Hầu hết các công ty bị ảnh hưởng bởi SolarWinds cuộc tấn công đã biết về nó từ Bộ An ninh Nội địa. Sẽ không tốt hơn nếu họ học được từ MSP/MSSP trước khi DHS gọi đến? Với sao điện tử, bạn sẽ biết ngay lập tức.
Lý do khiến vụ vi phạm này thành công như vậy là do những kẻ tấn công đã tận dụng một nguồn đáng tin cậy - nhà sản xuất phần mềm - để cài đặt mã của họ bên trong mạng của khách hàng trên máy chủ SolarWinds, thông qua bản cập nhật sản phẩm. Điều này không khác với các cuộc tấn công lừa đảo hoặc tấn công vũ phu làm tổn hại đến các máy chủ hoặc người dùng đáng tin cậy để triển khai bộ công cụ của họ. Khi mã được cài đặt bên trong mạng, những kẻ tấn công sẽ cẩn thận quét mã để tìm các thiết bị bổ sung. Tiếp theo, họ bắt đầu khai thác các tài sản bổ sung mà họ tìm thấy trong quá trình quét. Mục tiêu cuối cùng của họ là tìm một cơ sở dữ liệu có chứa dữ liệu nhạy cảm mà họ có thể phân loại để lọc.
Thực hiện riêng lẻ, nhiều hành động trong số này sẽ
1) hoàn toàn không kích hoạt cảnh báo hoặc
2) tạo nhiều cảnh báo không liên quan.
Điều còn thiếu là tương quan sự kiện từ nhiều nguồn dữ liệu khác nhau, để ghép tất cả lại với nhau thành một sự kiện hoàn chỉnh.
Một khi các NẮNG cuộc tấn công đã được công khai, Stellar Cyber đã mô phỏng nó trong phòng thí nghiệm của chúng tôi trong vòng 12 giờ kể từ khi thông báo. Những gì chúng tôi tìm thấy là Open XDR thông minh SOC Nền tảng đã xác định sự kiện ngay lập tức, tận dụng khả năng phát hiện dựa trên máy học tích hợp sẵn để liên kết và phát hiện mối đe dọa cụ thể này. Chúng tôi cũng đã sử dụng các công cụ hiện có trong môi trường để phát hiện tất cả các chuyển động ngang và các hành động quan trọng khác do kẻ tấn công thực hiện.
Một vấn đề khác khiến sự kiện này trở nên đe dọa hơn nữa là SolarWinds bộ công cụ lưu giữ một bản ghi đầy đủ về tất cả các thiết bị trong môi trường và mức vá lỗi của chúng. Khi nó bị xâm phạm bởi bản cập nhật, nó sẽ cung cấp cho những kẻ tấn công một lộ trình đến các thiết bị khác, vì vậy chúng biết chính xác việc khai thác nào sẽ tải thành công. Đó là chiến lược tương tự mà những kẻ tấn công đã sử dụng để nhắm mục tiêu vào các nhà sản xuất RMM khác vào năm ngoái.
Trường hợp sử dụng này minh họa rằng để dịch vụ của bạn vượt ra ngoài khả năng phát hiện dựa trên quy tắc thủ công, không phải tất cả các giải pháp học máy đều được tạo ra như nhau. sao điện tử không chỉ nhập nhật ký và cố gắng hiểu chúng. Chúng tôi trích xuất rất cẩn thận siêu dữ liệu bảo mật từ nguồn nhật ký ban đầu, thêm nhiều nguồn thông tin về mối đe dọa trên mọi khía cạnh liên quan của siêu dữ liệu và tạo một định dạng bản ghi duy nhất trước khi nó được phân tích. Tiếp theo, chúng tôi tận dụng các mô hình ML có giám sát, không giám sát và thích ứng để phát hiện các điểm khác biệt so với bình thường và tương quan chúng với các sự kiện bảo mật có thể hành động, cho phép bạn bảo vệ khách hàng của mình TRƯỚC KHI họ nhận được tin từ Bộ An ninh Nội địa.
