白な『頼むから、聖なるすべてのために、あなたの休止中のアカウントを監査してください』を超えた教訓は、忘れられたすべてのユーザーが5時のニュースに乗る簡単なチケットであるということです」とBeckwithはThe Registerに語りました。「四半期ごとのアクセスレビューは必須であるべきです。ユーザーが去ったときそれが終わりだと誰もが思っているようで、誰かが確実にアクセスを終了し、アカウントをプロビジョニング解除し、ツール、モバイル通信、電子メール、およびその他のビジネスクリティカルなシステムへのアクセスを削除したと思われていますが、残念ながら私はこのような単純な制御のためにこのような多くのインシデントに対応してきました。これはしばしば見落とされています。」 ®
