La maggior parte delle aziende interessate dal SolarWinds attacco appreso dal Dipartimento per la sicurezza interna. Non sarebbe stato meglio per loro aver imparato da loro MSP/MSSP prima che il DHS arrivasse a chiamare? Con Cyber stellare, lo avresti saputo subito.
Il motivo per cui questa violazione ha avuto così tanto successo è che gli aggressori hanno sfruttato una fonte attendibile, il produttore del software, per installare il proprio codice all'interno della rete del cliente sul server SolarWinds, tramite un aggiornamento del prodotto. Questo non è molto diverso dal phishing o dagli attacchi di forza bruta che compromettono server o utenti affidabili per distribuire i loro kit di strumenti. Una volta che il codice è stato installato all'interno della rete, gli aggressori lo scansionano attentamente per ulteriori dispositivi. Successivamente, iniziano a sfruttare le risorse aggiuntive che trovano durante la scansione. Il loro obiettivo finale è trovare un database che contenga dati sensibili che possono organizzare per l'esfiltrazione.
Prese singolarmente, molte di queste azioni lo sarebbero
1) non attivare affatto un avviso o
2) creare più avvisi non correlati.
Quello che mancava era il file correlazione di eventi da molte fonti di dati diverse, per mettere insieme il tutto in un evento completo.
Una volta che il SOLE l'attacco è stato reso pubblico, Stellar Cyber lo ha simulato nel nostro laboratorio entro 12 ore dall'annuncio. Quello che abbiamo scoperto è che il nostro Open XDR intelligente SOC La piattaforma ha identificato immediatamente l'evento, sfruttando i nostri rilevamenti nativi basati sul machine learning per correlare e rilevare questa specifica minaccia. Abbiamo anche utilizzato gli strumenti esistenti nell'ambiente per rilevare tutti i movimenti laterali e altre azioni significative intraprese dall'aggressore.
Un altro problema che ha reso questo evento ancora più minaccioso è stato che il file SolarWinds Il set di strumenti mantiene una registrazione completa di tutti i dispositivi nell'ambiente e del loro livello di patch. Una volta compromesso dall'aggiornamento, ha fornito agli aggressori una roadmap per gli altri dispositivi, in modo che sapessero esattamente quali exploit sarebbero stati caricati con successo. È la stessa strategia che gli aggressori hanno utilizzato l'anno scorso per prendere di mira altri produttori di RMM.
Questo caso d'uso mostra che, affinché il tuo servizio vada oltre il rilevamento manuale basato su regole, non tutte le soluzioni di machine learning sono uguali. Cyber stellare non si limita a importare i log e cerca di dar loro un senso. Estraiamo con molta attenzione i metadati di sicurezza dalla fonte di log originale, aggiungiamo più fonti di intelligence sulle minacce su ogni aspetto rilevante dei metadati e creiamo un unico formato di record prima che venga analizzato. Successivamente, ci avvaliamo di modelli ML supervisionati, non supervisionati e adattivi per rilevare le variazioni rispetto al normale e correlarle in eventi di sicurezza attuabili, consentendoti di proteggere i tuoi clienti PRIMA che sentano parlare di Homeland Security.
