A maioria das empresas afetadas pelo SolarWinds ataque soube disso pelo Departamento de Segurança Interna. Não teria sido melhor para eles aprenderem com seus MSP/MSSPs antes do DHS ligar? Com Stellar Cyber, você saberia imediatamente.
O motivo pelo qual essa violação teve tanto sucesso foi que os invasores aproveitaram uma fonte confiável - o fabricante do software - para instalar seu código na rede do cliente no servidor SolarWinds, por meio de uma atualização do produto. Isso não é muito diferente de ataques de phishing ou de força bruta que comprometem servidores ou usuários confiáveis para implantar seus kits de ferramentas. Depois que o código é instalado na rede, os invasores o examinam cuidadosamente em busca de dispositivos adicionais. Em seguida, eles começam a explorar os ativos adicionais que encontram durante a varredura. Seu objetivo final é encontrar um banco de dados que contenha dados confidenciais que eles possam preparar para exfiltração.
Tomadas individualmente, muitas dessas ações seriam
1) não acionar nenhum alerta ou
2) criar vários alertas não relacionados.
O que estava faltando era o correlação de eventos de muitas fontes de dados diferentes, para juntar tudo em um evento completo.
Uma vez que o RELUZENTE O ataque foi tornado público, o Stellar Cyber o simulou em nosso laboratório 12 horas após o anúncio. O que descobrimos é que nosso Open XDR inteligente SOC A plataforma identificou o evento imediatamente, aproveitando nossas detecções nativas baseadas em aprendizado de máquina para correlacionar e detectar essa ameaça específica. Também utilizamos as ferramentas existentes no ambiente para detectar todos os movimentos laterais e outras ações significativas realizadas pelo invasor.
Outra questão que tornou este evento ainda mais ameaçador foi que o SolarWinds O conjunto de ferramentas mantém um registro completo de todos os dispositivos no ambiente e seu nível de patch. Uma vez comprometido pela atualização, ele fornecia aos invasores um roteiro para os outros dispositivos, para que eles soubessem exatamente quais exploits seriam carregados com sucesso. É a mesma estratégia que os invasores usaram para atingir outros fabricantes de RMM no ano passado.
Este caso de uso ilustra que, para que seu serviço vá além da detecção manual baseada em regras, nem todas as soluções de aprendizado de máquina são criadas iguais. Stellar Cyber não simplesmente ingere logs e tenta entendê-los. Extraímos com muito cuidado os metadados de segurança da fonte de log original, adicionamos várias fontes de inteligência de ameaças em cada aspecto relevante dos metadados e criamos um único formato de registro antes de ser analisado. Em seguida, aproveitamos modelos de ML supervisionados, não supervisionados e adaptáveis para detectar variações do normal e correlacioná-las em eventos de segurança acionáveis, permitindo que você proteja seus clientes ANTES de ouvirem a Segurança Interna.
