SolarWinds Breach: Förderung eines Paradigmenwechsels hin zu Zero Trust

Der SolarWinds-Kompromiss und seine anhaltenden Folgen haben die Schwierigkeit, jeden Berührungspunkt eines Unternehmens mit seinen externen Abhängigkeiten (sei es dieser Anbieter, Kunde oder Partner) zu kontrollieren und zu validieren, in den Mittelpunkt gerückt. Außerdem wird das alte Sprichwort unterstrichen, dass „eine Kette nur so stark ist wie ihr schwächstes Glied“.

Der Target-Verstoß aus den frühen 2010er Jahren und der neuere sogenannteWolkenhüpferBei Angriffen wurden bereits Risiken im Zusammenhang mit Lieferketten aufgezeigt, insbesondere wenn Mitglieder dieser Kette in irgendeiner Form direkten Zugriff auf Ihr Netzwerk haben (d. h. Beziehungen zu Drittanbietern, die Netzwerkzugriff benötigen). Die Anerkennung dieses Risikos hat daher dazu geführt, dass der Schwerpunkt stärker auf die Sicherheitskontrollen an diesen Netzwerkkontaktpunkten gelegt wurde. Wenn diese Kontrollen ordnungsgemäß umgesetzt werden, vermitteln sie ein klares Verständnis davon, wo diese Kontaktpunkte existieren, zu welchen Zugangsberechtigungen sie führen und wie dieser Zugriff überwacht wird. Aus Sicht der Erkennung und Reaktion könnte es aufgrund dieser „vorrangigen“ Informationen eine Reihe von Indikatoren bieten, auf die Sie achten sollten.

In erster Linie ist der SolarWinds-Kompromiss beunruhigend, weil er einen Punkt in unseren Technologie-Lieferketten angegriffen hat, den wir am wenigsten erwartet hatten (d. h. ein signiertes Update von einem Softwareanbieter, dem wir vertrauen). Und doch würden wir alle anerkennen, dass es in Bezug auf die Gelegenheit, die es den Hintertür-Angreifern bot, „perfekt“ war.

Wir können argumentieren, dass die Erfolgswahrscheinlichkeit eines Angriffs von verfügbaren Anmeldeinformationen, nutzbarem Netzwerkzugriff und ausnutzbaren Sicherheitslücken abhängt. In diesem Fall würde die Kompromittierung eines Systems mit umfassendem Netzwerkzugriff und hochprivilegierten Zugriffen auf Systeme und Verzeichnisdienste ganz oben auf der Wunschliste eines böswilligen Akteurs stehen. Die Orion-Plattform bot genau diese Gelegenheit.

Wie es den Angreifern gelungen ist, den Codevalidierungs- und Build-Prozess von SolarWinds zu kompromittieren, wird noch untersucht, und zweifellos werden alle Unternehmen, die ihre eigene Entwicklung durchführen, sehr daran interessiert sein, wie sie dieselben Risiken mindern können.

Was jetzt im Vordergrund steht, ist, wie die latente Exposition weiterhin aussieht — da sie immer noch aufgedeckt wird. Aufgrund des Ausmaßes und der Reichweite des verfügbaren Zugriffs ist es schwierig, wirklich einzuschätzen, wohin die Angreifer gelangen und sich verstecken konnten. Wir wissen, dass das Orion-Update ausschließlich dazu diente, einen (sehr prominenten) Brückenkopf in den Zielorganisationen zu etablieren, was weder die endgültige Trophäe noch eine Notwendigkeit für die dauerhafte Präsenz oder den Zugriff war.

Vor diesem Hintergrund liegt der Schwerpunkt sehr auf der kontinuierlichen Erkennung und Reaktion. Und in dieser Hinsicht kommt uns allen eine entscheidende Rolle zu. Die Entdeckung dieses groß angelegten Angriffs war möglich, weil auch ein erfahrener Anbieter von Sicherheitsvorfällen und Cybersicherheit (FireEye/Mandiant) kompromittiert wurde. Sie waren jedoch die ersten Opfer auf der Liste der Opfer, die einen Datendiebstahl nach dem Angriff feststellten, ihn öffentlich bekannt gaben und dann erste Gegenmaßnahmen ergriffen. Vielleicht ist dies einer der Hoffnungsschimmer in dieser andauernden Episode.

Sicherheitsanbieter müssen dringend herausfinden, wie die von uns bereitgestellten Lösungen am besten eingesetzt werden können, um die Ausbreitung des Angriffs zu erkennen und dann zu begrenzen (oder zumindest zu verzögern).

• Haben wir Telemetrie, die Blue Teams effektiv nutzen können, um ein genaueres Bild der Aktivitäten innerhalb einer Organisation zu erstellen und klarere Indikatoren für Kompromisse zu liefern?
• Gibt es schnell umsetzbare Richtlinien, die laterale Bewegungen einschränken?
• Können unsere Technologielösungen das Risiko, das eine Anwendung für ein Unternehmen darstellt, aufdecken — und möglicherweise sogar mindern —, sei es durch die Menge an Konnektivität, die Verwendung von privilegierten Zugriffen oder die Anzahl der Sicherheitslücken in den Workloads?
• Können wir schnell erkennen, wann kompromittierte Anmeldeinformationen verwendet werden, und weiteren Zugriff verhindern?
• Gibt es einfache Korrelationen, die aus mehreren Sicherheitslösungen gezogen werden können, um bekannte und neue TTPs zu identifizieren?

Und was ist mit den potenziellen Zielorganisationen: Was müssen sie tun? Mehr denn je ist es heute von größter Bedeutung, das mit jedem Asset verbundene Cyberrisiko zu verstehen.

• Können sie ihre wichtigsten Ressourcen schnell identifizieren?
• Wie gut verstehen sie das Zugriffsmodell rund um diese Ressourcen?
• Können sie die ausgehende Kommunikation zu und von diesen Servern/Workloads kontrollieren? Sollte ausgehende Kommunikation überhaupt existieren?
• Gibt es eine angemessene Überwachung auf jeder Ebene (z. B. Endbenutzergerät, Netzwerk, Identitäts- und Zugriffsmanagement, Anwendung usw.) und kann sie verbessert werden?
• Können die Zugangsrichtlinien verschärft werden, um Zero Trust/Least Privilege näher zu kommen?
• Werden die Praktiken der sicheren Softwareentwicklung überprüft, um sicherzustellen, dass sie so stark wie möglich sind?

Das berüchtigte Paradigma der „Schockdoktrin“ legt nahe, dass, um eine transformative Veränderung in einem System zu erzwingen, das gesamte System schockiert sein muss, um zu erkennen, dass eine solche Änderung notwendig ist. Und obwohl der Schwerpunkt zu Recht auf der Sicherheit der Lieferketten und den damit verbundenen Risiken liegen wird, glaube ich, dass die eigentliche Metamorphose wie folgt aussehen muss:

Technologieanbieter Muss in der Lage sein, ihre Kunden darüber aufzuklären, wie die vorhandenen Lösungen, die sie anbieten, zur Unterstützung von Erkennungs- und Reaktionsfunktionen eingesetzt werden können.

Kunden (d. h. Organisationen) Muss konzentrieren Sie sich auf:

• Identifizierung ihrer wichtigsten Vermögenswerte.
• Aktive Überwachung dieser Ressourcen mithilfe einer Vielzahl von Sensoren, um Indikatoren für bösartige TTPs zu identifizieren.
• Verständnis des Zugriffsmodells für diese Ressourcen und Durchsetzung von Richtlinien mit den geringsten Zugriffsrechten, um sie zu schützen.
  

In vielerlei Hinsicht ist die hier angebotene Gelegenheit wirklich das Startparadigma von Null Vertrauen: „Gehen Sie von einem Verstoß aus — und machen Sie es wirklich schwer, sich zu eigen zu machen.“