La plupart des entreprises concernées par la SolarWinds attaque a appris à ce sujet du département de la sécurité intérieure. N'aurait-il pas été mieux pour eux d'avoir appris de leur MSP/MSSP avant que le DHS n'appelle? Avec Cyber stellaire, vous l'auriez su tout de suite.
La raison pour laquelle cette faille a été si réussie était que les attaquants ont exploité une source de confiance - le fabricant du logiciel - pour obtenir leur code installé à l'intérieur du réseau du client sur le serveur SolarWinds, via une mise à jour du produit. Ce n'est pas si différent du phishing ou des attaques par force brute qui compromettent les serveurs ou les utilisateurs de confiance pour déployer leurs kits d'outils. Une fois le code installé à l'intérieur du réseau, les attaquants le recherchent soigneusement à la recherche d'appareils supplémentaires. Ensuite, ils commencent à exploiter les ressources supplémentaires qu'ils trouvent au cours de l'analyse. Leur objectif ultime est de trouver une base de données contenant des données sensibles qu'ils peuvent préparer pour l'exfiltration.
Pris individuellement, bon nombre de ces actions seraient soit
1) ne déclenche pas du tout d'alerte ou
2) créez plusieurs alertes non liées.
Ce qui manquait était le corrélation d'événements provenant de nombreuses sources de données différentes, pour tout rassembler en un événement complet.
Une fois que le SOLEIL l'attaque a été rendue publique, Stellar Cyber l'a simulée dans notre laboratoire dans les 12 heures suivant l'annonce. Ce que nous avons constaté, c'est que notre Open XDR intelligente SOC La plateforme a immédiatement identifié l'événement, en exploitant nos systèmes de détection natifs basés sur l'apprentissage automatique pour corréler et détecter cette menace spécifique. Nous avons également utilisé les outils existants dans l'environnement pour détecter tous les déplacements latéraux et autres actions significatives entreprises par l'attaquant.
Un autre problème qui a rendu cet événement encore plus menaçant était que le SolarWinds L'ensemble d'outils conserve un enregistrement complet de tous les périphériques de l'environnement et de leur niveau de correctif. Une fois compromis par la mise à jour, il a fourni aux attaquants une feuille de route vers les autres appareils, afin qu'ils sachent exactement quels exploits se chargeraient avec succès. C'est la même stratégie que les attaquants ont utilisée pour cibler d'autres fabricants de RMM l'année dernière.
Ce cas d'utilisation montre que pour que votre service aille au-delà de la détection manuelle basée sur des règles, toutes les solutions d'apprentissage automatique ne sont pas créées de la même manière. Cyber stellaire n'ingère pas simplement les journaux et tente de les comprendre. Nous extrayons très soigneusement les métadonnées de sécurité de la source de journal d'origine, ajoutons plusieurs sources de renseignements sur les menaces sur chaque aspect pertinent des métadonnées et créons un format d'enregistrement unique avant son analyse. Ensuite, nous exploitons des modèles de ML supervisés, non supervisés et adaptatifs pour détecter les écarts par rapport à la normale et les corréler en événements de sécurité exploitables, vous permettant de protéger vos clients AVANT qu'ils n'entendent parler de Homeland Security.
