Sebagian besar perusahaan yang terkena dampak SuryaAngin serangan mempelajarinya dari Departemen Keamanan Dalam Negeri. Bukankah lebih baik bagi mereka untuk belajar dari MSP/MSSP sebelum DHS datang memanggil? Dengan Bintang Cyber, Anda pasti langsung tahu.
Alasan mengapa pelanggaran ini begitu berhasil adalah karena para penyerang memanfaatkan sumber tepercaya – produsen perangkat lunak – untuk memasang kode mereka di dalam jaringan pelanggan pada server SolarWinds, melalui pembaruan produk. Hal ini tidak jauh berbeda dari serangan phishing atau brute force yang membahayakan server atau pengguna tepercaya untuk menggunakan perangkat mereka. Setelah kode dipasang di dalam jaringan, para penyerang dengan hati-hati memindainya untuk mencari perangkat tambahan. Selanjutnya, mereka mulai mengeksploitasi aset tambahan yang mereka temukan selama pemindaian. Tujuan akhir mereka adalah menemukan basis data yang berisi data sensitif yang dapat mereka persiapkan untuk dieksfiltrasi.
Jika dilakukan secara individual, banyak dari tindakan ini akan
1) tidak memicu peringatan sama sekali atau
2) membuat beberapa peringatan yang tidak terkait.
Yang hilang adalah korelasi kejadian dari berbagai sumber data yang berbeda, untuk menyatukan semuanya menjadi suatu kejadian yang lengkap.
Setelah SINAR MATAHARI serangan itu dipublikasikan, Stellar Cyber mensimulasikannya di lab kami dalam waktu 12 jam setelah pengumuman. Apa yang kami temukan adalah bahwa Open XDR cerdas SOC Platform tersebut langsung mengidentifikasi kejadian tersebut, memanfaatkan deteksi berbasis pembelajaran mesin bawaan kami untuk mengkorelasikan dan mendeteksi ancaman spesifik ini. Kami juga menggunakan alat yang ada di lingkungan tersebut untuk mendeteksi semua pergerakan lateral dan tindakan signifikan lainnya yang dilakukan oleh penyerang.
Masalah lain yang membuat peristiwa ini semakin mengancam adalah SuryaAngin perangkat lunak menyimpan catatan lengkap semua perangkat di lingkungan tersebut dan tingkat patch-nya. Setelah perangkat lunak tersebut disusupi oleh pembaruan, perangkat lunak tersebut menyediakan peta jalan bagi para penyerang ke perangkat lain, sehingga mereka tahu persis eksploitasi mana yang akan berhasil dimuat. Ini adalah strategi yang sama yang digunakan para penyerang untuk menargetkan produsen RMM lainnya tahun lalu.
Kasus penggunaan ini menggambarkan bahwa agar layanan Anda bergerak melampaui deteksi berbasis aturan manual, tidak semua solusi pembelajaran mesin dibuat sama. Bintang Cyber tidak hanya menyerap log dan mencoba memahaminya. Kami mengekstrak metadata keamanan dari sumber log asli dengan sangat hati-hati, menambahkan beberapa sumber intelijen ancaman pada setiap aspek metadata yang relevan, dan membuat format rekaman tunggal sebelum dianalisis. Selanjutnya, kami memanfaatkan model ML yang diawasi, tidak diawasi, dan adaptif untuk mendeteksi varians dari normal, dan menghubungkannya ke dalam peristiwa keamanan yang dapat ditindaklanjuti, yang memungkinkan Anda melindungi pelanggan SEBELUM mereka mendengar dari Keamanan Dalam Negeri.
