Telefonnummer : 13486085502
December 30, 2020
Für die, die für cybersecurity in den UnternehmensRechenzentren sind jedoch die verantwortlich sind, Technologieverkäufer lästiger, die die übereinkommende Software SolarWinds Orion in ihre Umwelt erlaubten. Jene Verkäufer, insoweit wir wissen, schließen jetzt Microsoft, Intel, Cisco, Nvidia, VMware, Belkin und das cybersecurity Unternehmen FireEye mit ein, das erstes war, zum des Angriffs zu entdecken.
„Ich denke, dass Zahl [von übereinkommenden Verkäufern] wachsen wird,“ sagte Greg Touhill, der als US Bundes-CISO unter Präsidenten Barack Obama dienten und wer jetzt Präsident an Bundesgruppe Appgate ist. „Ich denke, dass wir finden werden, da wir den Knoten hinter diesem entwirren, dass SolarWinds nicht das einzige Opfer war und dass FireEye war nicht das einzige Opfer in seinem Raum.“
Völlig bis 18.000 Organisationen möglicherweise herunterladen das Trojan, entsprechend SolarWinds. Die Anzahl von den Organisationen, die für Angriffe anvisiert werden, die dem SolarWinds-Bruch folgen würden, ist diesmal unbekannt. Microsoft sagte, dass es mehr als 40 Organisationen in dieser letzten Kategorie identifiziert hat. Es nannte nicht, irgendwelche von ihnen aber sagte, dass 44 Prozent Technologiefirmen waren
Andere Forscher haben die technischen Details der Schadsoftware nachgeforscht, um zweitrangigere Opfer zu identifizieren.
Eine Liste, die durch das cybersecurity Unternehmen TrueSec veröffentlicht wird, umfasst Cisco-, Deloitte-, Berg Sinai-Krankenhaus und einige andere Krankenhäuser, medizinische Organisationen anderer Arten, Gemeindeverwaltungen, Bildungseinrichtung, Elektrizitätsgesellschaften und Finanzinstitute.
Cisco und Deloitte sind auch auf der Liste zusammenfügten durch cybersecurity Forscher bei Prevasio. Darüber hinaus umfasst ihre Liste Ciena, Belkin, Nvidia, NCR, SAP, Intel und Digital-Richtung.
Der Fokus der Angreifer auf Verkäufern des Unternehmens IT sorgt besonders, sich weil es bedeuten könnte, dass der SolarWinds-Bruch gerade einer von vielen ist, dass anderen Technologieverkäufern die gleiche Weise SolarWinds kompromittiert wurden, war. Es könnte sogar noch mehr Zurückkanalversorgungskette-Angriffsvektoren geben, die schwierig zu verteidigen gegen seien Sie.
Die US Cybersecurity und das Infrastruktur-Sicherheitsbüro hat gewarnt, dass die Angreifer möglicherweise benutzt andere Anfangszugangspunkte außer SolarWinds.
Zum Beispiel haben Angreifer eine null-tägige Verwundbarkeit VMwares in den Zugangs- und Identitätsmanagementprodukten verwendet, um Regierungssysteme, entsprechend dem NSA in Angriff zu nehmen. VMware bestätigte, dass es von der Verwundbarkeit durch das NSA gemeldet wurde und gab einen Flecken Anfang dieses Monats frei. VMware bestätigte auch, dass es Fälle der übereinkommenden SolarWinds-Software in seiner Umwelt fand, aber sagte, dass es keinen weiteren Beweis von Ausnutzung sah.
Der VMware-Angriff hatte eine andere Sache gemeinsam mit SolarWinds. Angreifer benutzten eigene Kommunikationskanäle seiner Software, um Entdeckung auszuweichen. Entsprechend dem NSA fand Ausnutzungstätigkeit innerhalb eines TLS-verschlüsselten Tunnels statt, der mit der software web-basiert Managementschnittstelle verbunden ist.
Cisco hat auch bestätigt, dass es Fälle des übereinkommenden Produktes SolarWinds Orion in seiner Umwelt fand. „Diesmal, gibt es keine bekannte Auswirkung zu Cisco-Produkten, Dienstleistungen, oder irgendwelche Unternehmensdaten,“ und seine Netze der Versorgungskette IT haben keinen Beweis des Kompromisses gezeigt, sagte die Firma.
Aber das bedeutet nicht, dass es keine Probleme weiter herauf die Kette gibt.
„Wenn Cisco-Fremdhersteller IT-Netze haben, die nicht mit Ciscos Geschäft verbunden sind, hat Cisco Sicht nicht zu jenen Netzen,“ sagte die Firma. „Cisco engagiert aktiv sich in den Verkäufern, um alle möglichen Auswirkungen zu ihrem Geschäft festzusetzen.“
Viele von diesjährigen anspruchsvollsten Angriffen, wie der Rekord- Welle von ransomware, nutzten die Bereitwilligkeit der Benutzer aus, auf Verbindungen in phishing E-Mail zu klicken oder benutzten gestohlene Bescheinigungen, um in Systeme zu brechen.
Der SolarWinds-Angriffskanal bezog keine übereinkommenden Benutzer mit ein, um Anfangsstellung zu gewinnen. Stattdessen geschah der Angriff vollständig am hinteren Ende, durch einen übereinkommenden Software-Aktualisierungs-Prozess. Ein Rechenzentrum, das nach Indikatoren des Kompromisses im misstrauischen Benutzerverhalten, in den Schadsoftwaredownloads auf Benutzergeräten oder in der ungewöhnlichen Netztätigkeit sucht, würde nichts haben zu finden – selbst als die Angreifer die Plattform SolarWinds Orion benutzten, um die Umwelt zu erforschen.
Tatsächlich entdeckte FireEye nur den Bruch, als ein Angreifer versuchte, gestohlene Bescheinigungen zu benutzen, um ein neues Gerät für Multifaktorenauthentisierung zu registrieren.
„Hatte das MFA nicht fing es, hatte den Angestellten nicht berichtete über die gestohlene Bescheinigung, würde dieses nicht entdeckt worden sein,“ sagten Liz Miller, VP und Hauptanalytiker an der Konstellations-Forschung. „Sie würde noch zur Verfügung stellen offene Türen zu irgendwie und alle.“
Appgates Touhill empfiehlt, dass Rechenzentren, die Produkte durch SolarWinds, durch Cisco, durch VMware benutzen oder durch andere möglicherweise übereinkommende Firmen werfen müssen einen Blick auf, was ihre Belichtung des potenziellen Risikos ist.
„Werfen Sie einen Blick auf jene Verkäufer, die Sie an bauen,“ sagte er DCK. „Sie müssen im Gespräch mit Ihren Lieferanten sein und, wenn sie folgende optimale Verfahren sind, wie die Integrität ihres Codes wiederholt überprüfen und ihre eigenen Systeme auf allen möglichen Anzeichen über Kompromiss überprüfen sehen.“
Und das ist kein einmaliges Gespräch, er hinzufügte. „Ein-und-getan wird nicht gut sein genug.“
Rechenzentrum-Sicherheitsmanager in der Zeit nach dem SolarWinds-Bruch ist die Menge von Aufmerksamkeit behilflich, die der Angriff von den Sicherheitsforschern erhalten hat.
„Wir kennen, wie es kompromittiert wurde und zu suchen was,“ Ilia Kolochenko, sagte CEO bei ImmuniWeb, ein cybersecurity Unternehmen. „Aber ich bin überzeugt, dass SolarWinds nicht die nachlässigste Firma rund um den Globus ist. Es ist angemessen, anzunehmen, dass sie sind nicht das einzige Opfer.“
Der Unterschied ist, dass niemand kennt, was anderen IT-Verkäufern zerhackt worden sind und was jene Indikatoren des Kompromisses sind.
ImmuniWeb vor kurzem erforschte ungefähr 400 bedeutende cybersecurity Firmen und fand, dass 97 Prozent die Datenlecks oder andere Sicherheitsvorfälle hatten, die auf dem dunklen Netz – sowie 91 Firmen mit nutzbaren Websitesicherheitslücken herausgestellt wurden. Ab September als sein Bericht veröffentlicht wurde, wurden 26 Prozent von denen noch gelöst.
Forscher fanden auch mehr als 100.000 risikoreiche Vorfälle, wie LOGON-Bescheinigungen, die auf dem dunklen Netz verfügbar sind. „SolarWinds ist vermutlich gerade die Spitze des Eisbergs des Kompromisses der Technologiefirmen rund um den Globus,“ sagte Kolochenko DCK.
„Sie können niemandem nicht vertrauen, sogar Ihr Sicherheitsverkäufer,“ sagte Holger Mueller, ein Analytiker an der Konstellations-Forschung. Die einzige Lösung ist Schreibtischtest für ein Programm. „Aber, wer kann und möchte Quellcode von Sicherheitsverkäufern wiederholen?“
Was in der Antwort auftauchen könnte, ist eine neue Art Verkäufer – einer, der Werkzeuge liefert, die Sicherheits-Software auf Schadsoftware überprüfen, sagte er.
Der SolarWinds-Bruch veranschaulicht ein anderes Problem, das durch die diese Sicherheit des Rechenzentrums IT gehabt wird – muss er mit den breiteren IT Teams genauer arbeiten.
Entsprechend einer neuen Übersicht durch Ponemon-Institut im Namen Devo, ist der Mangel an Sicht in der IT-Sicherheitsinfrastruktur die Spitzenschwelle zur Wirksamkeit von Sicherheitsoperationszentren, identifiziert als Problem durch 70 Prozent IT- und Sicherheitsfachleute. Und 64 Prozent sagen, dass Rasenfragen und siloed Operationen eine Spitzenschwelle zur Wirksamkeit sind.
„Dieser Angriff sollte ein enormer Weckenanruf für IT wirklich sein und die Sicherheitsteams, zum weit ausgerichtet zu sein,“ Constellations Miller sagte.
Mangel an Sicht macht es schwierig, auf Drohungen zu ermitteln und zu reagieren. Entsprechend der Ponemon-Übersicht sagten 39 Prozent Organisationen, dass es im Durchschnitt „die Monate nahm oder sogar“, zum auf einen Sicherheitsvorfall zu reagieren Jahre.
„Dieses ist genau das Chaos und siloed Verhaltenangreifer, besonders verfeinerte, bauen an,“ sagte Miller DCK.
Der SolarWinds-Bruch prüft noch einmal, dass jedermann zerhackt werden kann, von den meisten bewussten Regierungsagenturen der Sicherheit zu den meisten Sicherheit bewussten cybersecurity Verkäufern.
Es ist verhältnismäßig einfach für hoch entwickelte Angreifer, unter dem Radar zu bleiben.
„Wenn ich rotes teaming getan habe, denke ich nicht, dass ich überhaupt, bis ich gegangen bin, etwas wirklich offensichtliche Aktion zu tun oder etwas Geräusche zu machen,“ sagte David Wolpoff, CTO und Mitbegründer bei Randori gefangen worden bin, der in Netze der Gesellschaften für ein Leben einbricht.
Das bedeutet nicht, dass Sicherheitsmanager nicht versuchen sollte, Brüche zu ermitteln.
„Selbstverständlich, sind wir nicht sicher,“ sagte Wolpoff. „Wir werden nie sicher sein. Aber wir machen immer diese Kompromisse im Leben, und Cyber ist nicht unterschiedlich. Wie viel Risiko sind Sie bereit, von Ihren Partnern und von Verkäufern einzugehen? Und wenn etwas schief geht, was ist Ihr Failsafe?“
Zum Beispiel, sagte er, sagt jeder Sicherheitsfachmann, den er mit spricht, dass sie an die Vermutung des Kompromisses und der Verteidigung glauben, die ausführlich sind. „Aber andererseits geht niemand und ergreift jene Maßnahmen.“
Rechenzentren, die nicht noch sich auf das Nullvertrauenssicherheitskonzept bewegt haben, sollten Pläne, zu machen beginnen, einige Experten sagten.
„Aufrichtig, denke ich, dass viele Firmen spät sind, wenn sie nullvertrauen einführen, und ich, der einer der allerersten Schritte ist,“ sagte Appgates Touhill denke.
„Wenn Sie nicht bereits eine Nullvertrauenslage über Ihrer Rechenzentrumvernetzung angenommen haben, jetzt seien Sie eine außergewöhnliche Zeit, zu erhalten, dass im Gang,“ sagten Miller.
Die Spielregeln haben Mike Lloyd, CTO bei RedSeal, ein cybersecurity Unternehmen geändert, sagten.
In der Vergangenheit die Frage, die Rechenzentrum-Sicherheitsmanager sich stellen würden, dass war, „wie verringere ich den dunklen Raum, den ich nicht sehen kann?“ Jetzt müssen sich sie bitten dass, „wie enthalte ich den Schaden, der durch die Sachen verursacht wird, die ich pflege, um mein eigenes Netz zu betrachten?“
„Dieses ist eine Schwindel-Veranlassungsperspektive,“ sagte Lloyd. „Wenn Sie Ihrer Überwachungssoftware nicht vertrauen können, wie Sie überwachen alles?“
