.png)
Verstöße gegen Microsoft Exchange, SolarWinds und Verkada: Warum Sicherheitshygiene wichtiger denn je ist
Das Jahr 2021 ist erst wenige Monate alt und wir hatten bereits drei schlagzeilenträchtige Cybervorfälle: die Kompromittierung von SolarWinds Orion, die Angriffe auf Zero-Day-Schwachstellen in Microsoft Exchange und den Verkada-Hack (dessen Auswirkungen wir möglicherweise noch eine Weile nicht vollständig nachvollziehen können). Diese Ereignisse erinnern uns an den inzwischen abgenutzten Sicherheitsglauben, dass eine Sicherheitsverletzung unvermeidlich ist. Letztendlich kommt es darauf an, wie sehr Einzelpersonen und Organisationen die Auswirkungen einer Sicherheitsverletzung begrenzen können und wie wichtig grundlegende Sicherheitshygiene in Krisenzeiten ist.
Sicherheitshygiene ist ein gesundes Sicherheitsverhalten, das durch die Implementierung unterstützender Prozesse und technischer Kontrollen verstärkt wird. Wenn man an den Lebenszyklus eines Angriffs denkt – von der Aufklärung über die erste Kompromittierung bis hin zu den Aktivitäten nach der Kompromittierung – machen es die kontinuierlichen Investitionen eines Zielunternehmens in die Sicherheitshygiene für einen Angreifer schwieriger, seine Ziele zu erreichen, indem er sie von den Zieldaten fernhält und die Chancen auf Entdeckung erhöht.
Betrachtet man die drei im Zusammenhang mit der Sicherheitshygiene genannten Schlagzeilenvorfälle, so lassen sich Bereiche identifizieren, die Raum für eine bessere Versorgung bieten.
Verkada breach
Angreifer waren in der Lage, die Prozesse zur Verwaltung privilegierter Konten zu umgehen, um "Superuser"-Zugriff auf Kameras an mehreren Kundenstandorten zu erhalten. Darüber hinaus ließen Kunden, die Kameras nicht effektiv vom Rest ihres Unternehmensnetzwerks trennten, Angreifern die Möglichkeit offen, sich seitlich zu bewegen und andere Ressourcen zu kompromittieren.
Wo gute Hygiene hätte helfen können: eine verbesserte allgemeine Kontoverwaltung, die rollenbasierte Zugriffskontrolle (RBAC) mit den geringsten Rechten auf breiter Front implementierte und MFA für hochprivilegierte Konten sowie die Kontrolle und Erkennung von Lateral-Movement-Aktivitäten nutzte.
Zero-Day-Schwachstellen in Exchange
Das Vorhandensein mehrerer nicht gepatchter Schwachstellen ermöglichte sowohl die nicht authentifizierte Exfiltration von Postfachinhalten als auch das Hochladen von Webshells, um die Persistenz und laterale Bewegung zu erleichtern.
Wo eine gute Hygiene hätte hilfreich sein können: Blockieren von unnötigem Datenverkehr zu/von Exchange-Servern, Überwachen von Kontoerstellungs- und Gruppenverwaltungsereignissen, Überwachen der ausgehenden Verbindungsversuche zu/von unbekannten Zielen und zentralisiertes Sammeln von Windows-Ereignissen und IIS-Serverprotokollen.
Kompromittierung von SolarWinds Orion
Die Kompromittierung des Paketierungsprozesses eines Anbieters ermöglichte die Bereitstellung eines Software-Updates mit einer Trojaner-Hintertür, die Angreifern direkten Zugriff auf Kunden gewährte, die Orion ausführen. Die Angreifer nutzten dann den privilegierten Zugriff (der von der Orion-Plattform gewährt wurde), um weiter in das Zielnetzwerk einzudringen.
Wo gute Hygiene hätte helfen können: Blockieren von unnötigem Datenverkehr von SolarWinds Orion NPM-Servern zum Internet und Überwachen von Konten mit den geringsten Berechtigungen.
Verbessern Sie die Cyber-Hygiene mit Mikrosegmentierung
Diese Liste zeigt uns, dass eine grundlegende Sicherheitshygiene auch dann von Vorteil sein kann, wenn Nationalstaaten die mutmaßlichen Angreifer sind. Diese einfachen Praktiken dienen dazu, die Antagonisten in die Öffentlichkeit zu drängen und die Wahrscheinlichkeit zu erhöhen, dass die Alarmglocken läuten und der Vorfall eingedämmt werden kann.
In der Regel können einige Technologieimplementierungen zur Erreichung von Cyberhygiene komplexer sein und länger dauern als andere. Beispielsweise kann die vollständige Implementierung von Privileged Access Management-Technologie in großem Maßstab in einem globalen Netzwerk erheblich länger dauern als die Bereitstellung hostbasierter Mikrosegmentierung, die keine Netzwerkänderungen oder eine Neuarchitektur der Hosts und Workloads erfordert.
In diesem Fall ist die Mikrosegmentierungskontrolle , die schneller zu implementieren und auch sehr effektiv ist, sowohl eine wesentliche Kontrolle zur Verhinderung von Lateral-Movement-Aktivitäten als auch eine kompensierende Kontrolle, während die Bereitstellung der Berechtigungsverwaltung fortgeführt wird.
Die Mikrosegmentierungslösung von Illumio trägt zur Verbesserung der Cyber-Hygiene bei, indem sie Folgendes bietet:
- Deutlich verbesserte Transparenz der Datenverkehrsströme im Rechenzentrum und weitere Daten, die bei der Erkennung unbefugter lateraler Bewegungen helfen.
- Mikrosegmentierungsrichtlinien zur Begrenzung der Gefährdung in und aus Ihren wichtigsten Assets. Im Fall von Exchange bedeutet dies, dass die Best Practice von Microsoft befolgt wird, den Zugriff nur auf die erforderlichen Ports zu beschränken. Weitere Informationen finden Sie im Microsoft-Sicherheitsblog .
Die Quintessenz ist, dass Unternehmen sich der Schwachstellen, die zu Sicherheitsverletzungen führen, oft nicht bewusst sind. Wenn Sie sich auf das konzentrieren, was Sie kontrollieren können – wie eine gute Sicherheitshygiene – wird dies zu einer stärkeren organisatorischen Sicherheitslage führen. Die jüngsten Cyberangriffe, die Schlagzeilen machten, unterstreichen die Notwendigkeit der Einführung von Zero-Trust-Prinzipien , um laterale Bewegungen zu begrenzen und eine bessere Kontrolle über Sicherheitsverletzungen zu erreichen.
Weitere Informationen darüber , wie Mikrosegmentierung zur Verbesserung der Überwachung und des Schutzes von Exchange und anderen kritischen Infrastrukturen beiträgt, finden Sie unter:
