Последствия атаки SolarWinds: управление рисками безопасности

Опубликовано: 31 Марта, 2023
Последствия атаки SolarWinds: управление рисками безопасности

Массированная атака на SolarWinds вызвала серьезную обеспокоенность из-за компрометации одной компании, которая повлияла на несколько других связанных компаний. Злоумышленники поняли, что для масштабирования своих атак проще атаковать компании, которые уже имеют массовый доступ к сетям других клиентов. Вместо того, чтобы атаковать одну компанию за раз, имеет смысл проникнуть в компании, связать массовую атаку с тысячами клиентов, а затем использовать систему для управления атакующей сетью. Это ни в коем случае не новая стратегия, но она остается очень эффективной, и ее сложно остановить.

Взлом FireEye хакерами из национальных штатов был осуществлен с помощью вредоносных обновлений широко распространенного продукта для мониторинга сети (SolarWinds), которые затронули правительственные организации и компании. Хакеры взломали инфраструктуру SolarWinds и использовали этот доступ для создания и распространения вредоносных обновлений для нескольких пользователей программного обеспечения.

Насколько масштабной была атака SolarWinds? В число клиентов SolarWinds входили 425 компаний или компания из списка Fortune 500 США. Это подчеркивает значительное влияние, которое атаки на цепочки поставок могут оказать на компании, причем многие из них даже не подозревают об угрозе или необходимости защищаться от нее. В нем подчеркивается необходимость предпринимать шаги для управления безопасностью поставщиков, когда это возможно.

Изображение 9953
Pixabay

Безопасность поставщиков

Нельзя отрицать, что атака SolarWinds вызывает вопросы о безопасности поставщиков. Крайне важно убедиться, что поставщики надлежащим образом проверены и соответствуют тем же или более высоким стандартам безопасности, что и ваша компания. Каждая организация должна установить базовый уровень безопасности. Многие организации устанавливают базовый уровень на основе такой структуры, как ISO 27001 или NIST 800-53/171, поскольку это упрощает сравнение технических и административных средств контроля и измерение зрелости безопасности.

Не всегда возможно гарантировать, что поставщики соблюдают одну и ту же базовую структуру организации. Тем не менее, компании по-прежнему потребуется гарантия высокого уровня безопасности, которого ожидает ее совет директоров. Если в таких обстоятельствах соблюдение определенной структуры не может быть гарантировано, рекомендуется ограждать поставщика и его услуги. Таким образом, созданная изоляция или воздушный зазор обеспечивают организации необходимый уровень защиты.

Создание системы безопасности для обеспечения киберустойчивости

Часто возникает вопрос, можно ли контролировать такую крупномасштабную атаку, как эта, которая спонсируется государством и в которой такие компании, как FireEye и Microsoft, изо всех сил пытаются обнаружить и остановить ее, и каковы шансы корпорации защититься от такой атаки? атака эффективна?

Эти типы атак являются целевыми, и их очень трудно обнаружить, поэтому лучшей мерой противодействия таким атакам являются уровни защиты. Используя многоуровневую стратегию защиты (устанавливая несколько препятствий), организация может усложнить задачу злоумышленнику. Хотя эти атаки сложно обнаружить и остановить, ответ никогда не должен состоять в том, чтобы вообще ничего не делать.

Чем выше киберустойчивость организации, тем сложнее злоумышленникам будет скомпрометировать среду и остаться незамеченными. Компании могут предпринять следующие шаги для улучшения состояния безопасности и устойчивости.

1. Непрерывное обнаружение

Первое, что нужно рассмотреть, это то, что организация должна защищать. Очень важно определить активы, которые нуждаются в защите, включая устройства или данные, и ограждать их, чтобы они были правильно защищены и защищены.

Ручной тест или сканирование уязвимостей недостаточно далеко — это моментальный снимок и момент времени, чего недостаточно для постоянных атак, таких как атака SolarWinds. Проблема с такими атаками, как SolarWinds, заключается в том, что они включают в себя компрометацию доверенного плагина и, возможно, обход этого типа сканирования. Надежная и непрерывная платформа тестирования будет обнаруживать исходящие соединения, эксфильтрацию и удаленные трояны, такие как SolarWinds.

Однако проблема с непрерывным обнаружением заключается в необходимости «смотреть на стекло». Люди, которые имеют опыт и понимают, на что они смотрят и для чего, должны наблюдать и анализировать. Компании должны приобрести опыт, необходимый для безопасного выполнения этой функции для организации.

2. Следите за тем, как данные и соединения покидают периметр

В наши дни сетевой трафик проходит через множество сетей. Тем не менее, некоторые пути хорошо проходимы и необходимы для типичных повседневных операций. Эти шаблоны можно обнаружить и использовать для защиты организации. Все приложения являются частью генерации трафика, и внедрение эксплуатируемого модуля, подобного тому, что используется в SolarWinds, приведет к обнаруживаемой аномалии. Однако, если за ним не следить, он может остаться незамеченным. Атаки, подобные этой, нелегко обнаружить; об этом свидетельствует тот факт, что лишь несколько поставщиков смогли обнаружить взлом SolarWinds.

Также важно рассматривать конечные точки как продолжение периметра. Они также должны контролироваться, особенно потому, что многие устройства удалены, но имеют доступ к корпоративной сети и ресурсам. Таким образом, инфекции и вторжения могут произойти.

3. Воздушный зазор и изоляция

Использование воздушного зазора для защиты устройств, данных и любых элементов, которые могут поставить под угрозу окружающую среду, является подходящим защитным механизмом. Воздушный зазор — это мера безопасности, обеспечивающая физическую изоляцию компьютерной сети от незащищенных сетей.

На него можно смотреть так же, как на ров вокруг замка. Ров служит препятствием. Проще говоря, с башен над рвом вы можете обнаружить нападавших, пытающихся преодолеть ров, чтобы получить доступ к замку. Однако с точки зрения атаки SolarWinds злоумышленники проникнут через кого-то, кто уже имеет доступ к внутренним стенам замка. Это означает, что даже самые надежные поставщики должны быть тщательно проверены. Следовательно, использование стратегии нулевого доверия в этом случае также будет полезным.

4. Управление привилегированным аккаунтом

Предположим, что любая система, человек, приложение или устройство имеют более высокие привилегии и могут управляться или решать, куда передаются данные или разрешается доступ. В этом случае учетные данные должны надежно управляться.

Учетные записи служб и обратные каналы — это точные пути атаки, которые ищут злоумышленники, и любой инструмент, который можно использовать для администрирования среды, будет целью. Атака SolarWinds — это урок, из которого следует извлечь урок, и организации должны убедиться, что их защита повышена. Кроме того, соответствующие инструменты должным образом реализованы, а также проверены на наличие уязвимостей.

5. Укрепление системы

В настоящее время производители устройств стараются выпускать защищенные устройства по умолчанию. Однако это не всегда работает так, как задумано. Поэтому рекомендуется рассматривать усиление защиты системы как способ лучшей защиты среды. Обеспечение того, чтобы все ненужные инструменты и программное обеспечение были удалены с компьютеров, а устройства, серверы и службы использовались только по назначению, является ключом к более надежной системе безопасности.

Многие люди путают гибкость с сильной безопасностью, хотя на самом деле гибкость не всегда требуется для безопасного выполнения работы. Например, если вам нужно устройство для работы в Интернете, для работы в офисе и вам нужно хранить данные только в корпоративной сети. В таком случае нет никаких причин, по которым все остальные функции нельзя было бы убрать с этого устройства, оставив только те функции, которые предполагались через ограниченный интерфейс со строгой аутентификацией. При этом может быть создан барьер, который потенциально раздражает злоумышленника и, в некоторых случаях, слишком сложен для того, чтобы злоумышленник обратил на него внимание. Это может отвлечь внимание злоумышленника и сосредоточиться на более слабом месте.

Необходимо найти прагматический баланс, но это непросто. Поэтому многие избегают упражнения, но ничегонеделание может привести к компромиссу. Стоит потратить время на укрепление вашей среды и создание культуры безопасности, чтобы вы могли защищаться от таких типов атак. Если актив стоит защищать, то стоит затраченных усилий.

6. Проверка поставщиков

Проверка поставщиков, хотя и трудная, является фундаментальным шагом. В наши дни поставщики часто получают анкеты о безопасности от своих клиентов и положительно отвечают на все вопросы, чтобы сохранить бизнес и сформировать положительное восприятие у своих клиентов. В ходе аудита часто обнаруживается, что поставщики реагируют таким образом, что их клиенты могут быть разоблачены. Лишь немногие имеют средства защиты, необходимые для обеспечения безопасности своих клиентов, и причина этого в том, что кибербезопасность не так проста. Кроме того, атаки могут проникать откуда угодно и через что угодно.

Последствия атаки SolarWinds: анализ рисков

Шагом в правильном направлении было бы использование структурированного способа проверки поставщика и работы с поставщиком, чтобы правильно понять его состояние безопасности и зрелость. Очень важно достичь уровня честности и быть реалистом. Зная это, можно более эффективно оценить риск. На самом деле организация может либо принять риск в соответствии со своей склонностью к риску, либо смягчить его, внедрив необходимые уровни защиты. С некоторыми рисками можно согласиться, а с другими нельзя, и по этой причине компаниям необходимо иметь обоснованное мнение о том, как решать каждую проблему или риск.