CISA ได้ออกเตือนถึงเหตุการณ์ทั่วไปที่ตนพบเกี่ยวกับการโจมตีบัญชี Cloud ที่เกิดขึ้นได้บ่อย และมีบางกรณีที่คนร้ายสามารถลัดผ่านการป้องกันด้วย Multi-factor Authentication ได้
การออกเตือนของ CISA เป็นสิ่งที่สะสมมาจากเหตุการณ์ Incident ที่หน่วยงานพบเกี่ยวกับการโจมตีบัญชี Cloud โดยเฉพาะการทำงานผ่านทางไกลผ่านอุปกรณ์ของบริษัทหรือการใช้อุปกรณ์ส่วนตัวเข้าใช้ทำงานบนคลาวด์ ซึ่งเทคนิคการโจมตีที่ CISA พบมีดังนี้
- แฮ็กเกอร์ได้ Credentials จากการทำ Phishing อีเมลจากเหยื่อรายหนึ่ง และขยายผลต่อไปยังเหยื่อรายอื่นในองค์กร
- ในส่วนของการตั้งค่า Rule Forwarding ในอีเมลพบได้ 3 กรณีคือ 1.) แฮ็กเกอร์แก้ไข Rule เดิมของผู้ใช้ที่กรอง Sender และส่งต่อไปหาบัญชีส่วนตัว เปลี่ยนเป็นบัญชีของแฮ็กเกอร์แทน 2.) แก้ไข Rule คัดเฉพาะอีเมลที่มีคำที่น่าสนใจเช่นเกี่ยวกับเรื่องเงินให้ส่งต่อไปหาคนร้าย 3.) สร้าง Rule ใหม่เพื่อส่งการแจ้งเตือนไปหาคนร้ายไม่ให้ผู้ใช้งานรับทราบความผิดปกติ
- มีการทำ Brute-force Attack
- ในบาง Incident คนร้ายสามารถ Bypass การป้องกันของ MFA ด้วย ‘pass-the-cookie‘ หรือการขโมย Cookie ซึ่งผู้ใช้ได้ผ่านการพิสูจน์ตัวตนมาแล้ว
โดย CISA แนะวิธีการบรรเทาปัญหาไว้คร่าวๆ ดังนี้
- ใช้ Conditional Access Policy โดยต้องสร้าง Baseline กิจกรรมการใช้งานปกติเสียก่อน
- ตรวจสอบ Log อยู่เสมอ
- เปิดใช้ MFA
- รีวิวและตรวจสอบการตั้งค่า Email Forwarding Rule ของผู้ใช้และการแจ้งเตือนต่างๆ
- ตรวจสอบระดับสิทธิ์การเข้าถึงอย่างเหมาะสม
- ป้องกันการเข้าใช้ของอุปกรณ์ส่วนตัว อนุญาตต่อเมื่อหากจำเป็นจริง
- อนุญาตใช้เฉพาะแอปพลิเคชันที่องค์กรมั่นใจ
- ปิดช่องทางการเข้าถึงของ RDP ในเครื่องบน Cloud ด้วย Public IP
- เปิด Access Log ของการใช้งาน
- ปิดการพิสูจน์ตัวตนด้วยโปรโตคอลที่ล้าสมัย
- ให้ความรู้แก่พนักงานเกี่ยวกับภัยคุกคามและเปิดให้รายงานแจ้งเหตุน่าสงสัยเข้ามาได้
- การป้องกัน pass-the-cookie ไม่ตายตัวแต่ โดยเบื้องต้นคือต้องจัดการตั้งค่า Cookie ให้เหมาะสม
- สำหรับองค์กรที่ใช้งาน Microsoft 365 ให้ปิดการรีโมตเข้า Exchange ด้วย PowerShell จากผู้ใช้ทั่วไป หรือจำกัดจำนวนครั้งที่ล้มเหลวในการล็อกอินเพื่อป้องกันการเดารหัสผ่าน เป็นต้น
ศึกษารายงานจาก CISA ได้ที่ https://us-cert.cisa.gov/ncas/analysis-reports/ar21-013a
ที่มา : https://www.securityweek.com/cisa-warns-organizations-about-attacks-cloud-services และ https://www.bleepingcomputer.com/news/security/cisa-hackers-bypassed-mfa-to-access-cloud-service-accounts/