Telefoonnummer : 13486085502
December 30, 2020
Onrustbarender voor die verantwoordelijk voor cybersecurity bij onderneming zijn de datacentra, echter, de technologieverkopers die de gecompromitteerde software van SolarWinds Orion in hun milieu's toestonden. Die verkopers, voor zover wij het weten, omvatten Microsoft, Intel, Cisco, Nvidia, VMware, nu Belkin, en cybersecurity vaste FireEye, die eerste was om de aanval te ontdekken.
„ik denk dat het aantal [gecompromitteerde verkopers] gaat groeien,“ bovengenoemd Greg Touhill, dat als V.S. federale CISO onder President Barack Obama diende en dat nu voorzitter bij de Federale Groep van Appgate is. „Ik denk wij gaan vinden, aangezien wij de knoop achter dit ophelderen, dat SolarWinds niet het enige slachtoffer was, en dat FireEye niet het enige slachtoffer in zijn ruimte.“ was
Alles bij elkaar kunnen tot 18.000 organisaties trojan, volgens SolarWinds gedownload hebben. Het aantal organisaties voor aanvallen worden die de SolarWinds-breuk gericht die zouden volgen is op dit ogenblik onbekend. Microsoft zei het meer dan 40 organisaties in die laatste categorie heeft geïdentificeerd. Het noemde geen van hen maar zei dat 44 percenten technologiebedrijven waren
Andere onderzoekers hebben de technische details van malware onderzocht om meer second-order slachtoffers te identificeren.
Een lijst door cybersecurity wordt gepubliceerd vaste TrueSec Cisco, Deloitte omvat, zet Sinai het ziekenhuis, en de verscheidene andere ziekenhuizen, medische organisaties van andere soorten, lokale regeringen, onderwijsinstellingen, machtsbedrijven, en financiële instellingen die op.
Cisco en Deloitte zijn ook op de lijst door cybersecurityonderzoekers in Prevasio wordt uitgewerkt die. Bovendien omvat hun lijst Ciena, Belkin, Nvidia, NCR, SAP, Intel, en Digitale Betekenis.
De nadruk van de aanvallers op ondernemingsit verkopers is bijzonder zich ongerust maakt omdat het kon betekenen dat de SolarWinds-breuk enkel één van velen is, dat werden andere technologie-verkopers gecompromitteerd was dezelfde manier SolarWinds. Er zou zelfs nog meer de keten van de achter-kanaallevering kunnen zijn aanvalsvectoren, die moeilijk om zijn te verdedigen tegen.
De V.S. Cybersecurity en het Agentschap van de Infrastructuurveiligheid hebben ervoor gewaarschuwd dat de aanvallers andere aanvankelijke toegang kunnen gebruikt hebben richt naast SolarWinds.
Bijvoorbeeld, hebben de aanvallers een nul-dag kwetsbaarheid in de toegang en de identiteitsbeheersproducten van VMware gebruikt om overheidssystemen, volgens NSA aan te vallen. VMware bevestigde dat het van de kwetsbaarheid door NSA werd meegedeeld en gaf eerder deze maand een flard vrij. VMware bevestigde ook dat het instanties van de gecompromitteerde SolarWinds-software in zijn milieu vond, maar zei dat het geen verder bewijsmateriaal van benutting zag.
De VMware-aanval had één ander ding evenals SolarWinds. De aanvallers gebruikten de eigen communicatiekanalen van zijn software om opsporing te vermijden. Volgens NSA, vond de benuttingsactiviteit binnen een TLS-Gecodeerde tunnel verbonden aan de interface van het software web-based beheer plaats.
Cisco heeft ook bevestigd dat het instanties van het gecompromitteerde product van SolarWinds Orion in zijn milieu vond. „Op dit ogenblik, is er geen bekend effect aan Cisco-producten, de diensten, of om het even welke bedrijfgegevens,“ en zijn levering kettingsit hebben netwerken geen bewijsmateriaal van compromis getoond, zei het bedrijf.
Maar dat betekent niet er niet om het even welke problemen verder omhoog de ketting zijn.
„Als Cisco-de derdefabrikanten IT netwerken niet verbonden aan de zaken van Cisco hebben, heeft Cisco geen zicht aan die netwerken,“ het bovengenoemde bedrijf. „Cisco neemt actief met verkopers in dienst om eender welke potentiële effecten aan hun zaken te beoordelen.“
Veel van de hoog-profielaanvallen van dit jaar, zoals de verslag-brekende golf van ransomware, exploiteerden de bereidheid van gebruikers om op verbindingen te klikken in het phishing van e-mail of gebruikten gestolen geloofsbrieven om in systemen te breken.
Het SolarWinds-aanvalskanaal impliceerde geen gecompromitteerde gebruikers om aanvankelijk steunpunt te bereiken. In plaats daarvan, gebeurde de aanval volledig op de naherfst, door een gecompromitteerd software-updateproces. Een datacentrum die indicatoren van compromis in verdacht gebruikersgedrag, malware downloads op gebruikersapparaten, zoeken zou of in ongebruikelijke netwerkactiviteit te vinden niets hebben – zelfs aangezien de aanvallers het platform van SolarWinds Orion gebruikten om het milieu te onderzoeken.
In feite, ontdekte FireEye slechts de breuk toen een aanvaller probeerde om gestolen geloofsbrieven te gebruiken om een nieuw apparaat voor multifactorauthentificatie te registreren.
„Had MFA gevangen het niet, had de werknemer gemeld niet de gestolen geloofsbrieven, zou dit niet ontdekt zijn,“ Liz Miller, VP en de belangrijkste analist bij Constellatieonderzoek, gezegd. „Het zou nog open deuren aan om het even welk en allen.“ verstrekken
Touhill van Appgate adviseert dat de datacentra die producten door SolarWinds, door Cisco, door VMware, of door andere potentieel gecompromitteerde bedrijven gebruiken een blik bij wat moeten nemen hun potentiële risicoblootstelling is.
„Neem een blik bij die verkopers u op vertrouwt,“ hij vertelde DCK. „U moet in gesprek met uw leveranciers zijn en zien of volgen zij best practicen, als het controleren van de integriteit van hun code en herhaaldelijk het controleren van hun eigen systemen om het even welke aanwijzingen van compromis.“
En dat is geen éénmalig gesprek, voegde hij toe. „Één-en-gedaan gaat niet goed genoeg zijn.“
Nuttig aan de managers van de datacentrumveiligheid in de nasleep van SolarWinds is de breuk de hoeveelheid aandacht de aanval van veiligheidsonderzoekers heeft gekregen.
„Wij weten hoe het werd gecompromitteerd en wat,“ Ilia Kolochenko, CEO in ImmuniWeb te zoeken, zei een cybersecurityfirma. „Maar ik ben zeker dat SolarWinds niet het meest onachtzame bedrijf rond de bol is. Het is redelijk om een hypothese op te stellen dat zij niet het enige slachtoffer.“ zijn
Het verschil is dat niemand weet welke andere IT verkopers]_ binnendrongen in een beveiligd computersysteem, en wat die indicatoren van compromis zijn.
ImmuniWeb onderzocht onlangs ongeveer 400 belangrijke cybersecuritybedrijven en vond dat 97 percenten gegevenslekken hadden of andere die veiligheidsincidenten op het donkere Web worden blootgesteld – evenals 91 bedrijven met exploiteerbare websitebeveiligingsproblemen. Vanaf September, toen zijn rapport werd gepubliceerd, werd 26 percent van die nog losgemaakt.
De onderzoekers vonden ook meer dan 100.000 zeer riskante incidenten, zoals login geloofsbrieven, beschikbaar op het donkere Web. „SolarWinds is waarschijnlijk enkel het uiteinde van de ijsberg van compromis van technologiebedrijven rond de bol,“ Kolochenko vertelde DCK.
„U kunt niet op iedereen, zelfs uw veiligheidsverkoper vertrouwen,“ Holger Mueller, een analist bij bovengenoemd Constellatieonderzoek. De enige oplossing is codeoverzicht. „Maar wie kan en broncode van veiligheidsverkopers wil herzien?“
Wat in reactie zou kunnen te voorschijn komen is een nieuw soort verkoper – die hulpmiddelen verstrekt die veiligheidssoftware malware controleren, zei hij.
De SolarWinds-breuk illustreert een ander die probleem door datacentrumit veiligheid onder ogen wordt gezien – dat het meer nauw met de bredere IT teams moet samenwerken.
Volgens een recent onderzoek door Ponemon Instituut namens Devo, is het gebrek aan zicht in IT veiligheidsinfrastructuur de hoogste die barrière aan de doeltreffendheid van de centra van de veiligheidsverrichting, als probleem door 70 percent van IT en veiligheidsberoeps wordt geïdentificeerd. En 64 percenten zeggen dat het gras uitgeeft en verrichtingen is een hoogste barrière aan doeltreffendheid siloed.
„Deze aanval zou werkelijk een massieve activeringsvraag naar IT en veiligheidsteams moeten zijn om veel meer gericht te zijn,“ bovengenoemde de Molenaar van de Constellatie.
Het gebrek aan zicht maakt het moeilijk om aan bedreigingen te ontdekken en te antwoorden. Volgens het Ponemon-onderzoek, zei 39 percent van organisaties dat het, gemiddeld, „maanden of zelfs jaren“ om aan een veiligheidsincident nam te antwoorden.
„Dit is precies de chaos en siloed gedragsaanvallers, vooral verfijnde degenen, vertrouwt op,“ Molenaar vertelde DCK.
De SolarWinds-breuk bewijst nogmaals dat iedereen, van de meeste veiligheids bewuste overheidsinstellingen aan de meeste verkopers van veiligheids bewuste cybersecurity kan worden binnendrongen in een beveiligd computersysteem.
Het is vrij gemakkelijk voor verfijnde aanvallers om onder de radar te blijven.
„Wanneer ik het rode teaming heb gedaan, denk ik niet ik ooit tot ik één of andere werkelijk duidelijke actie ben gaan doen of wat lawaai maken,“ bovengenoemde David Wolpoff, CTO en mede-stichter in Randori ben gevangen, die in de netwerken van bedrijven voor het leven breekt.
Dat betekent niet de veiligheidsmanagers niet zouden moeten proberen om breuken te ontdekken.
„Natuurlijk, zijn wij niet veilig,“ bovengenoemde Wolpoff. „Wij gaan nooit veilig zijn. Maar wij maken altijd deze inruil in het leven, en cyber is geen verschillend. Hoeveel risico bent u bereid om van uw partners en verkopers goed te keuren? En als iets verkeerd gaat, wat uw faalveilig?“ is
Bijvoorbeeld, zei hij, zegt elke veiligheidsberoeps die hij heeft gesproken dat zij in het vermoeden van compromis en diepgaand defensie geloven. „Maar anderzijds gaat niemand en voert die acties.“
De datacentra die nog niet tot het nul-vertrouwen beveiligingsmodel hebben geleid zouden moeten beginnen plannen te maken, zeiden verscheidene deskundigen.
„Eerlijk gezegd, denk ik vele bedrijven in het uitvoeren van nul vertrouwen laat zijn, en ik die één van de allereerste stappen ben,“ bovengenoemde Touhill van Appgate denk.
„Als u reeds geen nul-vertrouwen houding over uw datacentrumvoorzien van een netwerk hebt goedgekeurd, nu een uitzonderlijke tijd zou zijn om dat in toestel te krijgen,“ bovengenoemde Molenaar.
De regels van het spel zijn, bovengenoemd Mike Lloyd, CTO in RedSeal, een cybersecurityfirma veranderd.
In het verleden, was de vraag dat de managers van de datacentrumveiligheid zich zouden vragen, het „Hoe kan ik vermindert de donkere ruimte ik niet kan zien?“ Nu, moeten zij vragen, het „die Hoe kan ik bevat schade door dingen I gebruik wordt veroorzaakt om mijn eigen netwerk te bekijken?“
„Dit is een duizeligheid-veroorzakend perspectief,“ bovengenoemde Lloyd. „Als u niet op uw controlesoftware kunt vertrouwen, hoe u om het even wat?“ controleert
