Karamihan sa mga kumpanyang apektado ng Mga SolarWinds ang pag-atake ay nalaman ang tungkol dito mula sa Department of Homeland Security. Hindi ba mas mabuti para sa kanila na matuto mula sa kanilang MSP/MSSP bago tumawag si DHS? Sa Stellar Cyber, malalaman mo kaagad.
Ang dahilan kung bakit naging matagumpay ang paglabag na ito ay ang paggamit ng mga umaatake sa isang mapagkakatiwalaang mapagkukunan - ang tagagawa ng software - upang mai-install ang kanilang code sa loob ng network ng customer sa server ng SolarWinds, sa pamamagitan ng pag-update ng produkto. Hindi ito naiiba mula sa pag-atake ng phishing o brute force na ikokompromiso ang mga pinagkakatiwalaang server o mga gumagamit upang maipalipat ang kanilang mga tool kit. Kapag na-install na ang code sa loob ng network, maingat na ini-scan ito ng mga umaatake para sa mga karagdagang aparato. Susunod, sinisimulan nilang samantalahin ang mga karagdagang assets na nakita nila sa pag-scan. Ang kanilang pangwakas na layunin ay upang makahanap ng isang database na naglalaman ng sensitibong data na maaari nilang i-entablado para sa exfiltration.
Kinaisa-isa, marami sa mga pagkilos na ito ay maaaring
1) hindi magpapalitaw ng alerto sa lahat o
2) lumikha ng maraming mga hindi kaugnay na mga alerto.
Ang nawawala ay ang Ugnayan ng mga kaganapan mula sa maraming iba't ibang mga mapagkukunan ng data, upang i-piraso ang lahat ng ito sa isang kumpletong kaganapan.
Kapag ang SUNBURST ang pag-atake ay ginawang publiko, itinulad ito ng Stellar Cyber sa aming lab sa loob ng 12 oras mula sa anunsyo. Ang nahanap namin ay ang aming Open XDR matalino SOC Agad na natukoy ng platform ang pangyayari, gamit ang aming mga native machine learning-based detection upang maiugnay at matukoy ang partikular na banta na ito. Ginamit din namin ang mga umiiral na tool sa kapaligiran upang matukoy ang lahat ng lateral movement at iba pang mahahalagang aksyon na ginawa ng attacker.
Ang isa pang isyu na gumawa ng pangyayaring ito na higit pang nagbabanta ay ang Mga SolarWinds Ang tool set ay nagpapanatili ng isang kumpletong tala ng lahat ng mga aparato sa kapaligiran at kanilang antas ng patch. Sa sandaling nakompromiso ito ng pag-update, binigyan nito ang mga umaatake ng isang roadmap sa iba pang mga aparato, kaya alam nila eksakto kung aling mga pagsasamantala ang matagumpay na mai-load. Ito ay ang parehong diskarte na ginamit ng mga umaatake upang i-target ang iba pang mga tagagawa ng RMM noong nakaraang taon.
Ang kaso ng paggamit na ito ay naglalarawan na para sa iyong serbisyo na lumipat nang lampas sa manu-manong pagkakita na batay sa mga patakaran, hindi lahat ng mga solusyon sa pag-aaral ng makina ay nilikha na pantay. Stellar Cyber ay hindi lamang ingest logs at pagtatangka upang magkaroon ng kahulugan ng mga ito. Maingat naming kinuha ang metadata ng seguridad mula sa orihinal na mapagkukunan ng pag-log, nagdagdag ng maraming mapagkukunan ng intelligence intelligence sa bawat nauugnay na aspeto ng metadata, at lumikha ng isang solong format ng record bago ito masuri. Susunod, pinapakinabangan namin ang mga pinangangasiwaang, hindi sinusubaybayan, at umaangkop na mga modelo ng ML upang makita ang mga pagkakaiba-iba mula sa normal, at maiugnay ang mga ito sa mga naaaksyong kaganapan sa seguridad, pinapayagan kang protektahan ang iyong mga customer BAGO sila marinig mula sa Homeland Security.
