Numéro de téléphone : 13486085502
December 30, 2020
Plus inquiétants pour ceux responsables du cybersecurity aux centres de traitement des données d'entreprise, cependant, sont les vendeurs de technologie qui ont permis le logiciel compromis de SolarWinds Orion dans leurs environnements. Ces vendeurs, dans la mesure où nous savons, incluent maintenant Microsoft, Intel, Cisco, Nvidia, VMware, Belkin, et l'entreprise FireEye de cybersecurity, qui était première pour découvrir l'attaque.
« Je pense que le nombre [de vendeurs compromis] va se développer, » ai dit Greg Touhill, qui a servi des USA CISO fédéral sous le Président Barack Obama et qui est maintenant président au groupe fédéral d'Appgate. « Je pense que nous allons trouver, car nous démêlons le noeud derrière ceci, que SolarWinds n'était pas la seule victime, et que FireEye n'était pas la seule victime dans son espace. »
Totalement, jusqu'à 18 000 organismes ont pu avoir téléchargé le Trojan, selon SolarWinds. Le nombre d'organismes visés pour les attaques qui suivraient l'infraction de SolarWinds est inconnu actuellement. Microsoft a indiqué qu'il a identifié plus de 40 organismes dans cette dernière catégorie. Il n'a pas appelé l'un d'entre eux mais a indiqué que 44 pour cent étaient des sociétés de technologie
D'autres chercheurs avaient étudié les détails techniques des malware pour identifier des victimes plus de second ordre.
Une liste éditée par l'entreprise TrueSec de cybersecurity inclut l'hôpital de Cisco, de Deloitte, de mont Sinaï, et plusieurs autres hôpitaux, organismes médicaux d'autres sortes, administrations locales, établissements d'enseignement, entreprises d'énergie, et institutions financières.
Cisco et Deloitte sont également sur la liste ont remonté par des chercheurs de cybersecurity chez Prevasio. En outre, leur liste inclut Ciena, Belkin, Nvidia, NCR, SAP, Intel, et sens de Digital.
Le foyer des attaquants sur les vendeurs informatiques d'entreprise s'inquiète en particulier parce qu'il pourrait signifier que l'infraction de SolarWinds est juste une de beaucoup, que d'autres vendeurs de technologie ont été compromis la même manière SolarWinds était. Il pourrait y avoir bien plus de vecteurs d'attaque de chaîne d'approvisionnements de retour-canal, contre lesquels il est difficile défendre.
Les USA Cybersecurity et l'agence de sécurité d'infrastructure ont averti que les attaquants ont pu avoir utilisé d'autres points d'accès initiaux sans compter que SolarWinds.
Par exemple, les attaquants avaient employé une vulnérabilité de zéro-jour dans les produits de gestion de l'accès et de l'identité de VMware pour attaquer des systèmes de gouvernement, selon le NSA. VMware a confirmé qu'il a été avisé de la vulnérabilité par le NSA et est sorti une correction plus tôt ce mois-ci. VMware a également confirmé qu'il a trouvé des exemples du logiciel compromis de SolarWinds dans son environnement, mais a indiqué qu'il n'a vu aucune autre preuve de l'exploitation.
L'attaque de VMware a eu une autre chose en commun avec SolarWinds. Les attaquants ont utilisé les propres voies de la transmission de son logiciel pour éluder la détection. Selon le NSA, l'activité d'exploitation a eu lieu dans un tunnel TLS-chiffré lié à l'interface basée sur le WEB de gestion de software.
Cisco a également confirmé qu'il a trouvé des exemples du produit compromis de SolarWinds Orion dans son environnement. « Actuellement, il n'y a aucun impact connu aux produits de Cisco, des services, ou toutes données de l'entreprise, » et ses réseaux informatiques de chaîne d'approvisionnements n'ont montré aucune preuve de compromis, la société a dit.
Mais cela ne signifie pas qu'il n'y a pas aucun problème plus loin vers le haut de la chaîne.
« Si les tiers fabricants de Cisco ont les réseaux informatiques non liés aux affaires de Cisco, Cisco n'a pas la visibilité à ces réseaux, » la société a dit. « Cisco engage dans activement des vendeurs pour évaluer tous les impacts potentiels à leurs affaires. »
Plusieurs d'attaques les plus très en vue de cette année, telles que la vague record du ransomware, ont exploité la bonne volonté des utilisateurs de cliquer sur sur des liens dans les emails phishing ou ont employé les qualifications volées pour diviser en systèmes.
Le canal d'attaque de SolarWinds n'a fait participer aucun utilisateur compromis pour gagner l'équilibre initial. Au lieu de cela, l'attaque s'est produite complètement sur l'arrière saison, par un processus compromis d'actualisation de logiciel. Un centre de traitement des données recherchant des indicateurs de compromis dans des comportements méfiants d'utilisateur, des téléchargements de malware sur des dispositifs d'utilisateur, ou dans l'activité peu commune de réseau n'aurait rien à trouver – même pendant que les attaquants utilisaient la plate-forme de SolarWinds Orion pour explorer l'environnement.
En fait, FireEye a seulement découvert l'infraction quand un attaquant a essayé d'employer les qualifications volées pour enregistrer un nouveau dispositif pour l'authentification à facteurs multiples.
« A eu l'AMF pas l'a attrapé, a eu l'employé pas a rapporté les lettres de créance volées, ceci n'aurait pas été découvert, » Liz Miller, VP et analyste principal à la recherche de constellation, ont dit. « Elle fournissait toujours des portes ouvertes à l'intégralité. »
Touhill d'Appgate recommande que les centres de traitement des données qui emploient des produits par SolarWinds, par Cisco, par VMware, ou par d'autres sociétés potentiellement compromises doivent jeter un coup d'oeil à ce qu'est leur exposition de risque potentiel.
« Jetez un coup d'oeil à ces vendeurs que vous comptez dessus, » il a dit la DCK. « Vous devez être dans la conversation avec vos fournisseurs et voir s'ils suivent les pratiques, comme vérifier l'intégrité de leur code et examiner leurs propres systèmes à plusieurs reprises pour assurer toutes les indications de compromis. »
Et ce n'est pas une conversation ancienne, il s'est ajoutée. « Un-et-fait ne va pas être assez bon. »
Utile aux directeurs de la sécurité de centre de traitement des données à la suite de l'infraction de SolarWinds est la quantité d'attention que l'attaque a suscitée des chercheurs de sécurité.
« Nous savons comment il a été compromis et ce qui à rechercher, » Ilia Kolochenko, le Président chez ImmuniWeb, une entreprise de cybersecurity, a indiqué. « Mais je suis sûr que SolarWinds ne soit pas la société la plus négligente dans le monde entier. Il est raisonnable de présumer qu'ils ne sont pas la seule victime. »
La différence est que personne ne sait ce que d'autres vendeurs informatiques ont été entaillés, et ce que sont ces indicateurs de compromis.
ImmuniWeb a récemment recherché environ 400 sociétés importantes de cybersecurity et a constaté que 97 pour cent ont eu des fuites de données ou d'autres incidents de sécurité exposés sur le Web foncé – aussi bien que 91 sociétés avec des failles de la sécurité exploitables de site Web. À partir de septembre, quand son rapport a été édité, 26 pour cent de ceux étaient encore défaits.
Les chercheurs ont également trouvé plus de 100 000 incidents à haut risque, tels que des qualifications d'ouverture, disponibles sur le Web foncé. « SolarWinds est probablement juste la partie émergée de l'iceberg du compromis des sociétés de technologie dans le monde entier, » Kolochenko a dit la DCK.
« Vous ne pouvez pas faire confiance à n'importe qui, même votre vendeur de sécurité, » Holger Mueller, un analyste à la recherche de constellation, a dit. La seule solution est examen de code. « Mais qui peut et veut passer en revue le code source des vendeurs de sécurité ? »
Ce qui pourrait émerger dans la réponse est un nouveau genre de vendeur – un qui fournit les outils qui examinent le logiciel de sécurité pour assurer le malware, il a dit.
L'infraction de SolarWinds illustre un autre problème considéré par la sécurité informatique de centre de traitement des données – cette elle doit fonctionner plus étroitement avec les équipes informatiques plus larges.
Selon une enquête récente par l'institut de Ponemon au nom de Devo, le manque de visibilité en infrastructure informatique de sécurité est la barrière supérieure à l'efficacité des centres d'opérations de sécurité, identifiée comme problème par 70 pour cent de service informatique et de professionnels de sécurité. Et 64 pour cent indiquent que les questions de gazon et les opérations siloed sont une barrière supérieure à l'efficacité.
« Cette attaque vraiment devrait être un réveil téléphonique massif pour le service informatique et des équipes de sécurité à être bien plus alignées, » Miller de Constellation's a dit.
Le manque de visibilité le rend difficile à détecter et répondre aux menaces. Selon l'enquête de Ponemon, 39 pour cent d'organismes ont indiqué que cela a pris, en moyenne, des « mois ou même année » à répondre à un incident de sécurité.
« C'est exactement le chaos et les attaquants siloed de comportements, particulièrement sophistiqué, comptent dessus, » Miller a dit la DCK.
L'infraction de SolarWinds prouve de nouveau que n'importe qui peut être entaillé, des la plupart des organismes gouvernementaux conscients de sécurité aux la plupart des vendeurs conscients de cybersecurity de sécurité.
Il est relativement facile pour les attaquants sophistiqués de rester sous le radar.
« Quand j'ai fait teaming rouge, je ne pense pas que j'ai été jamais attrapé jusqu'à ce que je sois allé faire une certaine action vraiment évidente ou faire un certain bruit, » ai dit David Wolpoff, le CTO et le co-fondateur chez Randori, qui pénètre par effraction dans les réseaux des sociétés pour vivre.
Cela ne signifie pas que les directeurs de la sécurité ne devraient pas essayer de détecter des infractions.
« Naturellement, nous ne sommes pas sûrs, » Wolpoff a dit. « Nous n'allons jamais être sûrs. Mais nous faisons toujours ces compromis dans la vie, et le cyber n'est pas différent. Combien risque coûtez-vous disposé à accepter de vos associés et vendeurs ? Et si quelque chose va mal, ce qui est votre de sécurité ? »
Par exemple, dit-il, chaque professionnel de sécurité qu'il parle à dit qu'ils croient en présomption du compromis et de la défense en profondeur. « Mais d'autre part personne ne va et prend ces mesures. »
Les centres de traitement des données qui ne se sont pas encore déplacés au modèle de sécurité de zéro-confiance devraient commencer à faire des plans, plusieurs experts ont dit.
« Franchement, je pense que beaucoup de sociétés sont en retard en mettant en application la confiance nulle, et je pense qui est l'une des toutes premières étapes, » ai dit Touhill d'Appgate.
« Si vous n'avez pas déjà adopté une posture de zéro-confiance à travers votre mise en réseau de centre de traitement des données, maintenant soyez un temps exceptionnel pour obtenir que dans la vitesse, » a indiqué Miller.
Les règles du jeu ont changé, ont indiqué Mike Lloyd, CTO chez RedSeal, une entreprise de cybersecurity.
Dans le passé, la question que les directeurs de la sécurité de centre de traitement des données se poseraient qu'était, « comment je réduis l'espace foncé que je ne peux pas voir ? » Maintenant, ils doivent se demander que, « comment je contiens des dommages provoqués par les choses que j'emploie pour regarder mon propre réseau ? »
« C'est une perspective vertige-induisante, » a dit Lloyd. « Si vous ne pouvez pas faire confiance à votre logiciel de surveillance, comment vous surveillez n'importe quoi ? »
