Was haben Identitätsdiebstahl, WhatsApp und ein böswillig erstelltes Microsoft Word-Dokument gemeinsam? Um diese Frage zu beantworten, möchte ich ein wenig zurückspulen.
Seit dem Ausbruch der COVID-19-Pandemie sind bereits einige Jahre vergangen, und Pharmaunternehmen stehen weiterhin unter hohem Druck, ihre Daten zu schützen, da das Gesundheitswesen nach wie vor ein Hauptziel für organisierte Cyberkriminalität ist. Die weit verbreitete Verlagerung zu Remote- und Hybrid-Arbeitsplätzen hat zu einem kontinuierlichen Wachstum der cloud in allen Branchen geführt , insbesondere in Organisationen des Gesundheitswesens, wo die Telemedizin und neue Anforderungen an Remote-Arbeitsplätze zugenommen haben.
Da das Gesundheitswesen nach wie vor in aller Munde ist, werden Cyberangreifer immer kreativer, wenn es darum geht, Organisationen unbemerkt zu infiltrieren.
Enter: an attacker posing as a recruiter leveraging a fraudulent LinkedIn profile based off an actual person with an extensive background in recruiting. This threat actor contacts people with the lure of a lucrative job offer, establishing rapport with their target via WhatsApp over several days. Finally, the target receives an infected Word document that, upon opening, would provide the attacker with access to an organization’s system. This social engineering allowed hackers to target and compromise company staff, just like the unsuspecting Employee Zero at Sanofi, a multinational pharmaceutical company. This is where our story starts.
Ich hatte das Privileg, mich mit Jean-Yves Poichotte, Group Head of Cybersecurity bei Sanofi, und Richard Webster, Head of Cyber Security Operations Center beiSanofi, zusammenzusetzen, um zu besprechen, wie dieser Angriff ablief und warum die Zusammenarbeit mit Vectra entscheidend für die Verhinderung einer Datenverletzung war.
"Wir haben viele Anbieter", sagte Jean-Yves. "Selten sind diejenigen, die ein gewisses Maß an Partnerschaft bieten. Vectra und sein Team bringen eine partnerschaftliche Einstellung mit."
Wertschöpfung mit Vectra
What happens when accounts are compromised, and an attacker infiltrates your organization through completely legitimate tools and processes? The malicious behavior of the attacker is hidden amongst the “normal” noise and doesn’t stand out with endpoint scans. In cases like this, endpoint detection and response (EDR) solutions have already been infected and can no longer combat the threat. This is precisely the problem that Sanofi solved with Vectra.
Wir füllten eine spezifische Lücke in Sanofis Sicherheitsprozess, indem wir dem Unternehmen volle Transparenz und Abdeckung zwischen seinen Unternehmens- und cloud -Bereitstellungen einschließlich seiner AWS-Infrastruktur verschafften. Während der Red-Team-Tests benötigte Sanofi eine Lösung, die Angriffe erkennt, die bestehende Tools wie EDR umgehen und in SIEM-Systemen (Security Information and Event Management) nicht gefunden werden können.
Die Vectra-Plattform wendet auf KI basierende Algorithmen für maschinelles Lernen an, um laufende Cyberangriffe automatisch zu erkennen, zu priorisieren und darauf zu reagieren. Vectra AI bietet einen umfassenden Einblick in das gesamte Netzwerk und die cloud sowie in alle Anwendungen, Betriebssysteme und Geräte, einschließlich Bring Your Own Device (BYOD) und Internet of Things (IoT).
This is why extending detection across every environment, including the cloud, was a core part of Sanofi’s strategy. As part of that effort, Sanofi leveraged Vectra AI to analyze behavior in their AWS environment — a focus that was reaffirmed with a renewed commitment to AWS coverage in 2024.
Die Sichtbarkeit von AWS erwies sich als entscheidend. Sie ermöglichte es Sanofi, Verhaltensweisen zu erkennen, die anderen Tools entgangen waren, und in Echtzeit zu reagieren, bevor der Angriff eskalieren konnte. Durch das Aufdecken von Signalen direkt aus der AWS-Infrastruktur konnte das Team Aktivitäten untersuchen, die mit endpoint allein nicht zu erkennen gewesen wären. Dieser Einblick war entscheidend, um die Bewegungen des Angreifers zu verfolgen und entscheidende Maßnahmen zu ergreifen.
"Wir sind seit langem Kunden von AWS und Vectra. Wir verlassen uns auf Vectra als eine wichtige Komponente unseres Erkennungs- und Reaktions-Toolkits", erklärt Jean-Yves. "Die Fähigkeit von Vectra, Bedrohungen zu erkennen, und der tiefe Datenschatz für Forensik und Ermittlungen bringen Kontext und machen es zu einer leistungsstarken Funktion, die wir zur Überwachung unseres Unternehmensnetzwerks und unserer cloud einsetzen. Es verschafft uns einen entscheidenden Einblick in das Angriffsverhalten über das Netzwerk, die Identität und die cloud. Insbesondere haben wir in aggressiven Red-Team-Tests leistungsstarke cloud gesehen. Und die Sofort-Untersuchungsseite zeigt alle Aktionen, die ein Konto in unserem Tenant durchgeführt hat - eine effiziente Untersuchungsfunktion. Bei realen und komplexen Vorfällen bringt sie enormen Kontext."
Die Fähigkeit von Vectra, diese Art von Abdeckung zu liefern, sowie die zusätzlichen AWS VPC Traffic Mirror-Daten machen es für Angreifer nahezu unmöglich, sie zu umgehen. Die Priorisierung der risikoreichsten Bedrohungen mit einem hohen Maß an Gewissheit ermöglicht einen sicheren Ansatz zur Automatisierung der Bedrohungsüberwachung. Laut Richard war es die Vectra-Technologie, die es dem Unternehmen ermöglichte, den Angriff zu erkennen und abzuwehren.
Der NDR ergänzt das SOC
Obwohl die Sicherheitsarchitektur von Sanofi darauf ausgelegt ist, komplexe Vorgänge zu bewältigen, gelang es diesem speziellen Angriff, die bereits vorhandenen Tools zu umgehen. Richard verriet: "Ich sage meinem Team immer, dass wir ständig neue Erkennungsnetze aufbauen müssen. Wir fügen Schicht um Schicht von Erkennungsnetzen hinzu, aber nur zwei davon haben bei diesem Angriff funktioniert." Die beiden fraglichen? Endpoint detection and response (EDR) und NDR.
Als ich Jean-Yves und Richard bat, sich zwischen EDR und NDR zu entscheiden, sagte Richard, dass beide für die Aufrechterhaltung einer sicheren Umgebung entscheidend sind. "Für mich ist es nicht das eine oder das andere - ich brauche beides. Ich möchte so viel Transparenz wie möglich und ich möchte mit EDR und NDR tiefgreifende forensische Untersuchungen durchführen." Er erzählte, dass Angreifer das Gerät endpoint kompromittieren und die EDR-Lösung deaktivieren können, während dies bei NDR nicht möglich ist. "Es ist schwieriger, NDR zu überwinden,", sagte er.
Während EDR für Endgeräte wichtig ist, ist NDR für das Netzwerk entscheidend. Sanofi setzte Detect und Recall gemeinsam ein, um Bedrohungen zu erkennen und den Verlauf des Angriffs zu verfolgen. Während Detect in Echtzeit half, unterstützte Recall das Sanofi-Team im Nachhinein bei der Durchführung forensischer Untersuchungen. Richard bemerkte: "Bei diesem speziellen Angriff konnten wir Recall aufrufen und Zeile für Zeile genau sehen, wie die Aufzählung der Freigaben aussah. Wir konnten die geöffneten Dateien sehen, die gelesenen Dateien, die Namen der Dateien und die Anzahl der Bytes." Diese vollständige Transparenz des Angriffsverlaufs diente dem Team als Grundlage für die Entwicklung von Erkennungsmechanismen, um ähnliche Taktiken in Zukunft zu verhindern.
Sanofi und Vectra: Gemeinsam besser
Jean-Yves, Richard und ich haben abschließend die Stärke der Partnerschaft zwischen unseren Organisationen unterstrichen. Dieser Angriff hat gezeigt, dass, wenn es einem Angreifer gelingt, Anmeldedaten zu stehlen und herkömmliche endpoint Lösungen zu umgehen, der NDR die Lücke effektiv schließt.
Die Vereitelung dieses Angriffs ist auch ein Beispiel für die Vorteile, die sich aus der engagierten Zusammenarbeit unserer Teams ergeben. Vectra stellt die Plattform zur Verfügung, während Sanofi seine einzigartigen Anwendungsfälle einbringt.
Da Sanofi seine Sicherheitsabläufe weiterentwickelt und seine cloud ausbaut, freuen sich Jean-Yves und Richard auf die weitere Zusammenarbeit mit Vectra. Jean-Yves kommentierte: "Vectra bringt seine Innovation und seinen hohen technischen Wert ein. Mein Team bei Sanofi bringt das Feedback zu den Lösungen ein. Und die Kombination ist der Weg des Fortschritts und der Reife."
Wir beendeten unser Gespräch mit einer ausgezeichneten Fragerunde, in der Fragen aus dem Publikum gestellt wurden. Wir konnten zwar nicht alle Beiträge live beantworten, aber wir haben sie alle in diesem Dokument mit den ungekürzten Kommentaren von Jean-Yves und Richard beantwortet.
Erfahren Sie alles über die Methoden, mit denen die Cyberkriminellen den Angriff durchführten - sie nutzten LinkedIn, WhatsApp und Microsoft Word - und wie Sanofi Detect und Recall von Vectra einsetzte, um den Angriff zu stoppen.