Numer telefonu : 13486085502
December 30, 2020
Bardziej niepokojące dla osób odpowiedzialnych za cyberbezpieczeństwo w korporacyjnych centrach danych są jednak dostawcy technologii, którzy wpuścili zainfekowane oprogramowanie SolarWinds Orion do swoich środowisk.O ile nam wiadomo, do tych dostawców należą obecnie Microsoft, Intel, Cisco, Nvidia, VMware, Belkin i firma FireEye zajmująca się cyberbezpieczeństwem, która jako pierwsza wykryła atak.
„Myślę, że liczba [skompromitowanych dostawców] wzrośnie” - powiedział Greg Touhill, który służył jako federalny CISO Stanów Zjednoczonych za prezydenta Baracka Obamy, a obecnie jest prezesem Appgate Federal Group.„Myślę, że kiedy rozwiążemy tkwiący za tym węzeł, odkryjemy, że SolarWinds nie był jedyną ofiarą, a FireEye nie była jedyną ofiarą w tej przestrzeni”.
Według SolarWinds, łącznie do 18 000 organizacji mogło pobrać tego trojana.Liczba organizacji będących celem ataków, które miałyby nastąpić po włamaniu do SolarWinds, jest obecnie nieznana.Microsoftpowiedzianyzidentyfikowała ponad 40 organizacji w tej ostatniej kategorii.Nie wymienił żadnego z nich, ale stwierdził, że 44 procent to firmy technologiczne
Inni badacze badali szczegóły techniczne złośliwego oprogramowania, aby zidentyfikować więcej ofiar drugiego rzędu.
ZA lista opublikowane przez firmę TrueSec zajmującą się cyberbezpieczeństwem, obejmują Cisco, Deloitte, szpital Mount Sinai i kilka innych szpitali, różnego rodzaju organizacje medyczne, samorządy, instytucje edukacyjne, przedsiębiorstwa energetyczne i instytucje finansowe.
Cisco i Deloitte są również na liście sporządzonej przez badaczy ds. Cyberbezpieczeństwa w Prevasio.Dodatkowo,ich listę obejmuje Ciena, Belkin, Nvidia, NCR, SAP, Intel i Digital Sense.
Skupienie się atakujących na korporacyjnych dostawcach IT jest szczególnie niepokojące, ponieważ może oznaczać, że włamanie do SolarWinds jest tylko jednym z wielu, że inni dostawcy technologii zostali naruszeni w taki sam sposób, jak SolarWinds.Mogłoby być jeszcze więcej wektorów ataku typu „back channel” w łańcuchu dostaw, przed którymi trudno jest się obronić.
Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury tak zrobiła ostrzeżony że atakujący mogli używać innych początkowych punktów dostępu poza SolarWinds.
Na przykład osoby atakujące wykorzystywały lukę dnia zerowego w produktach VMware do zarządzania dostępem i tożsamością do atakowania systemów rządowych, zgodnie z NSA.VMwarePotwierdzonyże został powiadomiony o luce przez NSA i opublikował łatkę na początku tego miesiąca.Firma VMware również to potwierdziłaznalezione instancje zainfekowanego oprogramowania SolarWinds w swoim środowisku, ale powiedział, że nie widzi dalszych dowodów na wykorzystanie.
Atak VMware miał jeszcze jedną wspólną cechę z SolarWinds.Atakujący wykorzystali własne kanały komunikacyjne jego oprogramowania, aby uniknąć wykrycia.Według NSA, działalność eksploatacyjna miała miejsce w zaszyfrowanym za pomocą TLS tunelu powiązanym z internetowym interfejsem zarządzania oprogramowania.
Cisco również Potwierdzonyże znalazł w swoim środowisku przypadki skompromitowanego produktu SolarWinds Orion.„W tej chwili nie ma żadnego znanego wpływu na produkty, usługi ani jakiekolwiek dane firmy Cisco”, a sieci IT w łańcuchu dostaw nie wykazały żadnych oznak naruszenia bezpieczeństwa - stwierdziła firma.
Ale to nie znaczy, że na dalszych etapach łańcucha nie ma żadnych problemów.
„Jeśli zewnętrzni producenci Cisco mają sieci IT niezwiązane z działalnością firmy Cisco, Cisco nie ma wglądu w te sieci” - powiedziała firma.„Cisco aktywnie współpracuje z dostawcami, aby ocenić potencjalny wpływ na ich działalność”.
Wiele tegorocznych najbardziej znanych ataków, takich jak rekordowa fala oprogramowania ransomware, wykorzystywali chęć użytkowników do klikania odsyłaczy w wiadomościach phishingowych lub wykorzystywali skradzione dane uwierzytelniające do włamywania się do systemów.
Kanał ataku SolarWinds nie angażował żadnych skompromitowanych użytkowników, aby zdobyć początkową pozycję.Zamiast tego atak odbył się całkowicie na zapleczu, poprzez skompromitowany proces aktualizacji oprogramowania.Centrum danych szukające oznak naruszenia podejrzanych zachowań użytkowników, pobierania złośliwego oprogramowania na urządzenia użytkowników lub nietypowej aktywności sieciowej nie miałoby nic do znalezienia - nawet jeśli atakujący wykorzystali platformę SolarWinds Orion do zbadania środowiska.
W rzeczywistości FireEye wykrył naruszenie dopiero wtedy, gdy osoba atakująca próbowała użyć skradzionych danych uwierzytelniających, aby zarejestrować nowe urządzenie do uwierzytelniania wieloskładnikowego.
„Gdyby MSZ go nie złapało, gdyby pracownik nie zgłosił kradzieży danych uwierzytelniających, nie zostałoby to odkryte” - powiedziała Liz Miller, wiceprezes i główny analityk w Constellation Research.„Nadal zapewniałoby otwarte drzwi każdemu”.
Touhill z Appgate zaleca, aby centra danych, które używają produktów SolarWinds, Cisco, VMware lub innych potencjalnie zagrożonych firm, musiały sprawdzić, jakie jest ich potencjalne ryzyko.
„Przyjrzyj się dostawcom, na których polegasz” - powiedział DCK.„Musisz rozmawiać ze swoimi dostawcami i sprawdzać, czy postępują zgodnie z najlepszymi praktykami, takimi jak sprawdzanie integralności ich kodu i wielokrotne sprawdzanie własnych systemów pod kątem jakichkolwiek oznak naruszenia bezpieczeństwa”.
Dodał, że to nie jest jednorazowa rozmowa.„Jeden i zrobiony nie będzie wystarczająco dobry”.
Pomocne dla menedżerów bezpieczeństwa centrów danych w następstwie włamania do SolarWinds jest ilość uwagi, jaką poświęcili temu atakowi badacze bezpieczeństwa.
„Wiemy, w jaki sposób został on naruszony i czego szukać” - powiedziała Ilia Kolochenko, dyrektor generalny ImmuniWeb, firmy zajmującej się cyberbezpieczeństwem.„Jestem jednak przekonany, że SolarWinds nie jest najbardziej niedbałą firmą na świecie. Można postawić hipotezę, że nie są jedyną ofiarą”.
Różnica polega na tym, że nikt nie wie, do jakich innych dostawców IT włamano się i jakie są te oznaki włamania.
Firma ImmuniWeb przeprowadziła niedawno badanie około 400 największych firm zajmujących się bezpieczeństwem cybernetycznym i odkryła, że 97 procent miało wycieki danych lub inne incydenty bezpieczeństwa ujawnione w ciemnej sieci, a także 91 firm z lukami w zabezpieczeniach witryn, które można było wykorzystać.Od września, kiedy toraport został opublikowany, 26 procent z nich nadal nie zostało naprawionych.
Naukowcy odkryli również ponad 100 000 incydentów wysokiego ryzyka, takich jak dane logowania, dostępnych w ciemnej sieci.„SolarWinds to prawdopodobnie tylko wierzchołek góry lodowej kompromisów firm technologicznych na całym świecie” - powiedział DCK Kolochenko.
„Nie możesz nikomu ufać, nawet swojemu dostawcy zabezpieczeń” - powiedział Holger Mueller, analityk z Constellation Research.Jedynym rozwiązaniem jest przegląd kodu.„Ale kto może i chce przeglądać kod źródłowy dostawców zabezpieczeń?”
W odpowiedzi może pojawić się nowy rodzaj dostawcy - taki, który zapewnia narzędzia sprawdzające oprogramowanie zabezpieczające pod kątem złośliwego oprogramowania - powiedział.
Naruszenie SolarWinds ilustruje inny problem, z jakim boryka się bezpieczeństwo IT w centrum danych - że musi ono ściślej współpracować z szerszymi zespołami IT.
Według niedawnego Ankietaautorstwa Ponemon Institute na zlecenie Devo, brak widoczności w infrastrukturze bezpieczeństwa IT jest główną barierą dla efektywności centrów bezpieczeństwa, wskazaną jako problem przez 70 procent specjalistów IT i bezpieczeństwa.A 64 procent twierdzi, że problemy z darniami i operacje na silosie stanowią główną przeszkodę dla skuteczności.
„Ten atak naprawdę powinien być ogromnym wezwaniem do przebudzenia dla zespołów IT i bezpieczeństwa, aby były znacznie bardziej wyrównane” - powiedział Miller z Constellation.
Brak widoczności utrudnia wykrywanie zagrożeń i reagowanie na nie.Według ankiety Ponemon, 39% organizacji stwierdziło, że odpowiedź na incydent bezpieczeństwa zajmowała średnio „miesiące lub nawet lata”.
„To jest dokładnie ten chaos i wyciszone zachowania, na których polegają napastnicy, szczególnie ci wyrafinowani” - powiedział Miller DCK.
Włamanie do SolarWinds po raz kolejny udowadnia, że każdy może zostać zhakowany, od najbardziej świadomych bezpieczeństwa agencji rządowych po najbardziej świadomych bezpieczeństwa dostawców cyberbezpieczeństwa.
Wyrafinowanym napastnikom stosunkowo łatwo jest pozostać poza zasięgiem radaru.
„Kiedy stworzyłem czerwony zespół, nie sądzę, żebym kiedykolwiek został złapany, dopóki nie zrobię czegoś naprawdę oczywistego lub nie narobię trochę hałasu” - powiedział David Wolpoff, CTO i współzałożyciel Randori, który na życie włamuje się do sieci firmowych.
Nie oznacza to, że menedżerowie bezpieczeństwa nie powinni próbować wykrywać naruszeń.
„Oczywiście, nie jesteśmy bezpieczni” - powiedział Wolpoff.„Nigdy nie będziemy bezpieczni. Ale zawsze dokonujemy tych kompromisów w życiu, a cyberprzestrzeń nie jest inna. Jakie ryzyko jesteś skłonny zaakceptować od swoich partnerów i dostawców? A jeśli coś pójdzie nie tak, jakie jest Twoje bezpieczny? ”
Na przykład, powiedział, każdy specjalista ds. Bezpieczeństwa, z którym rozmawia, mówi, że wierzy w domniemanie kompromisu i głębokiej obrony.„Ale wtedy nikt nie idzie i nie podejmuje takich działań”.
Centra danych, które nie przeszły jeszcze na model bezpieczeństwa zerowego zaufania, powinny zacząć planować, powiedział kilku ekspertów.
„Szczerze mówiąc, myślę, że wiele firm spóźnia się z wdrożeniem zasady zerowego zaufania i myślę, że to jeden z pierwszych kroków” - powiedział Touhill z Appgate.
„Jeśli nie przyjęliście jeszcze postawy zerowego zaufania w całej sieci centrum danych, teraz byłby wyjątkowy czas na wprowadzenie tego w życie” - powiedział Miller.
Zasady gry uległy zmianie, powiedział Mike Lloyd, CTO w RedSeal, firmie zajmującej się cyberbezpieczeństwem.
W przeszłości pytanie, które zadawali sobie menedżerowie bezpieczeństwa centrów danych, brzmiało: „Jak zmniejszyć ciemną przestrzeń, której nie widzę?”Teraz muszą zadać sobie pytanie: „Jak powstrzymać szkody spowodowane przez rzeczy, których używam do przeglądania mojej własnej sieci?”
„To jest perspektywa wywołująca zawroty głowy” - powiedział Lloyd.„Jeśli nie możesz ufać swojemu oprogramowaniu monitorującemu, jak możesz cokolwiek monitorować?”
