Numero di telefono : 13486085502
December 30, 2020
Più inquietanti per quelli responsabili del cybersecurity ai centri dati di impresa, tuttavia, sono i venditori della tecnologia che hanno permesso il software compromesso di SolarWinds Orione nei loro ambienti. Quei venditori, per quanto sappiamo, ora includono Microsoft, Intel, Cisco, Nvidia, VMware, Belkin e la ditta FireEye di cybersecurity, che era prima per scoprire l'attacco.
«Penso che il numero [dei venditori compromessi] stia andando svilupparsi,» ho detto Greg Touhill, che ha servito da Stati Uniti CISO federale sotto presidente Barack Obama e chi ora è presidente al gruppo federale di Appgate. «Penso che stiamo andando trovare, poichè districhiamo il nodo dietro questo, che SolarWinds non era la sola vittima e che FireEye non era la sola vittima nel suo spazio.»
Complessivamente, le fino a 18.000 organizzazioni possono scaricare il Trojan, secondo SolarWinds. Il numero delle organizzazioni mirate a per gli attacchi che seguirebbero la frattura di SolarWinds è sconosciuto attualmente. Microsoft ha detto che ha identificato le più di 40 organizzazioni in quella ultima categoria. Non ha nominato qualsiasi di loro ma ha detto che 44 per cento erano società della tecnologia
Altri ricercatori stanno studiando i dettagli tecnici del malware per identificare le vittime più di secondo ordine.
Una lista pubblicata dalla ditta TrueSec di cybersecurity comprende l'ospedale di Cisco, di Deloitte, di monte Sinai e parecchi altri ospedali, organizzazioni mediche di altri generi, enti locali, istituti scolastici, compagnie elettriche e istituzioni finanziarie.
Cisco e Deloitte sono inoltre sulla lista hanno un dai ricercatori di cybersecurity a Prevasio. Inoltre, la loro lista comprende Ciena, Belkin, Nvidia, l'ncr, SAP, Intel ed il senso di Digital.
Il fuoco degli attaccanti sui venditori di impresa l'IT sta preoccupandosi specialmente perché potrebbe significare che la frattura di SolarWinds è appena una di molti, che altri venditori di tecnologia sono stati compromessi lo stesso modo SolarWinds era. Ci potrebbero essere ancor più vettori di attacco della catena di fornitura di retro-Manica, cui sia difficile da difendere contro.
Gli Stati Uniti Cybersecurity e l'agenzia di sicurezza dell'infrastruttura hanno avvertito che gli attaccanti possono utilizzare altri punti di accesso iniziali oltre a SolarWinds.
Per esempio, gli attaccanti stanno utilizzando una vulnerabilità zero giorna nei prodotti dell'accesso di VMware e della gestione di identità per attaccare i sistemi di governo, secondo il NSA. VMware ha confermato che è stato comunicato della vulnerabilità dal NSA ed ha rilasciato una toppa più presto questo mese. VMware inoltre ha confermato che ha trovato le istanze del software compromesso di SolarWinds nel suo ambiente, ma ha detto che non ha visto ulteriore prova di sfruttamento.
L'attacco di VMware ha avuto altra una cosa in comune con SolarWinds. Gli attaccanti hanno utilizzato i propri canali di comunicazione del suo software per eludere la rilevazione. Secondo il NSA, l'attività di sfruttamento ha avuto luogo all'interno di un tunnel TLS-cifrato connesso con l'interfaccia del web della gestione del software.
Cisco inoltre ha confermato che ha trovato le istanze del prodotto compromesso di SolarWinds Orione nel suo ambiente. «Attualmente, non c'è impatto conosciuto ai prodotti di Cisco, servizi, o qualsiasi dati di società,» e le sue reti della catena di fornitura l'IT non hanno indicato prova del compromesso, la società ha detto.
Ma quello non significa che ci non sono alcuni problemi più ulteriormente sulla catena.
«Se i produttori di terzi di Cisco hanno reti dell'IT connesse con l'affare di Cisco, Cisco non ha visibilità a quelle reti,» la società ha detto. «Cisco attivamente sta impegnandosi con i venditori per valutare tutti gli impatti potenziali al loro affare.»
Molti degli attacchi i più molto in vista di quest'anno, quale l'onda da primato di ransomware, hanno sfruttato la volontà degli utenti di cliccare sui collegamenti in email phishing o hanno usato le credenziali rubate per rompersi nei sistemi.
Il canale di attacco di SolarWinds non ha fatto partecipare alcuni utenti compromessi per guadagnare l'appiglio iniziale. Invece, l'attacco è accaduto completamente sul back end, con un processo compromesso dell'aggiornamento di software. Un centro dati che cerca gli indicatori del compromesso nei comportamenti sospettosi dell'utente, nei download di malware sui dispositivi dell'utente, o nell'attività insolita della rete non avrebbe niente trovare – proprio mentre gli attaccanti hanno utilizzato la piattaforma di SolarWinds Orione per esplorare l'ambiente.
Infatti, FireEye ha scoperto soltanto la frattura quando un attaccante ha provato ad usare le credenziali rubate per registrare un nuovo dispositivo per l'autenticazione a fattori multipli.
«Ha avuto le multifibre non la ha prese, ha avuto l'impiegato non ha riferito le credenziali rubate, questo non sarebbe stato scoperto,» Liz Miller, il VP e l'analista principale alla ricerca della costellazione, hanno detto. «Ancora stava fornendo le porte aperte a qualsiasi.»
Il Touhill di Appgate raccomanda che i centri dati che usano i prodotti da SolarWinds, da Cisco, da VMware, o da altre società potenzialmente compromesse debbano dare un'occhiata a cui la loro esposizione di rischio potenziale è.
«Dia un'occhiata a quei venditori che contate sopra,» ha detto il DCK. «Dovete essere nella conversazione con i vostri fornitori e vedere se sono seguenti best practice, come il controllo dell'integrità del loro codice e controllare i loro propri sistemi ripetutamente per vedere se ci sono tutte le indicazioni del compromesso.»
E quella non è una conversazione di una volta, lui ha aggiunto. «Un-e-fatto non sta andando essere abbastanza buono.»
Utile ai responsabili di sicurezza del centro dati in seguito alla frattura di SolarWinds è la quantità di attenzione che l'attacco ha ricevuto dai ricercatori di sicurezza.
«Conosciamo come è stato compromesso e che cosa da cercare,» Ilia Kolochenko, il CEO a ImmuniWeb, una ditta di cybersecurity, ha detto. «Ma sono sicuro che SolarWinds non è la società più negligente intorno al globo. È ragionevole supporre che non siano la sola vittima.»
La differenza è che nessuno conosce che cosa altri venditori dell'IT sono stati incisi e che cosa quegli indicatori del compromesso sono.
ImmuniWeb recentemente ha ricercato circa 400 società importanti di cybersecurity ed ha trovato che 97 per cento hanno avuti le perdite di dati o altri incidenti di sicurezza esposti sul web scuro – come pure 91 società con le vulnerabilità della sicurezza utilizzabili del sito Web. Il settembre, quando il suo rapporto è stato pubblicato, 26 per cento di quelli ancora sono stati slegati.
I ricercatori inoltre hanno trovato più di 100.000 incidenti ad alto rischio, quali le credenziali di connessione, disponibili sul web scuro. «SolarWinds è probabilmente appena la punta dell'iceberg del compromesso delle società della tecnologia intorno al globo,» Kolochenko ha detto il DCK.
«Non potete fidarti di chiunque, anche il vostro venditore di sicurezza,» Holger Mueller, un analista alla ricerca della costellazione, ha detto. La sola soluzione è esame di codice. «Ma chi può e vuole esaminare il codice sorgente dei venditori di sicurezza?»
Che cosa potrebbe emergere nella risposta è un nuovo genere di venditore – uno che fornisce gli strumenti che controllano il software di sicurezza per vedere se c'è il malware, ha detto.
La frattura di SolarWinds illustra un altro problema considerato da sicurezza del centro dati l'IT – quella deve lavorare più molto attentamente con i più vasti gruppi di IT.
Secondo un'indagine recente dall'istituto di Ponemon a nome di Devo, la mancanza di visibilità in infrastruttura di sicurezza dell'IT è la barriera superiore all'efficacia dei centri di operazioni di sicurezza, identificata come problema da 70 per cento dei professionisti di sicurezza e dell'IT. E 64 per cento dicono che le edizioni del tappeto erboso e le operazioni siloed sono una barriera superiore all'efficacia.
«Questo attacco realmente dovrebbe essere un servizio sveglia massiccio per l'IT e gruppi di sicurezza da essere molto allineati,» il Miller di Constellation ha detto.
La mancanza di visibilità lo rende difficile individuare e rispondere alle minacce. Secondo l'indagine di Ponemon, 39 per cento delle organizzazioni hanno detto che hanno preso, in media, «mesi o persino anni» da rispondere ad un incidente di sicurezza.
«Questo è esattamente il caos e gli attaccanti siloed di comportamenti, particolarmente quei sofisticati, contano sopra,» Miller ha detto il DCK.
La frattura di SolarWinds prova ancora una volta che chiunque può essere inciso, dalla maggior parte dei enti governativi coscienti di sicurezza alla maggior parte dei venditori coscienti di cybersecurity di sicurezza.
È relativamente facile affinchè gli attaccanti specializzati resti sotto il radar.
«Quando ho fatto teaming rosso, non penso che sia stato preso mai finché non sia andato fare una certa azione realmente ovvia o fare un certo rumore,» abbia detto David Wolpoff, il CTO ed il co-fondatore a Randori, che si rompe nelle reti delle società per vivere.
Quello non significa che responsabili di sicurezza non dovrebbe provare ad individuare le fratture.
«Naturalmente, non siamo sicuri,» Wolpoff ha detto. «Non stiamo andando mai essere sicuri. Ma stiamo facendo sempre queste alternanze nella vita e cyber è non differente. Quanto rischio siete disposto ad accettare dai vostri partner e venditori? E se qualcosa va male, che cosa è il vostro di sicurezza?»
Per esempio, disse, ogni professionista che di sicurezza parla con dice che credono nella presunzione del compromesso e della difesa approfonditi. «Ma d'altra parte nessuno va e prende quei provvedimenti.»
I centri dati che ancora non si sono mossi verso il modello di sicurezza della zero-fiducia dovrebbero cominciare fare i piani, parecchi esperti hanno detto.
«Franco, penso che molte società siano tardi nell'implementare la fiducia zero e penso che è uno di primissimi punti,» ho detto il Touhill di Appgate.
«Se già non avete adottato una posizione della zero-fiducia attraverso la vostra rete del centro dati, ora sia un tempo eccezionale ottenere quello in marcia,» ha detto Miller.
Le regole del gioco hanno cambiato, detto Mike Lloyd, CTO a RedSeal, una ditta di cybersecurity.
Nel passato, la domanda che i responsabili di sicurezza del centro dati si farebbero che era, «come riduco lo spazio scuro non posso vedere?» Ora, devono chiedersi che, «come contengo il danno causato dalle cose uso per esaminare la mia propria rete?»
«Questa è una prospettiva d'induzione,» ha detto Lloyd. «Se non potete fidarti del vostro software di controllo, come controllate qualche cosa?»
