Conclusão da investigação: 31 de janeiro de 2024
Esta é a atualização final deste boletim de segurança que descreve nosso incidente de segurança de novembro de 2023 envolvendo acesso não autorizado ao nosso ambiente de preparação. A New Relic, os principais especialistas cibernéticos e empresas forenses conduziram uma extensa investigação sobre o incidente e, juntos, forneceram atualizações a este boletim de segurança à medida que as informações eram disponibilizadas. A investigação foi concluída e estamos compartilhando informações adicionais sobre nossas descobertas.
Fundo
Em novembro de 2023, New Relic tomou conhecimento do acesso não autorizado ao nosso ambiente de preparação – um ambiente interno que fornece visibilidade e informações relacionadas ao uso e operação de nossos serviços por nossos clientes para fins de resolução de problemas (“Ambiente de preparação”). O Ambiente de Preparação mantém dados de observabilidade próprios da New Relic , incluindo eventos de log, trace e outros arquivos de diagnóstico, garantindo que tenhamos visibilidade em caso de falha em nossos clientes frente ao ambiente de produção. Notavelmente, os dados de telemetria e aplicativos enviados à New Relic por nossos clientes no uso da plataforma New Relic não residem em nosso Ambiente de preparação.
Ao tomar conhecimento do acesso não autorizado ao Ambiente de Preparação, tomamos medidas imediatas para avaliar a integridade dos aplicativos, sistemas e infraestrutura internos. Ativamos nosso plano de resposta a incidentes e contratamos vários especialistas terceirizados em segurança cibernética para conduzir uma investigação completa sobre o impacto para nossos clientes e nossos negócios.
Durante o curso da investigação, descobrimos que o ator não autorizado usou credenciais roubadas em conexão com uma única conta de funcionário New Relic para obter acesso ao Ambiente de preparação. O acesso não autorizado ocorreu pouco antes da conclusão de uma migração planejada do restante de nossos funcionários para nosso modelo aprimorado de gerenciamento de usuários para maior segurança.
A New Relic revogou imediatamente o acesso à conta comprometida do funcionário. Também analisamos o impacto potencial para os clientes pesquisando no Ambiente de preparação senhas, chave de API, identificador de usuário, incluindo nomes de usuário e outros dados de clientes. Nossa investigação também confirmou que não houve movimentação lateral do ambiente de preparação para contas de clientes em ambientes separados ou para o ambiente de produção da New Relic .
Etapas adicionais para proteger o ambiente
Tomamos medidas adicionais para remediar o impacto do incidente, inclusive eliminando segredos de nossas regras de registro, e tomamos medidas para fortalecer ainda mais nossos sistemas, como implementar camadas adicionais de controles técnicos, aprimorar nossos controles de acesso à rede e acelerar a migração do nosso funcionário usuário restante para o nosso modelo aprimorado de gerenciamento de usuários. Essas etapas adicionais foram executadas e concluídas.
Descobertas do incidente
Nossa investigação sobre o incidente de preparação ambiental foi concluída e revelou o seguinte:
- O ator não autorizado utilizou uma única conta de funcionário New Relic para obter acesso ao ambiente de preparação da New Relic .
- Todas as atividades do ator não autorizado no ambiente de preparação da New Relicforam amplamente identificadas e revisadas pela New Relic e por nossas empresas forenses líderes do setor.
- Entre 24 de outubro e 15 de novembro de 2023, o ator não autorizado executou consultas de pesquisa específicas e exfiltrou esses resultados da consulta do Ambiente de preparação.
- A última atividade não autorizada observada no Ambiente de Preparação foi em 16 de novembro de 2023. Não há indicação de acesso persistente por parte do ator não autorizado no ambiente de preparação da New Relic .
- Uma percentagem muito pequena dos nossos clientes foi impactada pela consulta de pesquisa executada pelo agente não autorizado.
- Não há indicação de movimento lateral do nosso ambiente de preparação para contas New Relic de quaisquer clientes no ambiente de produção separado ou para a infraestrutura de produção da New Relic .
Táticas, técnicas e procedimentos (TTPs)
Em apoio à nossa indústria e à comunidade como um todo, estamos compartilhando as táticas, técnicas e procedimentos (TTPs) utilizados por esse ator não autorizado para que nossa comunidade possa aproveitar essas informações para identificar riscos potenciais aos seus ambientes. Esses TTPs foram descobertos e confirmados por meio da investigação realizada pela New Relic em parceria com especialistas forenses e de segurança cibernética.
O ator não autorizado usou as seguintes táticas, técnicas e procedimentos (TTPs):
- Recheio de credenciais;
- Uso do Protonmail (proton.me) para comunicação;
- Utilização de serviços VPN incluindo NordVPN para acesso a serviços públicos; e
- Extração de dados programática usando API.
Esforços de erradicação e remediação
Entendemos que a melhor defesa começa aqui mesmo na New Relic. A New Relic tomou uma série de ações para erradicar o acesso do ator não autorizado durante o incidente, incluindo:
- Revogar imediatamente o acesso à conta do funcionário comprometida;
- Bloqueio de indicadores de comprometimento associados ao ataque;
- Reforçar ainda mais os controles de acesso e as defesas contra roubo de credenciais, aproveitando um conjunto de ferramentas de segurança líder do setor; aumentando a nossa capacidade de monitor a segurança em toda a nossa empresa; e
- Fornecer educação e conscientização cibernética adicional ao nosso funcionário.
Recomendações de clientes
Concluímos nossa divulgação proativa aos clientes cujas contas foram afetadas por esse incidente, a fim de ajudá-los a compreender o impacto e a comunicar as etapas de correção sugeridas. Se você não recebeu instruções específicas sobre seus sistemas, não há nenhuma ação que você precise tomar. Os clientes devem revisar nossos boletins de segurança e guias de segurança para conhecer as práticas recomendadas. Não há medidas adicionais que você precise tomar além do que já foi comunicado a você.
Lamentamos qualquer inconveniente que este incidente tenha causado aos nossos clientes. Nosso CEO, CTO e CISO estão alinhados com o futuro estado da segurança na New Relic. Eles compartilham o mesmo compromisso de fazer melhorias amplas em nossa postura de segurança e, especificamente, de prevenir a ocorrência do mesmo tipo de incidente no futuro. Conversamos com muitos clientes, incluindo aqueles que não foram diretamente afetados por este incidente, e compartilhamos nosso compromisso de fazer melhor e as melhorias significativas que fizemos em nossa postura de segurança. Continuaremos fazendo investimentos de longo prazo para reconquistar a confiança de nossos clientes. Agradecemos profundamente a compreensão e o apoio que os clientes demonstraram. A todos os nossos clientes, esperamos continuar trabalhando juntos.