Was haben Identitätsdiebstahl, WhatsApp und ein böswillig erstelltes Microsoft Word-Dokument gemeinsam? Um diese Frage zu beantworten, möchte ich ein wenig zurückspulen.
Seit dem Ausbruch der COVID-19-Pandemie sind bereits einige Jahre vergangen, und Pharmaunternehmen stehen weiterhin unter hohem Druck, ihre Daten zu schützen, da das Gesundheitswesen nach wie vor ein Hauptziel für organisierte Cyberkriminalität ist. Die weit verbreitete Verlagerung zu Remote- und Hybrid-Arbeitsplätzen hat zu einem kontinuierlichen Wachstum der cloud in allen Branchen geführt , insbesondere in Organisationen des Gesundheitswesens, wo die Telemedizin und neue Anforderungen an Remote-Arbeitsplätze zugenommen haben.
Da das Gesundheitswesen nach wie vor in aller Munde ist, werden Cyberangreifer immer kreativer, wenn es darum geht, Organisationen unbemerkt zu infiltrieren.
Auftritt: Ein Angreifer gibt sich als Personalvermittler aus und nutzt ein gefälschtes LinkedIn-Profil, das auf einer tatsächlichen Person mit umfangreicher Erfahrung in der Personalbeschaffung basiert. Dieser Bedrohungsakteur kontaktiert Menschen mit der Verlockung eines lukrativen Jobangebots und baut über mehrere Tage hinweg per WhatsApp eine Beziehung zu seiner Zielperson auf. Schließlich erhält die Zielperson ein infiziertes Word-Dokument, das dem Angreifer nach dem Öffnen Zugang zum System eines Unternehmens verschafft. Dieses Social Engineering ermöglichte es den Hackern, Mitarbeiter eines Unternehmens ins Visier zu nehmen und zu kompromittieren, genau wie den ahnungslosen Employee Zero bei Sanofi, einem multinationalen Pharmaunternehmen. Hier beginnt unsere Geschichte.
Ich hatte das Privileg, mich mit Jean-Yves Poichotte, Group Head of Cybersecurity bei Sanofi, und Richard Webster, Head of Cyber Security Operations Center beiSanofi, zusammenzusetzen, um zu besprechen, wie dieser Angriff ablief und warum die Zusammenarbeit mit Vectra entscheidend für die Verhinderung einer Datenverletzung war.
"Wir haben viele Anbieter", sagte Jean-Yves. "Selten sind diejenigen, die ein gewisses Maß an Partnerschaft bieten. Vectra und sein Team bringen eine partnerschaftliche Einstellung mit."
Wertschöpfung mit Vectra
Was passiert, wenn Konten kompromittiert werden und ein Angreifer Ihr Unternehmen über völlig legitime Tools und Prozesse infiltriert? Das bösartige Verhalten des Angreifers ist im "normalen" Rauschen versteckt und fällt bei endpoint -Scans nicht auf. In solchen Fällen sind die Lösungen von endpoint detection and response (EDR) bereits infiziert und können die Bedrohung nicht mehr bekämpfen. Genau dieses Problem hat Sanofi mit Vectra gelöst.
Wir füllten eine spezifische Lücke in Sanofis Sicherheitsprozess, indem wir dem Unternehmen volle Transparenz und Abdeckung zwischen seinen Unternehmens- und cloud -Bereitstellungen einschließlich seiner AWS-Infrastruktur verschafften. Während der Red-Team-Tests benötigte Sanofi eine Lösung, die Angriffe erkennt, die bestehende Tools wie EDR umgehen und in SIEM-Systemen (Security Information and Event Management) nicht gefunden werden können.
Die Vectra-Plattform wendet auf KI basierende Algorithmen für maschinelles Lernen an, um laufende Cyberangriffe automatisch zu erkennen, zu priorisieren und darauf zu reagieren. Vectra AI bietet einen umfassenden Einblick in das gesamte Netzwerk und die cloud sowie in alle Anwendungen, Betriebssysteme und Geräte, einschließlich Bring Your Own Device (BYOD) und Internet of Things (IoT).
Aus diesem Grund war die Ausweitung der Erkennung auf alle Umgebungen, einschließlich der cloud, ein zentraler Bestandteil der Strategie von Sanofi. Als Teil dieser Bemühungen nutzte Sanofi Vectra AI , um das Verhalten in seiner AWS-Umgebung zu analysieren - ein Fokus, der mit einer erneuten Verpflichtung zur AWS-Abdeckung im Jahr 2024 bekräftigt wurde.
Die Sichtbarkeit von AWS erwies sich als entscheidend. Sie ermöglichte es Sanofi, Verhaltensweisen zu erkennen, die anderen Tools entgangen waren, und in Echtzeit zu reagieren, bevor der Angriff eskalieren konnte. Durch das Aufdecken von Signalen direkt aus der AWS-Infrastruktur konnte das Team Aktivitäten untersuchen, die mit endpoint allein nicht zu erkennen gewesen wären. Dieser Einblick war entscheidend, um die Bewegungen des Angreifers zu verfolgen und entscheidende Maßnahmen zu ergreifen.
"Wir sind seit langem Kunden von AWS und Vectra. Wir verlassen uns auf Vectra als eine wichtige Komponente unseres Erkennungs- und Reaktions-Toolkits", erklärt Jean-Yves. "Die Fähigkeit von Vectra, Bedrohungen zu erkennen, und der tiefe Datenschatz für Forensik und Ermittlungen bringen Kontext und machen es zu einer leistungsstarken Funktion, die wir zur Überwachung unseres Unternehmensnetzwerks und unserer cloud einsetzen. Es verschafft uns einen entscheidenden Einblick in das Angriffsverhalten über das Netzwerk, die Identität und die cloud. Insbesondere haben wir in aggressiven Red-Team-Tests leistungsstarke cloud gesehen. Und die Sofort-Untersuchungsseite zeigt alle Aktionen, die ein Konto in unserem Tenant durchgeführt hat - eine effiziente Untersuchungsfunktion. Bei realen und komplexen Vorfällen bringt sie enormen Kontext."
Die Fähigkeit von Vectra, diese Art von Abdeckung zu liefern, sowie die zusätzlichen AWS VPC Traffic Mirror-Daten machen es für Angreifer nahezu unmöglich, sie zu umgehen. Die Priorisierung der risikoreichsten Bedrohungen mit einem hohen Maß an Gewissheit ermöglicht einen sicheren Ansatz zur Automatisierung der Bedrohungsüberwachung. Laut Richard war es die Vectra-Technologie, die es dem Unternehmen ermöglichte, den Angriff zu erkennen und abzuwehren.
Der NDR ergänzt das SOC
Obwohl die Sicherheitsarchitektur von Sanofi darauf ausgelegt ist, komplexe Vorgänge zu bewältigen, gelang es diesem speziellen Angriff, die bereits vorhandenen Tools zu umgehen. Richard verriet: "Ich sage meinem Team immer, dass wir ständig neue Erkennungsnetze aufbauen müssen. Wir fügen Schicht um Schicht von Erkennungsnetzen hinzu, aber nur zwei davon haben bei diesem Angriff funktioniert." Die beiden fraglichen? Endpoint detection and response (EDR) und NDR.
Als ich Jean-Yves und Richard bat, sich zwischen EDR und NDR zu entscheiden, sagte Richard, dass beide für die Aufrechterhaltung einer sicheren Umgebung entscheidend sind. "Für mich ist es nicht das eine oder das andere - ich brauche beides. Ich möchte so viel Transparenz wie möglich und ich möchte mit EDR und NDR tiefgreifende forensische Untersuchungen durchführen." Er erzählte, dass Angreifer das Gerät endpoint kompromittieren und die EDR-Lösung deaktivieren können, während dies bei NDR nicht möglich ist. "Es ist schwieriger, NDR zu überwinden,", sagte er.
Während EDR für Endgeräte wichtig ist, ist NDR für das Netzwerk entscheidend. Sanofi setzte Detect und Recall gemeinsam ein, um Bedrohungen zu erkennen und den Verlauf des Angriffs zu verfolgen. Während Detect in Echtzeit half, unterstützte Recall das Sanofi-Team im Nachhinein bei der Durchführung forensischer Untersuchungen. Richard bemerkte: "Bei diesem speziellen Angriff konnten wir Recall aufrufen und Zeile für Zeile genau sehen, wie die Aufzählung der Freigaben aussah. Wir konnten die geöffneten Dateien sehen, die gelesenen Dateien, die Namen der Dateien und die Anzahl der Bytes." Diese vollständige Transparenz des Angriffsverlaufs diente dem Team als Grundlage für die Entwicklung von Erkennungsmechanismen, um ähnliche Taktiken in Zukunft zu verhindern.
Sanofi und Vectra: Gemeinsam besser
Jean-Yves, Richard und ich haben abschließend die Stärke der Partnerschaft zwischen unseren Organisationen unterstrichen. Dieser Angriff hat gezeigt, dass, wenn es einem Angreifer gelingt, Anmeldedaten zu stehlen und herkömmliche endpoint Lösungen zu umgehen, der NDR die Lücke effektiv schließt.
Die Vereitelung dieses Angriffs ist auch ein Beispiel für die Vorteile, die sich aus der engagierten Zusammenarbeit unserer Teams ergeben. Vectra stellt die Plattform zur Verfügung, während Sanofi seine einzigartigen Anwendungsfälle einbringt.
Da Sanofi seine Sicherheitsabläufe weiterentwickelt und seine cloud ausbaut, freuen sich Jean-Yves und Richard auf die weitere Zusammenarbeit mit Vectra. Jean-Yves kommentierte: "Vectra bringt seine Innovation und seinen hohen technischen Wert ein. Mein Team bei Sanofi bringt das Feedback zu den Lösungen ein. Und die Kombination ist der Weg des Fortschritts und der Reife."
Wir beendeten unser Gespräch mit einer ausgezeichneten Fragerunde, in der Fragen aus dem Publikum gestellt wurden. Wir konnten zwar nicht alle Beiträge live beantworten, aber wir haben sie alle in diesem Dokument mit den ungekürzten Kommentaren von Jean-Yves und Richard beantwortet.
Erfahren Sie alles über die Methoden, mit denen die Cyberkriminellen den Angriff durchführten - sie nutzten LinkedIn, WhatsApp und Microsoft Word - und wie Sanofi Detect und Recall von Vectra einsetzte, um den Angriff zu stoppen.