Jedes Mal, wenn es zu einem größeren Angriff oder einer Sicherheitslücke kommt, wird die Schuld schnell zugewiesen. Meistens landet die Schuld auf den Schultern der Sicherheitsteams, die bereits alles tun, was mit der ihnen zur Verfügung stehenden Zeit und den Ressourcen möglich ist. Doch Schuldzuweisungen können unproduktiv sein. Wenn man stattdessen versteht, wie und warum es zu einem Angriff gekommen ist, kann man die Art und Weise, wie Unternehmen Sicherheitsvorgänge bekämpfen und verwalten, weiterentwickeln.
Nehmen wir zum Beispiel den jüngsten - und noch andauernden - Einbruch bei SolarWinds. Bei diesem Angriff wurden alle typischen Präventionsmaßnahmen wie Multi-Faktor-Authentifizierung (MFA), Netzwerk-Sandboxen und endpoint detection and response (EDR) umgangen. Die Angreifer nutzten legitime Tools, um bösartige Aktionen durchzuführen, wodurch alle Präventivmaßnahmen wirkungslos wurden.
Nach dem Einbruch nutzten die Angreifer mehrere Kommunikationskanäle, Phasen und Tools, um die interaktive Kontrolle über die Tastatur zu erlangen. Jede Phase war darauf ausgelegt, die Wahrscheinlichkeit einer Entdeckung zu minimieren, und zwar mit Techniken, die die Signaturen von Intrusion Detection System (IDS)-Tools, endpoint detection and response (EDR), manuelle threat hunting und sogar gängige Ansätze für eine auf maschinellem Lernen basierende (ML) Erkennung umgehen.
Enthüllung des SolarWinds Supply-Chain-Angriffs: Ein heimlicher und ausgeklügelter Einbruch mit Cloud und Office 365 als Hauptziele
Der Angriff auf die Lieferkette von SolarWinds wurde mit dem Ziel inszeniert, einen verdeckten und zuverlässigen Command and Control (C2)-Kanal zwischen den Angreifern und einer vertrauenswürdigen, privilegierten Infrastrukturkomponente innerhalb des Rechenzentrums, nämlich SolarWinds, einzurichten. Dieser kompromittierte Kanal diente als Gateway, das den Angreifern erste privilegierte Konten und einen Dreh- und Angelpunkt für ihre Angriffe verschaffte. Um ihre Ziele zu erreichen, nutzten die Angreifer mehrere Kommunikationskanäle, führten verschiedene Phasen durch und setzten verschiedene Tools ein, um eine interaktive Kontrolle über die Tastatur zu erlangen. Jede Phase wurde sorgfältig geplant, um die Wahrscheinlichkeit einer Entdeckung zu minimieren. Dabei kamen Techniken zum Einsatz, die die Signaturen von Intrusion Detection Systems (IDS), endpoint detection and response (EDR), manuelle threat hunting und sogar gängige Ansätze für eine auf maschinellem Lernen basierende (ML) Erkennung umgehen.
Im Folgenden wird der Verlauf des Angriffs skizziert, beginnend mit der anfänglichen Backdoor und gipfelnd in der Etablierung eines dauerhaften Zugriffs innerhalb der Umgebungen von cloud , wobei ein besonderer Schwerpunkt auf Microsoft Office 365/E-Mail liegt, was offenbar ein Hauptziel war. Vectra AI Die Abdeckung von Microsoft Office 365/E-Mail, die nicht von Kompromissindikatoren (IoCs) oder Signaturen abhängt, kommt ins Spiel, sobald der erste C2-Kanal eingerichtet ist. Die Kombination der beobachteten Verhaltensweisen direkt auf dem SolarWinds-Server führte dazu, dass dieser als "kritisch" eingestuft wurde, noch bevor es zu einer seitlichen Bewegung kam, was frühzeitige Eindämmungsmaßnahmen ermöglichte. Sollte der Angriff fortschreiten, würden zusätzliche Erkennungen einen umfassenden Einblick in jede nachfolgende Phase bieten, selbst wenn sich der Angriff auf cloud ausweitet und speziell auf Office 365 abzielt.
Die Grenzen herkömmlicher Sicherheitslösungen aufzeigen: Die Sicherheitslücke bei SolarWinds und der Ruf nach Network Detection and Response (NDR)
Der SolarWinds Orion-Hack, auch bekannt als Sunburst oder Solorigate, zeigt deutlich die Notwendigkeit von KI-gestützter Netzwerkerkennung und -reaktion (NDR). Während präventive Sicherheitsmaßnahmen und endpoint Kontrollen die Messlatte höher legen, sind sie nicht ausreichend. Veraltete, signaturbasierte Intrusion Detection Systeme (IDS) haben sich einmal mehr als unwirksam erwiesen, wenn es darum geht, neue Angriffe zu erkennen, für die es noch keine Kompromissindikatoren (IoCs) gibt.
Die Angreifer von SolarWinds haben beträchtliche Anstrengungen unternommen und ihr Fachwissen unter Beweis gestellt, um präventive Kontrollen zu umgehen, einschließlich Netzwerk-Sandboxen, endpoint Sicherheit und Multifaktor-Authentifizierung (MFA). Ihre Methoden umfassten:
- Durchführung umfangreicher Prüfungen, um sicherzustellen, dass sie sich nicht in einer Sandbox oder malware Analyseumgebung befinden.
- Nutzung von Code-Signierung und legitimen Prozessen, um gängige endpoint Kontrollen zu umgehen.
- Implementierung eines neuartigen In-Memory-Droppers zur Vermeidung einer dateibasierten Analyse bei der Verteilung des Command and Control (C2) Beacons.
- Umgehung von MFA mit gestohlenen SAML-Sitzungsschlüsseln (Security Assertion Markup Language).
Das Maß an Geschicklichkeit und Konzentration, das erforderlich ist, um die Kontrollen von endpoint zu umgehen, unterstreicht die Fortschritte bei Endpoint Detection and Response (EDR). Es zeigt aber auch, dass entschlossene und raffinierte Angreifer immer Wege finden können, um präventive und endpoint Kontrollen zu umgehen.
Für eine wirksame Verteidigung gegen diese Art von Angriffen ist die Nutzung von Netzwerkerkennung und -reaktion von entscheidender Bedeutung. In diesem Zusammenhang umfasst das Netzwerk alles, was sich außerhalb des endpoint befindet. Die Erkennungsmodelle von Vectra AI bieten eine Frühwarnung in Echtzeit und eine kontinuierliche Sichtbarkeit während des gesamten Angriffsverlaufs, von vor Ort bis zu cloud. Dieser Ansatz beruht nicht auf IoCs, Signaturen oder anderen Modellaktualisierungen. Sein Ziel ist es, Angriffe wie Sunburst/Solorigate/SolarWinds zu erkennen und zu stoppen, bevor erheblicher Schaden entsteht.
Wie die Sicherheitsverletzung bei SolarWinds deutlich zeigt, sind herkömmliche Sicherheitslösungen unzureichend und anfällig für Manipulationen durch Angreifer. IDS basiert auf Signaturen, was bedeutet, dass Sicherheitsanalysten den Angriff kennen und eine Signatur für ihn besitzen müssen, um ihn zu erkennen und zu verhindern. Ähnlich ist EDR für Endpunkte effektiv, aber nicht geeignet, um netzwerkbasierte Angriffe wie den von SolarWinds zu verhindern. Selbst zusätzliche, auf maschinellem Lernen (ML) basierende Erkennungstechniken, die von Anbietern eingesetzt werden, bieten möglicherweise keinen ausreichenden Schutz. Auch wenn Unternehmen über SIEM-Systeme (Security Information Event Management) oder ähnliche Tools verfügen, hängt ihre Wirksamkeit von der Qualität und Verfügbarkeit der Daten ab, die sie erhalten. Wenn die Daten kompromittiert oder nicht vorhanden sind, wird der Zweck eines SIEMs untergraben. Es ist von entscheidender Bedeutung, das SIEM mit genauen und angemessenen Daten zu versorgen.
Wenn Sie bereit sind, Ihre Herangehensweise an die Erkennung von und Reaktion auf Cyberangriffe wie diese zu ändern und einen genaueren Blick darauf zu werfen, wie Cognito Angreifer-Tools und Exploits finden kann, vereinbaren Sienoch heute einen Demo-Terminmit Vectra .