2023 का Thanksgiving सुरक्षा घटना
(blog.cloudflare.com)2023 का Thanksgiving सुरक्षा घटना
- 23 नवंबर 2023, Thanksgiving के दिन Cloudflare ने अपने self-hosted Atlassian server में एक threat actor का पता लगाया।
- security team ने तुरंत जांच शुरू की और threat actor की access को block कर दिया।
- 26 नवंबर को CrowdStrike की forensic team को independent analysis के लिए बुलाया गया।
- CrowdStrike ने जांच पूरी की और Cloudflare ने इस blog post के जरिए सुरक्षा घटना का विवरण साझा किया।
- Cloudflare ने इस बात पर जोर दिया कि इस घटना से Cloudflare customers का data या systems प्रभावित नहीं हुए।
- access control, firewall rules, और Zero Trust tools के साथ hard security key enforcement के कारण threat actor की lateral movement क्षमता सीमित रही।
“Code Red” recovery और hardening कार्य
- threat actor को environment से हटाने के बाद, security team ने intrusion investigation और access blocking पूरा करने के लिए कंपनी भर में आवश्यक सभी लोगों को शामिल किया।
- 27 नवंबर से technical staff को जुटाकर "Code Red" नाम के project पर फोकस किया गया।
- इस project का लक्ष्य environment के भीतर सभी controls को मजबूत और verify करना था, ताकि भविष्य के intrusions के लिए तैयारी की जा सके और threat actor दोबारा environment तक पहुंच न सके।
- CrowdStrike ने threat actor की activity के दायरे और स्तर का independent assessment किया।
हमले की timeline
- हमला अक्टूबर में Okta के security breach से शुरू हुआ, और threat actor ने नवंबर के मध्य से Okta breach से प्राप्त credentials का उपयोग करके Cloudflare systems को target किया।
- 18 अक्टूबर को हुए Okta breach के कारण threat actor को credentials तक पहुंच मिली।
- 14 नवंबर से threat actor ने system reconnaissance और access attempts शुरू किए।
- 15 नवंबर को Atlassian Jira और Confluence तक सफलतापूर्वक पहुंच बनाई गई।
- 16 नवंबर को एक Atlassian user account बनाया गया।
- 17 नवंबर से 20 नवंबर तक Cloudflare systems तक कोई पहुंच नहीं बनाई गई।
- 22 नवंबर को persistent access के लिए Sliver Adversary Emulation Framework install किया गया।
- 23 नवंबर को security team ने threat actor की मौजूदगी का पता लगाया और access blocking शुरू की।
निष्कर्ष
- अनुमान है कि यह घटना एक nation-state backed attacker द्वारा की गई थी, और Cloudflare ने इसके प्रभाव को सीमित करने तथा भविष्य के हमलों की तैयारी के लिए काफी प्रयास किए।
- Cloudflare की engineering team ने systems की सुरक्षा, threat actor की access को समझने, तात्कालिक प्राथमिकताओं को हल करने और overall security सुधारने के लिए एक योजना बनाई।
- CrowdStrike ने independent assessment किया, और final report पूरी होने के बाद Cloudflare ने अपने internal analysis और intrusion पर की गई कार्रवाई को लेकर भरोसे के साथ यह blog post प्रकाशित किया।
GN⁺ की राय:
- यह घटना Cloudflare की Zero Trust architecture के महत्व को रेखांकित करती है। यह systems के बीच isolation के जरिए पूरे संगठन में खतरे के फैलाव को सीमित करने के तरीके से काम करती है।
- Cloudflare की तेज प्रतिक्रिया और "Code Red" project के जरिए security strengthening का प्रयास इस बात पर उपयोगी insight देता है कि कंपनियां cyber security threats का जवाब कैसे देती हैं।
- यह लेख cyber security incident होने पर संगठन कैसे प्रतिक्रिया दें और कौन-से कदम उठाएं, इसे समझाने वाला एक उपयोगी उदाहरण है।
1 टिप्पणियां
Hacker News की राय
Cloudflare की blog post जैसी कार्रवाइयाँ भरोसा क्यों दिलाती हैं
डेटा लीक की समस्या
Okta सिस्टम की सुरक्षा समस्या
rotate न किए गए service token और account
हमलावर की सीमित पहुँच और response action
हमलावर के उद्देश्य का विश्लेषण
Cloudflare के BitBucket उपयोग पर आश्चर्य
उपयोग में न माने गए credentials का प्रबंधन
Okta घटना के बाद credential rotation और honeypot का सुझाव
Zero Trust (ZT) पर सवाल
पृष्ठभूमि ज्ञान: Cloudflare इंटरनेट security services और distributed domain name server services देने वाली कंपनी है, और Okta identity and access management services देने वाली कंपनी है. Zero Trust network security का एक मॉडल है, जिसमें मूल रूप से किसी भी user या device पर भरोसा नहीं किया जाता और verification-आधारित approach अपनाई जाती है.