Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Zero-Trust-Segmentierung

SolarWinds-Sicherheitsverletzung: Paradigmenwechsel hin zu Zero Trust

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
Januar 19, 2021
23 min. lesen

Die SolarWinds-Kompromittierung und ihre anhaltenden Folgen haben deutlich gemacht, wie schwierig es ist, jeden Berührungspunkt eines Unternehmens mit seinen externen Abhängigkeiten (sei es Anbieter, Kunde oder Partner) zu kontrollieren und zu validieren, und unterstreicht das alte Sprichwort, dass "eine Kette nur so stark ist wie ihr schwächstes Glied".

Die Target-Verletzung Anfang der 2010er Jahre und die jüngsten sogenannten "Cloud Hopper"-Angriffe haben bereits die Risiken im Zusammenhang mit Lieferketten aufgezeigt, insbesondere wenn Mitglieder dieser Kette in irgendeiner Form direkten Zugriff auf Ihr Netzwerk haben (d. h. Beziehungen zu Drittanbietern, die Netzwerkzugriff erfordern). Die Anerkennung dieses Risikos hat daher dazu geführt, dass die Sicherheitskontrollen an diesen Netzwerk-Touchpoints stärker in den Fokus gerückt wurden. Bei richtiger Implementierung vermitteln diese Kontrollen ein klares Verständnis davon, wo diese Berührungspunkte vorhanden sind, worauf sie Zugriff gewähren, wie hoch der Zugriff ist und wie dieser Zugriff überwacht wird. Aus der Perspektive der Erkennung und Reaktion kann es aufgrund dieser "a priori"-Informationen eine offensichtlichere Reihe von Indikatoren liefern, auf die man achten sollte.

In erster Linie ist die Kompromittierung von SolarWinds beunruhigend, weil sie einen Punkt in unseren Technologie-Lieferketten angegriffen hat, den wir am wenigsten erwartet haben (d. h. ein signiertes Update von einem Softwareanbieter, dem wir vertrauen). Und doch ist es eines, das wir alle als "perfekt" anerkennen würden, da es den Hintertür-Angreifern Möglichkeiten bot.

Wir können argumentieren, dass die Wahrscheinlichkeit des Erfolgs eines Angriffs eine Funktion der verfügbaren Anmeldedaten, des nutzbaren Netzwerkzugriffs und der ausnutzbaren Schwachstellen ist. In diesem Fall würde die Kompromittierung eines Systems mit umfangreichem Netzwerkzugriff und hochprivilegiertem Zugriff auf Systeme und Verzeichnisdienste ganz oben auf der Wunschliste eines böswilligen Akteurs stehen. Die Orion-Plattform bot genau diese Möglichkeit.

Wie es den Angreifern gelungen ist, den Codevalidierungs- und Build-Prozess von SolarWinds zu kompromittieren, wird noch untersucht, und zweifellos werden alle Unternehmen, die ihre eigene Entwicklung durchführen, sehr daran interessiert sein, wie sie die gleichen Risiken mindern können.

Was jetzt im Vordergrund steht, ist, was die latente Exposition weiterhin ist – da sie immer noch enthüllt wird. Aufgrund des Niveaus und der Reichweite des verfügbaren Zugriffs ist es schwierig, wirklich einzuschätzen, wo die Angreifer eindringen und sich verstecken konnten. Wir wissen, dass die Verwendung des Orion-Updates ausschließlich dazu diente, einen (sehr prominenten) Brückenkopf in den Zielorganisationen zu etablieren, da dies weder die Endtrophäe noch eine Notwendigkeit für die Aufrechterhaltung der Präsenz oder des Zugangs darstellte.

Vor diesem Hintergrund liegt der Fokus sehr stark auf der kontinuierlichen Erkennung und Reaktion. Und in dieser Hinsicht haben wir alle eine entscheidende Rolle zu spielen. Die Entdeckung dieses groß angelegten Angriffs war möglich, weil auch ein erfahrener Anbieter von Incident Response und Cybersicherheit (FireEye / Mandiant) kompromittiert wurde. Sie waren jedoch die ersten auf der Liste der Opfer, die nach der Sicherheitsverletzung Datendiebstahl erkannten, öffentlich offenlegten und dann erste Gegenmaßnahmen ergriffen. Vielleicht ist dies einer der Silberstreif am Horizont in dieser fortlaufenden Folge.

Sicherheitsanbieter müssen dringend ermitteln, wie die von uns angebotenen Lösungen am besten eingesetzt werden können, um die Ausbreitung des Angriffs zu erkennen und dann zu begrenzen (oder zumindest zu verzögern).
  • Verfügen wir über Telemetrie, die Blue Teams effektiv nutzen können, um ein genaueres Bild der Aktivitäten innerhalb eines Unternehmens zu erstellen und klarere Indikatoren für eine Kompromittierung zu liefern?
  • Gibt es Richtlinien, die schnell angewendet werden können, um die laterale Mobilität einzuschränken?
  • Können unsere Technologielösungen das Risiko, das eine Anwendung für ein Unternehmen darstellt, aufdecken – und möglicherweise sogar mindern –, sei es durch den Umfang der Konnektivität, die Nutzung von privilegiertem Zugriff oder die Anzahl der Schwachstellen in den Workloads?
  • Können wir schnell erkennen, wann kompromittierte Anmeldeinformationen verwendet werden, und weiteren Zugriff verhindern?
  • Gibt es einfache Korrelationen, die aus mehreren Sicherheitslösungen gezogen werden können, um bekannte und neue TTPs zu identifizieren?
Und was ist mit den potenziellen Zielorganisationen: Was müssen sie tun? Mehr denn je ist es heute von größter Bedeutung, das mit den einzelnen Vermögenswerten verbundene Cyberrisiko zu verstehen.
  • Können sie ihre wichtigsten Ressourcen schnell identifizieren?
  • Wie gut verstehen sie das Zugriffsmodell rund um diese Ressourcen?
  • Können sie die ausgehende Kommunikation zu und von diesen Servern/Workloads steuern? Sollte es überhaupt eine Outbound-Kommunikation geben?
  • Gibt es eine angemessene Überwachung auf jeder Ebene (z. B. Endgerät, Netzwerk, Identitäts- und Zugriffsmanagement, Anwendung usw.) und kann sie verbessert werden?
  • Können Zugriffsrichtlinien verschärft werden, um Zero Trust/Least Privilege näher zu kommen?
  • Werden sichere Softwareentwicklungspraktiken überarbeitet, um sicherzustellen, dass sie so stark wie möglich sind?

Das berüchtigte Paradigma der "Schockdoktrin" besagt, dass das gesamte System schockiert werden muss, um eine transformative Veränderung in einem System zu erzwingen, damit es erkennt, dass eine solche Veränderung notwendig ist. Und obwohl der Fokus zu Recht auf der Sicherheit und den Risiken im Zusammenhang mit Lieferketten liegen wird, glaube ich, dass die wirkliche Metamorphose wie folgt aussehen muss:

Technologieanbieter müssen in der Lage sein, ihre Kunden darüber aufzuklären, wie die vorhandenen Lösungen, die sie anbieten, zur Unterstützung von Detection-and-Response-Funktionen eingesetzt werden können.

Kunden (d. h. Organisationen) müssen sich auf Folgendes konzentrieren:

  • Identifizierung der wichtigsten Ressourcen.
  • Aktive Überwachung dieser Assets mithilfe einer Vielzahl von Sensoren, um Indikatoren für bösartige TTPs zu identifizieren.
  • Verständnis des Zugriffsmodells für diese Ressourcen und Durchsetzung von Richtlinien mit den geringsten Rechten zu deren Schutz.
     

In vielerlei Hinsicht ist die hier gebotene Chance wirklich das Startparadigma von Zero Trust: "Gehen Sie von einer Sicherheitsverletzung aus – und machen Sie es wirklich schwer, besessen zu werden."

Verwandte Themen

No items found.

Verwandte Artikel

Die 5 besten Zero-Trust-Tipps von Infosys CISO Vishal Salvi
Zero-Trust-Segmentierung

Die 5 besten Zero-Trust-Tipps von Infosys CISO Vishal Salvi

Erfahren Sie von Infosys CISO Vishal Salvi, wie konsistente, "langweilige" Arbeit zu einem hohen Sicherheits-ROI für Zero Trust führt.

Read more
Ein Architektenleitfaden für den Einsatz von Mikrosegmentierung: Verwalten der Lieferantenbeziehung und der betrieblichen Integration
Zero-Trust-Segmentierung

Ein Architektenleitfaden für den Einsatz von Mikrosegmentierung: Verwalten der Lieferantenbeziehung und der betrieblichen Integration

Der Übergang von der traditionellen Netzwerksegmentierung (z. B. Firewalls) zur Mikrosegmentierung erfordert eine orchestrierte Anstrengung, die von Architekten oder Projektmanagern geleitet wird.

Read more
Wie Carlos Buenano, CTO von Armis, die OT-Sicherheit auf seinem Weg zu Zero Trust führte
Zero-Trust-Segmentierung

Wie Carlos Buenano, CTO von Armis, die OT-Sicherheit auf seinem Weg zu Zero Trust führte

Erfahren Sie mehr über Buenanos Weg in die OT-Sicherheit, die zentrale Rolle, die Zero-Trust-Prinzipien beim Schutz industrieller Umgebungen spielen, und die Herausforderungen, um dieses Ziel zu erreichen.

Read more
No items found.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Learn more