Ogni volta che si verifica un attacco o una violazione importante, c'è una corsa ad attribuire la colpa. Il più delle volte la colpa ricade sulle spalle dei team di sicurezza, che stanno già facendo tutto il possibile con il tempo e le risorse a loro disposizione. Tuttavia, individuare le colpe può essere improduttivo. Invece, capire come e perché si è verificato un attacco porta a un'evoluzione del modo in cui le organizzazioni combattono e gestiscono le operazioni di sicurezza.
Ad esempio, consideriamo la recente e continua violazione di SolarWinds. Questa violazione ha aggirato tutti i tipici strumenti di prevenzione come l'autenticazione a più fattori (MFA), le sandbox di rete e il rilevamento e la risposta endpoint (EDR). Gli aggressori hanno sfruttato strumenti legittimi per mettere in atto azioni dannose, rendendo di fatto vane tutte le misure di prevenzione.
Una volta penetrati, gli aggressori hanno utilizzato diversi canali di comunicazione, fasi e strumenti per stabilire un controllo interattivo, con la tastiera. Ciascuna fase è stata progettata per ridurre al minimo le possibilità di rilevamento, con tecniche che sconfiggono le firme dei sistemi di rilevamento delle intrusioni (IDS), il rilevamento e la risposta endpoint (EDR), la caccia manuale alle minacce e persino gli approcci comuni al rilevamento basato sull'apprendimento automatico (ML).
Svelato l'attacco alla catena di approvvigionamento di SolarWinds: Una violazione furtiva e sofisticata con il Cloud e Office 365 come bersagli principali
L'attacco alla catena di approvvigionamento di SolarWinds è stato orchestrato con l'obiettivo di stabilire un canale Command and Control (C2) occulto e affidabile tra gli aggressori e un componente dell'infrastruttura fidato e privilegiato all'interno del data center, ovvero SolarWinds. Questo canale compromesso fungeva da gateway, garantendo agli aggressori account privilegiati iniziali e un punto di snodo per portare avanti il loro assalto. Per raggiungere i loro obiettivi, gli aggressori hanno utilizzato diversi canali di comunicazione, hanno eseguito varie fasi e hanno utilizzato diversi strumenti per ottenere un controllo interattivo e diretto della tastiera. Ogni fase è stata progettata meticolosamente per ridurre al minimo le probabilità di rilevamento, impiegando tecniche che hanno eluso le firme dei sistemi di rilevamento delle intrusioni (IDS), il rilevamento e la risposta endpoint (EDR), la caccia manuale alle minacce e persino i comuni approcci al rilevamento basato sull'apprendimento automatico (ML).
Di seguito viene illustrata la progressione dell'attacco, a partire dalla backdoor iniziale e culminando nella creazione di un accesso persistente all'interno degli ambienti cloud , con un'enfasi specifica sul bersaglio di Microsoft Office 365/email, che sembra essere stato un obiettivo primario. La copertura di Vectra AI, che non dipende da indicatori di compromissione (IoC) o firme, entra in gioco non appena viene stabilito il canale C2 iniziale. La combinazione di comportamenti osservati direttamente sul server SolarWinds ha indotto a classificarlo come "Critico" ancor prima che si verificasse un movimento laterale, consentendo misure di contenimento tempestive. Se l'attacco dovesse progredire, ulteriori rilevamenti fornirebbero una visibilità completa su ogni fase successiva, anche quando l'assalto si espande nel cloud e prende di mira specificamente Office 365.
Rivelazione dei limiti delle soluzioni di sicurezza tradizionali: La violazione di SolarWinds e la richiesta di rilevamento e risposta della rete (NDR)
L'hack di SolarWinds Orion, noto anche come Sunburst o Solorigate, evidenzia chiaramente la necessità di un rilevamento e una risposta di rete (NDR) basati sull'intelligenza artificiale. Le misure di sicurezza preventive e i controlli endpoint , pur migliorando la situazione, sono insufficienti. I sistemi di rilevamento delle intrusioni (IDS) tradizionali, basati sulle firme, si sono dimostrati ancora una volta inefficaci nel rilevare nuovi attacchi in cui non esistono ancora indicatori di compromissione (IoC).
Gli aggressori di SolarWinds hanno dimostrato un notevole impegno ed esperienza nell'aggirare i controlli preventivi, tra cui le sandbox di rete, la sicurezza endpoint e l'autenticazione multifattoriale (MFA). I loro metodi prevedevano:
- Esecuzione di controlli approfonditi per verificare che non si trovino in un ambiente sandbox o di analisi malware .
- Utilizzo della firma del codice e di processi legittimi per eludere i controlli comuni endpoint .
- Implementazione di un nuovo dropper in-memory per evitare l'analisi basata su file durante la distribuzione del radiofaro di Command and Control (C2).
- Bypassare l'MFA utilizzando chiavi di firma di sessione SAML (Security Assertion Markup Language) rubate.
Il livello di abilità e concentrazione richiesto per aggirare i controlli endpoint sottolinea i progressi dell'Endpoint Detection and Response (EDR). Tuttavia, serve anche a ricordare che gli avversari determinati e sofisticati possono sempre trovare il modo di aggirare i controlli preventivi e endpoint .
Per difendersi efficacemente da questo tipo di attacchi, è fondamentale sfruttare il rilevamento e la risposta della rete. In questo contesto, la rete comprende tutto ciò che è al di fuori dell'endpoint. I modelli di rilevamento di Vectra AI forniscono un'allerta precoce in tempo reale e una visibilità continua durante tutta la progressione dell'attacco, dalla sede al cloud. Questo approccio non si basa su IoC, firme o altri aggiornamenti dei modelli. Il suo scopo è identificare e bloccare attacchi come Sunburst/Solorigate/SolarWinds prima che si verifichino danni significativi.
Come dimostra chiaramente la violazione di SolarWinds, le soluzioni di sicurezza tradizionali sono insufficienti e suscettibili di essere manipolate dagli aggressori. Gli IDS si basano sulle firme, il che significa che gli analisti della sicurezza devono conoscere e avere una firma per l'attacco per poterlo rilevare e prevenire. Allo stesso modo, l'EDR è efficace per gli endpoint, ma non affronta adeguatamente gli attacchi basati sulla rete come la violazione di SolarWinds. Anche le tecniche di rilevamento basate sull'apprendimento automatico (ML) impiegate dai fornitori potrebbero non fornire una protezione adeguata. Anche se le organizzazioni possono disporre di sistemi di gestione degli eventi di sicurezza (SIEM) o di strumenti simili, la loro efficacia dipende dalla qualità e dalla disponibilità dei dati che ricevono. Se i dati sono compromessi o inesistenti, lo scopo di un SIEM è compromesso. È fondamentale alimentare il SIEM con dati accurati e appropriati.
Se siete pronti a cambiare il vostro approccio al rilevamento e alla risposta a cyberattacchi come questi, e per vedere da vicino come Cognito può trovare gli strumenti e gli exploit degli aggressori, programmateoggi stesso una democon Vectra.