से प्रभावित अधिकांश कंपनियां ओरियन हमले के बारे में होमलैंड सुरक्षा विभाग से सीखा। क्या यह उनके लिए बेहतर नहीं होता कि वे उनसे सीखें एमएसपी/MSSPs डीएचएस से पहले फोन आया? साथ में स्टेलर साइबर, तुम अभी पता होता।
यह उल्लंघन इतना सफल था कि हमलावरों ने एक विश्वसनीय स्रोत - सॉफ्टवेयर निर्माता - को एक उत्पाद अद्यतन के माध्यम से सोलर विंड सर्वर पर ग्राहक के नेटवर्क के अंदर स्थापित करने के लिए एक विश्वसनीय स्रोत का लाभ उठाया। ऐसा नहीं है कि फ़िशिंग या ब्रूट बल के हमलों से अलग है जो अपने टूल किट को तैनात करने के लिए विश्वसनीय सर्वर या उपयोगकर्ताओं से समझौता करते हैं। एक बार कोड नेटवर्क के अंदर स्थापित हो जाने के बाद, हमलावर इसे अतिरिक्त उपकरणों के लिए सावधानीपूर्वक स्कैन करते हैं। अगला, वे स्कैन के दौरान मिलने वाली अतिरिक्त संपत्ति का शोषण करना शुरू करते हैं। उनका अंतिम लक्ष्य एक डेटाबेस ढूंढना है जिसमें संवेदनशील डेटा होता है जो वे एक्सफ़िलिएशन के लिए स्टेज कर सकते हैं।
व्यक्तिगत रूप से लिया गया, इन कार्यों में से कई या तो होगा
1) सभी पर चेतावनी को ट्रिगर न करें या
2) कई असंबंधित अलर्ट बनाएं।
क्या गायब था सह - संबंध कई अलग-अलग डेटा स्रोतों से घटनाओं की, यह सब एक पूर्ण घटना में एक साथ करने के लिए।
एक बार सूर्य की रोशनी हमले को सार्वजनिक किया गया था, स्टेलर साइबर ने घोषणा के 12 घंटे के भीतर हमारी प्रयोगशाला में इसका अनुकरण किया। हमने जो पाया वह है हमारा Open XDR बुद्धिमान SOC प्लेटफ़ॉर्म ने हमारी अंतर्निहित मशीन लर्निंग-आधारित पहचान प्रणालियों का उपयोग करके इस विशिष्ट खतरे का तुरंत पता लगा लिया। हमने हमलावर द्वारा की गई सभी पार्श्व गतिविधियों और अन्य महत्वपूर्ण कार्यों का पता लगाने के लिए वातावरण में मौजूद उपकरणों का भी उपयोग किया।
एक और मुद्दा जिसने इस घटना को और भी अधिक खतरनाक बना दिया, वह यह था कि ओरियन उपकरण सेट पर्यावरण और उनके पैच स्तर में सभी उपकरणों का एक पूरा रिकॉर्ड रखता है। एक बार जब इसे अपडेट से समझौता कर लिया गया, तो इसने हमलावरों को अन्य उपकरणों के लिए एक रोडमैप प्रदान किया, इसलिए उन्हें पता था कि कौन से कारनामे सफलतापूर्वक लोड होंगे। यह वही रणनीति है जो हमलावर पिछले साल अन्य आरएमएम निर्माताओं को निशाना बनाने के लिए इस्तेमाल करते थे।
यह उपयोग मामला दिखाता है कि आपकी सेवा के लिए मैन्युअल नियम-आधारित पहचान से परे जाने के लिए, सभी मशीन सीखने के समाधान समान नहीं बनाए गए हैं। स्टेलर साइबर बस लॉग को निगलना नहीं है और उनमें से समझ बनाने का प्रयास करें। हम मूल लॉग स्रोत से सुरक्षा मेटाडेटा को बहुत सावधानी से निकालते हैं, मेटाडेटा के प्रत्येक प्रासंगिक पहलू पर खतरे की खुफिया के कई स्रोतों को जोड़ते हैं, और विश्लेषण किए जाने से पहले एकल रिकॉर्ड प्रारूप बनाते हैं। इसके बाद, हम सामान्य से भिन्नताओं का पता लगाने के लिए पर्यवेक्षित, अप्रमाणित, और अनुकूली एमएल मॉडल का लाभ उठाते हैं, और उन्हें अपने सुरक्षा ग्राहकों की गतिविधियों में शामिल करते हैं, जिससे आप अपने ग्राहकों को होमलैंड सिक्योरिटी के बारे में सुन सकते हैं।
