Número de telefone : 13486085502
December 30, 2020
Mais preocupantes para aqueles responsáveis para o cybersecurity em centros de dados da empresa, contudo, são os vendedores da tecnologia que permitiram o software comprometido de SolarWinds Orion em seus ambientes. Aqueles vendedores, tanto quanto nós sabemos, incluem agora Microsoft, Intel, Cisco, Nvidia, VMware, Belkin, e a empresa FireEye do cybersecurity, que era primeira para descobrir o ataque.
“Eu penso que o número [de vendedores comprometidos] está indo crescer,” disse Greg Touhill, que serviram como E.U. CISO federal sob o presidente Barack Obama e quem é agora presidente no grupo federal de Appgate. “Eu penso que nós estamos indo encontrar, porque nós desembaraçamos o nó atrás deste, que SolarWinds não era a única vítima, e que FireEye não era a única vítima em seu espaço.”
Completamente, até 18.000 organizações podem ter transferido o Trojan, de acordo com SolarWinds. O número de organizações visadas para os ataques que seguiriam a ruptura de SolarWinds é desconhecido neste tempo. Microsoft disse que identificou mais de 40 organizações nessa última categoria. Não nomeou alguns deles mas disse que 44 por cento eram empresas da tecnologia
Outros pesquisadores têm investigado os detalhes técnicos dos malware para identificar mais vítimas da segundo-ordem.
Uma lista publicada pela empresa TrueSec do cybersecurity inclui o hospital de Cisco, de Deloitte, do monte Sinai, e os diversos outros hospitais, organizações médicas de outros tipos, governos locais, instituições educativas, companhias da eletricidade, e instituições financeiras.
Cisco e Deloitte estão igualmente na lista uniram por pesquisadores do cybersecurity em Prevasio. Além, sua lista inclui Ciena, Belkin, Nvidia, NCR, SAP, Intel, e sentido de Digitas.
O foco dos atacantes em vendedores da empresa a TI está preocupando-se particularmente porque se poderia significar que a ruptura de SolarWinds é apenas um de muitos, que outros vendedores da tecnologia estiveram comprometidos a mesma maneira SolarWinds era. Poderia haver ainda mais vetores do ataque da cadeia de aprovisionamento do para trás-canal, que seja difícil de defender contra.
Os E.U. Cybersecurity e a agência de segurança da infraestrutura advertiram que os atacantes podem ter usado outros pontos de acesso iniciais além de SolarWinds.
Por exemplo, os atacantes têm usado uma vulnerabilidade de zero-dia em produtos da gestão do acesso e da identidade de VMware para atacar sistemas do governo, de acordo com o NSA. VMware confirmou que esteve notificado da vulnerabilidade pelo NSA e liberou um remendo no início deste mês. VMware igualmente confirmou que encontrou exemplos do software comprometido de SolarWinds em seu ambiente, mas disse que não viu nenhuma evidência mais adicional da exploração.
O ataque de VMware teve outra uma coisa em comum com SolarWinds. Os atacantes usaram canais de comunicação do seu software próprios para iludir a detecção. De acordo com o NSA, a atividade da exploração ocorreu dentro de um túnel TLS-cifrado associado com a relação com suporte na internet da gestão do software.
Cisco igualmente confirmou que encontrou exemplos do produto comprometido de SolarWinds Orion em seu ambiente. “Neste tempo, não há nenhum impacto conhecido aos produtos de Cisco, serviços, ou alguns dados da empresa,” e suas redes da cadeia de aprovisionamento a TI não mostraram nenhuma evidência do acordo, a empresa disse.
Mas isso não significa que não há nenhuns problemas mais acima da corrente.
“Se os fabricantes da terceira de Cisco têm as redes da TI não associadas com o negócio de Cisco, Cisco não tem a visibilidade 2 aquelas redes,” a empresa disse. “Cisco está contratando ativamente com vendedores para avaliar todos os impactos potenciais a seu negócio.”
Muitos de ataques do alto-perfil deste ano, tais como a onda de recorde do ransomware, exploraram a vontade dos usuários de clicar nas relações em e-mail phishing ou usaram credenciais roubadas para quebrar em sistemas.
O canal do ataque de SolarWinds não envolveu nenhuns usuários comprometida para ganhar o apoio para o pé inicial. Em lugar de, o ataque aconteceu completamente no back-end, com um processo comprometido da atualização de software. Um centro de dados que procura indicadores do acordo em comportamentos suspeitos do usuário, em transferências do malware em dispositivos do usuário, ou na atividade incomum da rede não não teria nada encontrar – mesmo enquanto os atacantes usaram a plataforma de SolarWinds Orion para explorar o ambiente.
De fato, FireEye descobriu somente a ruptura quando um atacante tentou usar credenciais roubadas para registrar um dispositivo novo para a autenticação do multi-fator.
“Teve o AMF não travou-o, teve o empregado não relatou as credenciais roubadas, isto não seria descoberto,” Liz Miller, VP e o analista principal na pesquisa da constelação, disseram. “Ainda estaria fornecendo estares abertos a e tudo.”
O Touhill de Appgate recomenda que os centros de dados que usam produtos por SolarWinds, por Cisco, por VMware, ou por outras empresas potencialmente comprometidas precisam de olhar qual sua exposição do risco potencial é.
“Olhe aqueles vendedores que você confia sobre,” disse o DCK. “Você tem que estar na conversação com seus fornecedores e ver se são seguintes melhores práticas, como a verificação da integridade de seu código e a verificação de seus próprios sistemas repetidamente para ver se há todas as indicações do acordo.”
E aquela não é uma único conversação, ele adicionou. “Um-e-feito não está indo ser bom bastante.”
Útil aos gerentes de segurança do centro de dados no rescaldo da ruptura de SolarWinds é a quantidade de atenção que o ataque recebeu dos pesquisadores da segurança.
“Nós conhecemos como foi comprometido e que a procurar,” Ilia Kolochenko, o CEO em ImmuniWeb, uma empresa do cybersecurity, disse. “Mas eu estou seguro que SolarWinds não é a empresa a mais negligente ao redor do mundo. É razoável supor que não são a única vítima.”
A diferença é que ninguém conhece o que outros vendedores da TI foram cortados, e o que aqueles indicadores do acordo são.
ImmuniWeb recentemente pesquisou aproximadamente 400 empresas principais do cybersecurity e encontrou que 97 por cento tiveram os escapes dos dados ou os outros incidentes de segurança expostos na Web escura – assim como 91 empresas com vulnerabilidades na segurança exploráveis do Web site. Em setembro, quando seu relatório foi publicado, 26 por cento daqueles ainda unfixed.
Os pesquisadores igualmente encontraram mais de 100.000 incidentes de alto risco, tais como as credenciais do início de uma sessão, disponíveis na Web escura. “SolarWinds é provavelmente apenas a ponta do iceberg do acordo de empresas da tecnologia ao redor do mundo,” Kolochenko disse o DCK.
“Você não pode confiar qualquer um, mesmo seu vendedor da segurança,” Holger Mueller, um analista na pesquisa da constelação, disse. A única solução é revisão de código. “Mas quem pode e quer rever o código fonte de vendedores da segurança?”
O que pôde emergir na resposta é um tipo novo do vendedor – um que fornece ferramentas que software de segurança da verificação para o malware, disse.
A ruptura de SolarWinds ilustra um outro problema enfrentado pela segurança do centro de dados a TI – essa precisa de trabalhar mais proximamente com as equipes de TI mais largas.
De acordo com uma avaliação recente pelo instituto de Ponemon em nome de Devo, a falta da visibilidade na infraestrutura da segurança da TI é a barreira superior à eficácia de centros de operações da segurança, identificada como um problema por 70 por cento de profissionais da TI e da segurança. E 64 por cento dizem que as edições do relvado e as operações siloed são uma barreira superior à eficácia.
“Este ataque realmente deve ser uma chamada de excitação maciça para o TI e as equipes de segurança a ser distante mais alinhadas,” o Miller de Constelação disse.
A falta da visibilidade faz difícil detectar e responder às ameaças. De acordo com a avaliação de Ponemon, 39 por cento das organizações disseram que tomaram, em média, “meses ou mesmo os anos” a responder a um incidente de segurança.
“Este é exatamente o caos e os atacantes siloed dos comportamentos, especialmente sofisticados, confiam sobre,” Miller disse o DCK.
A ruptura de SolarWinds prova mais uma vez que qualquer um pode ser cortado, da maioria de agências governamentais conscientes da segurança à maioria de vendedores conscientes do cybersecurity da segurança.
É relativamente fácil para atacantes sofisticados ficar sob o radar.
“Quando eu fiz teaming vermelho, eu não penso que eu estive travado nunca até que eu vá fazer alguma ação realmente óbvia ou fazer algum ruído,” disse David Wolpoff, o CTO e o cofundador em Randori, que quebra nas redes companies para uma vida.
Isso não significa que gerentes de segurança não deve tentar detectar rupturas.
“Naturalmente, nós não somos seguros,” Wolpoff disse. “Nós nunca estamos indo ser seguros. Mas nós estamos fazendo sempre estas trocas na vida, e o cyber é não diferente. Quanto risco é você disposto aceitar de seus sócios e vendedores? E se algo vai mal, o que é seu à prova de falhas?”
Por exemplo, disse ele, cada profissional que da segurança fala a diz que acreditam na presunção do acordo e da defesa detalhada. “Mas por outro lado ninguém vai e toma aquelas ações.”
Os centros de dados que não se moveram ainda para o modelo de segurança da zero-confiança devem começar fazer planos, diversos peritos disseram.
“Sinceramente, eu penso que muitas empresas consistem tarde em executar a confiança zero, e eu penso que é uma muito primeiramente das etapas,” disse o Touhill de Appgate.
“Se você não tem adotado já uma postura da zero-confiança através de seus trabalhos em rede do centro de dados, agora seja uma estadia excepcional obter que na engrenagem,” disse Miller.
As regras do jogo mudaram, disseram Mike Lloyd, CTO em RedSeal, uma empresa do cybersecurity.
No passado, a pergunta que os gerentes de segurança do centro de dados se fariam que era, “como eu reduzo o espaço que escuro eu não posso ver?” Agora, têm que pedir-se que, “como eu contenho dano causado pelas coisas que eu me uso para olhar minha própria rede?”
“Esta é uma perspectiva deindução,” disse Lloyd. “Se você não pode confiar seu software de monitoração, como você monitora qualquer coisa?”
