Was haben Identitätsdiebstahl, WhatsApp und ein böswillig erstelltes Microsoft Word-Dokument gemeinsam? Um diese Frage zu beantworten, möchte ich ein wenig zurückspulen.
Die COVID-19-Pandemie ist nun fast ein ganzes Jahr alt, und die Pharmaunternehmen stehen unter erheblichem Druck, ihre Daten zu sichern, da das Gesundheitswesen zu einem Hauptziel der organisierten Cyberkriminalität wird. Die gleichzeitige Umstellung auf Fernarbeit und -zusammenarbeit hat die rasche Einführung von cloud Diensten in allen Branchen vorangetrieben, insbesondere im Gesundheitswesen, wo es eine Zunahme der Telemedizin und neue Anforderungen an die Fernarbeit gibt.
Da alle Augen auf das Gesundheitswesen gerichtet sind, werden Cyberangreifer immer kreativer, wenn es darum geht, Organisationen unbemerkt zu infiltrieren.
Auftritt: Ein Angreifer gibt sich als Personalvermittler aus und nutzt ein gefälschtes LinkedIn-Profil, das auf einer tatsächlichen Person mit umfangreicher Erfahrung in der Personalbeschaffung basiert. Dieser Bedrohungsakteur kontaktiert Menschen mit der Verlockung eines lukrativen Jobangebots und baut über mehrere Tage hinweg per WhatsApp eine Beziehung zu seiner Zielperson auf. Schließlich erhält die Zielperson ein infiziertes Word-Dokument, das dem Angreifer nach dem Öffnen Zugang zum System eines Unternehmens verschafft. Dieses Social Engineering ermöglichte es den Hackern, Mitarbeiter eines Unternehmens ins Visier zu nehmen und zu kompromittieren, genau wie den ahnungslosen Employee Zero bei Sanofi, einem multinationalen Pharmaunternehmen. Hier beginnt unsere Geschichte.
Ich hatte das Privileg, mich mit Jean-Yves Poichotte, Group Head of Cybersecurity bei Sanofi, und Richard Webster, Head of Cyber Security Operations Center bei Sanofi, zusammenzusetzen, um mit ihnen zu besprechen, wie dieser Angriff ablief und warum die Zusammenarbeit mit Vectra entscheidend für die Verhinderung einer Datenverletzung war.
"Wir haben viele Anbieter", sagte Jean-Yves. "Selten sind diejenigen, die ein gewisses Maß an Partnerschaft bieten. Vectra und sein Team bringen eine partnerschaftliche Einstellung mit."
Wertschöpfung mit Vectra
Was passiert, wenn Konten kompromittiert werden und ein Angreifer Ihr Unternehmen über völlig legitime Tools und Prozesse infiltriert? Das bösartige Verhalten des Angreifers ist im "normalen" Rauschen versteckt und fällt bei endpoint -Scans nicht auf. In solchen Fällen sind die Lösungen von endpoint detection and response (EDR) bereits infiziert und können die Bedrohung nicht mehr bekämpfen. Genau dieses Problem hat Sanofi mit Vectra gelöst.
Wir füllten eine spezifische Lücke in Sanofis Sicherheitsprozess, indem wir dem Unternehmen volle Transparenz und Abdeckung zwischen seinen Unternehmens- und cloud -Bereitstellungen einschließlich seiner AWS-Infrastruktur verschafften. Während der Red-Team-Tests benötigte Sanofi eine Lösung, die Angriffe erkennt, die bestehende Tools wie EDR umgehen und in SIEM-Systemen (Security Information and Event Management) nicht gefunden werden können.
Die Cognito Network Detection and Response (NDR)-Plattform von Vectra wendet auf KI basierende Algorithmen des maschinellen Lernens an, um laufende Cyberangriffe automatisch zu erkennen, zu priorisieren und darauf zu reagieren. Cognito bietet einen umfassenden Einblick in das gesamte Netzwerk und cloud sowie in alle Anwendungen, Betriebssysteme und Geräte, einschließlich BYOD (Bring Your Own Device) und IoT (Internet of Things).
Die Fähigkeit von Cognito, den gesamten Netzwerk- und cloud -Datenverkehr kontinuierlich zu überwachen, sowie die zusätzlichen AWS VPC Traffic Mirror-Daten machen es für Angreifer unmöglich, diese zu umgehen. Die Priorisierung der risikoreichsten Bedrohungen mit einem hohen Maß an Gewissheit ermöglicht einen sicheren Ansatz zur Automatisierung der Bedrohungsüberwachung. Laut Richard war es der Cognito-Technologie zu verdanken, dass das Unternehmen den Angriff erkennen und abwehren konnte.
Der NDR ergänzt das SOC
Obwohl die Sicherheitsarchitektur von Sanofi darauf ausgelegt ist, komplexe Vorgänge zu bewältigen, gelang es diesem speziellen Angriff, die bereits vorhandenen Tools zu umgehen. Richard verriet: "Ich sage meinem Team immer, dass wir ständig neue Erkennungsnetze aufbauen müssen. Wir fügen Schicht um Schicht von Erkennungsnetzen hinzu, aber nur zwei davon haben bei diesem Angriff funktioniert." Die beiden fraglichen? Endpoint detection and response (EDR) und NDR.
Als ich Jean-Yves und Richard bat, sich zwischen EDR und NDR zu entscheiden, sagte Richard, dass beide für die Aufrechterhaltung einer sicheren Umgebung entscheidend sind. "Für mich ist es nicht das eine oder das andere - ich brauche beides. Ich möchte so viel Transparenz wie möglich und ich möchte mit EDR und NDR tiefgreifende forensische Untersuchungen durchführen." Er erzählte, dass Angreifer das Gerät endpoint kompromittieren und die EDR-Lösung deaktivieren können, während dies bei NDR nicht möglich ist. "Es ist schwieriger, NDR zu überwinden,", sagte er.
Während EDR für Endgeräte wichtig ist, ist NDR für das Netzwerk entscheidend. Sanofi setzte Detect und Recall gemeinsam ein, um Bedrohungen zu erkennen und den Verlauf des Angriffs zu verfolgen. Während Detect in Echtzeit half, unterstützte Recall das Sanofi-Team im Nachhinein bei der Durchführung forensischer Untersuchungen. Richard bemerkte: "Bei diesem speziellen Angriff konnten wir Recall aufrufen und Zeile für Zeile genau sehen, wie die Aufzählung der Freigaben aussah. Wir konnten die geöffneten Dateien sehen, die gelesenen Dateien, die Namen der Dateien und die Anzahl der Bytes." Diese vollständige Transparenz des Angriffsverlaufs diente dem Team als Grundlage für die Entwicklung von Erkennungsmechanismen, um ähnliche Taktiken in Zukunft zu verhindern.
Sanofi und Vectra: Gemeinsam besser
Jean-Yves, Richard und ich haben abschließend die Stärke der Partnerschaft zwischen unseren Organisationen unterstrichen. Dieser Angriff hat gezeigt, dass, wenn es einem Angreifer gelingt, Anmeldedaten zu stehlen und herkömmliche endpoint Lösungen zu umgehen, der NDR die Lücke effektiv schließt.
Die Vereitelung dieses Angriffs ist auch ein Beispiel für die Vorteile, die sich aus der engagierten Zusammenarbeit unserer Teams ergeben. Vectra stellt die Plattform zur Verfügung, während Sanofi seine einzigartigen Anwendungsfälle einbringt.
Da Sanofi sich weiterhin an die cloud anpasst und seine Unternehmenssicherheit ausbaut, freuen sich Jean-Yves und Richard auf eine kontinuierliche Partnerschaft mit uns bei Vectra. Jean-Yves kommentierte: "Vectra bringt seine Innovation und seinen hohen technischen Wert ein. Mein Team bei Sanofi bringt das Feedback zu den Lösungen ein. Und die Kombination ist der Weg des Fortschritts und der Reife."
Wir beendeten unser Gespräch mit einer ausgezeichneten Fragerunde, in der Fragen aus dem Publikum gestellt wurden. Wir konnten zwar nicht alle Beiträge live beantworten, aber wir haben sie alle in diesem Dokument mit den ungekürzten Kommentaren von Jean-Yves und Richard beantwortet.
Erfahren Sie alles über die Methoden, mit denen die Cyberkriminellen den Angriff durchführten - sie nutzten LinkedIn, WhatsApp und Microsoft Word - und wie Sanofi Detect und Recall von Vectra einsetzte, um den Angriff zu stoppen.