Отправить сообщение
Свяжитесь мы
LEO

Номер телефона : 13486085502

Список известных жертв пролома SolarWinds растет, как делают векторы нападения

December 30, 2020

Более вызывающий тревогу для тех ответственных за cybersecurity на центрах данных предприятия, однако, поставщики технологии которые позволили скомпрометированному программному обеспечению SolarWinds Ориона в их окружающие среды. Те поставщики, насколько нам известно, теперь включают Майкрософт, Intel, Cisco, Nvidia, VMware, Belkin, и фирму FireEye cybersecurity, которая была первым для того чтобы открыть нападение.

«Я думаю что количество [скомпрометированных поставщиков] идет вырасти,» сказал Грег Touhill, которое служили как США федеральное CISO под президентом Barack Obama и кто теперь президент на группе Appgate федеральной. «Я думаю что мы идет найти, по мере того как мы распутываем узел за этим, что SolarWinds не было единственной жертвой, и что FireEye не было единственной жертвой в своем космосе.»

Совершенно, до 18 000 организаций могут загрузить троянец, согласно SolarWinds. Число организаций прицеленных для нападений которые следовать проломом SolarWinds неизвестно в это время. Майкрософт сказал что он определяло больше чем 40 организаций в этой последней категории. Он не назвал любое из их а сказал что 44 процента были компаниями технологии

Другие исследователи расследовали технические детали malware для того чтобы определить более второстепенные жертв.

Список опубликованный фирмой TrueSec cybersecurity включает больницу Cisco, Deloitte, горы Синай, и несколько других больницы, медицинских организации других видов, местные правительства, образовательные учреждения, энергетические предприятия, и финансовых учреждений.

Cisco и Deloitte также на списке положили совместно исследователями cybersecurity на Prevasio. К тому же, их список включает Ciena, Belkin, Nvidia, NCR, SAP, Intel, и чувство цифров.

Фокус атакующих на поставщиках предприятия ИТ особенно тревожится потому что он смог значить что пролом SolarWinds как раз одно из много, что другие поставщики техника были скомпрометированы такому же пути SolarWinds был. Смогло быть даже более секретные векторы нападения схемы поставок, которых труден для того чтобы защитить против.

США Cybersecurity и агентство по безопасности инфраструктуры предупреждали что атакующие могут использовать другие начальные точки подхода кроме SolarWinds.

Например, атакующие использовали нул-дневное уязвимость в продуктах управления доступа и идентичности VMware для того чтобы атаковать системы правительства, согласно NSA. VMware подтвердило что оно было сообщено уязвимости NSA и выпустило заплату ранее в этом месяце. VMware также подтвердило что оно нашло примеры скомпрометированного программного обеспечения SolarWinds в своей окружающей среде, но сказало что оно не увидел никакие новые доказательства эксплуатирования.

Нападение VMware имело одну другую вещь в общем с SolarWinds. Атакующие использовали собственные каналы связи своего программного обеспечения для того чтобы уклоняться обнаружение. Согласно NSA, деятельность при эксплуатирования случилась внутри TLS-шифровать тоннель связанный с интерфейсом управления software размещенным в Интернете.

Cisco также подтверждал что он нашел примеры скомпрометированного продукта SolarWinds Ориона в своей окружающей среде. «В это время, никакой известный удар к продуктам Cisco, обслуживания, или все данные компании,» и свои сети схемы поставок ИТ не показывали никакое доказательство компромисса, компания сказала.

Но это не значит что нет любых проблем дальше вверх по цепи.

«Если изготовители третьей стороны Cisco имеют сети ИТ не связанные с делом Cisco, то Cisco не имеет видимость к тем сетям,» компания сказала. «Cisco активно включает с поставщиками для того чтобы определить все потенциальные воздействия к их делу.»

Возобновленный фокус на безопасности схемы поставок

Много из нападений этого года высок-профиля, как рекордная волна ransomware, эксплуатировали готовность потребителей нажать на связях в phishing электронных почтах или использовали украденные документы для того чтобы сломать в системы.

Канал нападения SolarWinds не включил никаких скомпрометированных потребителей для того чтобы приобрести начальную точку опоры. Вместо этого нападение случилось совершенно на задней части, через скомпрометированный процесс актуализации программного обеспечения. Центр данных ища индикаторы компромисса в подозрительных поведениях потребителя, загрузках malware на приборах потребителя, или в необыкновенной деятельности при сети не имел бы ничего найти – как только атакующие использовали платформу SolarWinds Ориона для того чтобы исследовать окружающую среду.

На самом деле, FireEye только открыло пролом когда атакующий попробовал использовать украденные документы для того чтобы зарегистрировать новый прибор для удостоверения подлинности мульти-фактора.

«Имел MFA не уловил его, имел работника не сообщил украденный мандат, это не было бы открыто,» Liz Miller, VP и основной аналитик на исследовании созвездия, сказал. «Оно все еще снабжал бы открыть двери сколько угодно и все.»

Touhill Appgate рекомендует что центрам данных которые используют продукты SolarWinds, Cisco, VMware, или другими потенциально скомпрометированными компаниями нужно взглянуть на чем их выдержка потенциального риска.

«Взгляните на тех поставщиках вы полагаетесь дальше,» он сказал DCK. «Вы должны находиться в разговоре с вашими поставщиками и увидеться если они следующие передовые практики, то как проверять целостность их кода и проверять их собственные системы повторно для всех индикаций компромисса.»

И это нет бывшего разговора, он добавило. «Одн-и-сделанный не идет быть хорош достаточно.»

Полезно к руководителям службы безопасности центра данных после пролома SolarWinds количество внимания нападение получало от исследователей безопасностью.

«Мы знаем как оно было скомпрометировано и что, который нужно искать,» подвздошные кости Kolochenko, главный исполнительный директор на ImmuniWeb, фирме cybersecurity, сказал. «Только я уверен что SolarWinds нет самой нерадивой компании по всему миру. Разумно построить гипотезу что они нет единственной жертвы.»

Разница что никто знает чего другие поставщики ИТ были прорублены, и чего те индикаторы компромисса.

ImmuniWeb недавно исследовало около 400 главных компаний cybersecurity и нашло что 97 процентов имели утечки данных или другие случаи безопасностью, который подвергли действию на темную сеть – так же, как 91 компания с годными для использования уязвимостями безопасности вебсайта. От сентября, когда свой отчет был опубликован, 26 процентов тех все еще были незафиксированы.

Исследователи также нашли больше чем 100 000 рискованных случаев, как документы имени пользователя, доступные на темной сети. «SolarWinds вероятно как раз верхушка айсберга компромисса компаний технологии по всему миру,» Kolochenko сказало DCK.

«Вы не можете доверить любому, даже ваш поставщик безопасностью,» Holger Mueller, аналитик на исследовании созвездия, сказал. Единственное решение кодовый обзор. «Но кто может и хочет рассматривать исходный код поставщиков безопасностью?»

Что могло вытечь в ответе новый вид поставщика – одно которое обеспечивает инструменты которые проверяют программное обеспечение безопасностью для malware, сказал он.

Силосохранилища

Пролом SolarWinds иллюстрирует другую проблему смотреть на безопасностью центра данных ИТ – этой для этого нужно работать более близко с более широкими командами ИТ.

Согласно недавнему обзору институтом Ponemon от имени Devo, недостаток видимости в инфраструктуре безопасностью ИТ верхний барьер к эффективности центров управления безопасностью, определенной как проблема 70 процентами профессионалов ИТ и безопасности. И 64 процента говорят что вопросы дерновины и siloed деятельность верхний барьер к эффективности.

«Это нападение действительно должно быть массивным тревожным вызовом для ИТ и службы безопасности, который нужно быть далеко выравнивать,» Miller Созвездия сказал.

Недостаток видимости делает его трудный обнаружить и ответить к угрозам. Согласно обзору Ponemon, 39 процентов организаций сказали что они приняли, в среднем, «месяцы или даже леты», который нужно ответить случаю безопасностью.

«Это точно хаос и siloed атакующие поведений, особенно изощренные одни, полагаются дальше,» Miller сказал DCK.

Время для глубокой обороны и нул доверий

Пролом SolarWinds доказывает еще раз что любое можно прорубить, от большинств правительственных агентств безопасностью сознательных к большинств поставщикам cybersecurity безопасностью сознательным.

Относительно легко для изощренных атакующих остаться под радиолокатором.

«Когда я делал красный объединяться в команду, я не думаю что я всегда было уловлено до тех пор пока я не буду идти сделать некоторое действительно очевидное действие или сделать некоторый шум,» сказало Дэвид Wolpoff, CTO (техни́ческий дире́оркт) и сооснователь на Randori, которое ломает в companies сети для прожития.

Это не значит что руководители службы безопасности не должно попробовать обнаружить проломы.

«Конечно, мы не безопасны,» Wolpoff сказало. «Мы никогда не идем быть безопасны. Но мы всегда делаем эти уступки в жизни, и кибер не другое. Насколько риска вы охотно готовы признавать от ваших партнеров и поставщиков? И если что-то идет неправильно, то, что ваши failsafe?»

Например, он сказал, каждый профессионал безопасностью он говорит с говорит что они верят в презумпции компромисса и глубокой обороны. «Но с другой стороны никто идет и принимает те действия.»

Центры данных которые пока не двигали к модели безопасности нул-доверия должны начать сделать планы, несколько специалистов сказали.

«Откровенно, я думаю что много компаний последни в снабжать нул доверий, и я думаю который один из очень первых шагов,» сказал Touhill Appgate.

«Если вы уже не принимали позицию нул-доверия через вашу сеть центра данных, то теперь был исключительным временем получить что в шестерне,» сказало Miller.

Правила игры изменяли, сказали Майк Ллойд, CTO (техни́ческий дире́оркт) на RedSeal, фирме cybersecurity.

В прошлом, вопрос который руководители службы безопасности центра данных спросили бы был, «как я уменьшаю темное пространство я не могу увидеть?» Теперь, они должны спросить, «как я содержу повреждение причиненное вещами я использую для того чтобы посмотреть мою собственную сеть?»

«Это боязнь высоты-наводя перспектива,» сказал Ллойд. «Если вы не можете доверить вашему контролируя программному обеспечению, то как вы контролируете что-нибудь?»