영향을받는 대부분의 회사 SolarWinds 공격은 국토 안보부에서 알게되었습니다. 그들에게서 배운 것이 더 낫지 않았을까요? MSP/MSSP DHS가 전화하기 전에? 와 스텔라 사이버, 당신은 즉시 알고 있었을 것입니다.
이 침해가 성공한 이유는 공격자가 신뢰할 수있는 소스 인 소프트웨어 제조업체를 활용하여 제품 업데이트를 통해 SolarWinds 서버의 고객 네트워크 내부에 코드를 설치했기 때문입니다. 이는 신뢰할 수있는 서버 나 사용자를 손상시켜 도구 키트를 배포하는 피싱 또는 무차별 대입 공격과 크게 다르지 않습니다. 코드가 네트워크 내부에 설치되면 공격자는 추가 장치를 찾기 위해 신중하게 검색합니다. 그런 다음 스캔 중에 찾은 추가 자산을 악용하기 시작합니다. 그들의 궁극적 인 목표는 유출을 위해 준비 할 수있는 민감한 데이터가 포함 된 데이터베이스를 찾는 것입니다.
개별적으로 취하면 이러한 조치 중 다수는
1) 경고를 전혀 트리거하지 않거나
2) 관련없는 경고를 여러 개 만듭니다.
빠진 것은 상관 관계 다양한 데이터 소스의 이벤트를 모두 하나의 완전한 이벤트로 구성합니다.
한 번 선 버스트 공격이 공개되었고 Stellar Cyber는 발표 후 12 시간 이내에 실험실에서 시뮬레이션했습니다. 우리가 발견 한 것은 Open XDR 지능형 SOC 저희 플랫폼은 자체 개발한 머신러닝 기반 탐지 기능을 활용하여 해당 위협을 즉시 식별하고 상관관계를 파악하여 탐지했습니다. 또한, 기존 환경 내 도구를 활용하여 공격자의 모든 측면 이동 및 기타 중요한 활동을 탐지했습니다.
이 사건을 더욱 위협하게 만든 또 다른 문제는 SolarWinds 도구 세트는 환경 및 패치 수준의 모든 장치에 대한 완전한 기록을 유지합니다. 업데이트에 의해 손상되면 공격자에게 다른 장치에 대한 로드맵을 제공하여 어떤 공격이 성공적으로로드되는지 정확히 알았습니다. 공격자가 작년에 다른 RMM 제조업체를 표적으로 삼는 데 사용한 것과 동일한 전략입니다.
이 사용 사례는 서비스가 수동 규칙 기반 감지를 넘어 서기 위해 모든 기계 학습 솔루션이 동일하게 생성되는 것은 아니라는 것을 보여줍니다. 스텔라 사이버 단순히 로그를 수집하고 이해하려고 시도하지 않습니다. 우리는 원본 로그 소스에서 보안 메타 데이터를 매우 신중하게 추출하고, 메타 데이터의 모든 관련 측면에 대해 여러 위협 인텔리전스 소스를 추가하고, 분석하기 전에 단일 레코드 형식을 만듭니다. 다음으로 감독, 비지도 및 적응 형 ML 모델을 활용하여 정상과의 차이를 감지하고이를 실행 가능한 보안 이벤트로 연관시켜 고객이 Homeland Security로부터 소식을 듣기 전에 고객을 보호 할 수 있습니다.
