Conclusión de la investigación: 31 de enero de 2024
Esta es nuestra última actualización de este boletín de seguridad que describe nuestro incidente de seguridad de noviembre de 2023 que involucró el acceso no autorizado a nuestro entorno de prueba. New Relic, destacados expertos cibernéticos y empresas forenses llevaron a cabo una investigación exhaustiva sobre el incidente y juntos proporcionaron actualizaciones de este boletín de seguridad a medida que la información estuvo disponible. La investigación ha concluido y estamos compartiendo información adicional sobre nuestros hallazgos.
Fondo
En noviembre de 2023, New Relic tuvo conocimiento de un acceso no autorizado a nuestro entorno de prueba, un entorno interno que proporciona visibilidad e información relacionada con el uso y la operación de nuestros servicios por parte de nuestros clientes para fines de resolución de problemas (“Entorno de prueba” ). El entorno de prueba mantiene los datos de observabilidad propios de New Relic , incluidos registros de eventos, trazas y otros archivos de diagnóstico, lo que garantiza que tengamos visibilidad en caso de una falla en nuestros clientes frente al entorno de producción. En particular, los datos de telemetría y aplicación enviados a New Relic por nuestros clientes en su uso de la plataforma New Relic no residen en nuestro entorno de prueba.
Al enterarnos del acceso no autorizado al entorno de prueba, tomamos medidas inmediatas para evaluar la integridad de la aplicación interna, los sistemas y la infraestructura. Activamos nuestro plan de respuesta a incidentes y contratamos a varios expertos externos en ciberseguridad para realizar una investigación exhaustiva sobre el impacto en nuestros clientes y nuestro negocio.
Durante el curso de la investigación, descubrimos que el actor no autorizado utilizó credenciales robadas en conexión con una única cuenta de empleado de New Relic para obtener acceso al entorno de prueba. El acceso no autorizado se produjo poco antes de completar una migración planificada del resto de nuestro empleado a nuestro modelo mejorado de gestión de usuarios para mayor seguridad.
New Relic revocó inmediatamente el acceso a la cuenta del empleado comprometida. También analizamos el impacto potencial para los clientes al buscar en el entorno de prueba contraseñas, clave de API, identificador de usuario, incluidos nombres de usuario y otros datos de los clientes. Nuestra investigación también confirmó que no hubo movimiento lateral desde el entorno de prueba a las cuentas de ningún cliente en entornos separados o al entorno de producción de New Relic .
Pasos adicionales para endurecer el ambiente.
Tomamos medidas adicionales para remediar el impacto del incidente, incluso eliminando secretos de nuestras reglas de registro, y tomamos medidas para fortalecer aún más nuestros sistemas, como implementar capas adicionales de controles técnicos, mejorar nuestros controles de acceso a la red y acelerar la migración. de nuestro usuario empleado restante a nuestro modelo de gestión de usuarios mejorado. Estos pasos adicionales fueron tomados y completados.
Hallazgos del incidente
Nuestra investigación sobre el incidente de prueba Ambiental está completa y ha revelado lo siguiente:
- El actor no autorizado utilizó una única cuenta de empleado de New Relic para obtener acceso al entorno de prueba de New Relic.
- Toda la actividad del actor no autorizado dentro del entorno de prueba de New Relic ha sido identificada y revisada exhaustivamente por New Relic y nuestras firmas forenses líderes en la industria.
- Entre el 24 de octubre y el 15 de noviembre de 2023, el actor no autorizado ejecutó consultas de búsqueda específicas y extrajo los resultados de estas consultas del entorno de prueba.
- La última actividad no autorizada observada en el Entorno de prueba fue el 16 de noviembre de 2023. No hay indicios de acceso persistente por parte del actor no autorizado en el entorno de prueba de New Relic.
- Un porcentaje muy pequeño de nuestros clientes se vio afectado por la consulta de búsqueda realizada por el actor no autorizado.
- No hay indicios de movimiento lateral desde nuestro entorno de prueba a las cuentas de New Relic de ningún cliente en el entorno de producción separado o a la infraestructura de producción de New Relic .
Tácticas, técnicas y procedimientos (TTP)
En apoyo de nuestra industria y comunidad en su conjunto, compartimos las tácticas, técnicas y procedimientos (TTP) utilizados por este actor no autorizado para que nuestra comunidad pueda aprovechar esta información para identificar riesgos potenciales para sus entornos. Estos TTP fueron descubiertos y confirmados mediante la investigación realizada por New Relic en asociación con expertos forenses y de ciberseguridad.
El actor no autorizado utilizó las siguientes tácticas, técnicas y procedimientos (TTP):
- Relleno de credenciales;
- Uso de Protonmail (proton.me) para comunicarse;
- Uso de servicios VPN, incluido NordVPN, para acceder a servicios públicos; y
- Extracción programática de datos mediante API.
Esfuerzos de erradicación y remediación
Entendemos que la mejor defensa comienza aquí en New Relic. New Relic tomó una serie de acciones para erradicar el acceso del actor no autorizado durante el incidente, que incluyen:
- Revocar inmediatamente el acceso a la cuenta del empleado comprometida;
- Bloquear indicadores de compromiso asociados con el ataque;
- Reforzar aún más los controles de acceso y las defensas contra el robo de credenciales, aprovechando un conjunto de herramientas de seguridad líder en la industria; aumentar nuestra capacidad para monitor la seguridad en toda nuestra empresa; y
- Brindar educación y concientización cibernética adicional a nuestros empleados.
Recomendaciones de clientes
Hemos completado nuestro acercamiento proactivo a los clientes cuyas cuentas se vieron afectadas por este incidente para ayudarlos a comprender el impacto y comunicarles los pasos correctivos sugeridos. Si no ha recibido instrucciones específicas sobre sus sistemas, no debe realizar ninguna acción. Los clientes deben revisar nuestros boletines de seguridad y guías de seguridad para conocer las mejores prácticas. No hay medidas adicionales que deba tomar más allá de lo que ya se le ha comunicado.
Lamentamos cualquier inconveniente que este incidente haya causado a nuestros clientes. Nuestro CEO, CTO y CISO están alineados sobre el estado futuro de la seguridad en New Relic. Comparten el mismo compromiso de realizar amplias mejoras en nuestra postura de seguridad y, específicamente, de evitar que ocurra el mismo tipo de incidente en el futuro. Hemos hablado con muchos clientes, incluidos aquellos que no se vieron afectados directamente por este incidente, y hemos compartido tanto nuestro compromiso de hacerlo mejor como las mejoras significativas que hemos realizado en nuestra postura de seguridad. Continuaremos realizando inversiones a largo plazo para recuperar la confianza de nuestros clientes. Apreciamos profundamente la comprensión y el apoyo que los clientes han mostrado. A todos nuestros clientes: esperamos continuar trabajando juntos.