Большинство компаний, пострадавших от SolarWinds Об атаке стало известно из Министерства внутренней безопасности. Разве не было бы лучше, если бы они извлекли уроки из своего MSP/ППГЧ до того, как позвонило DHS? С участием Звездный кибер, вы бы сразу узнали.
Причина, по которой это нарушение было настолько успешным, заключалась в том, что злоумышленники использовали надежный источник - производителя программного обеспечения - для установки своего кода в сети клиента на сервере SolarWinds с помощью обновления продукта. Это не сильно отличается от фишинга или атак грубой силы, которые ставят под угрозу доверенные серверы или пользователей для развертывания их наборов инструментов. После того, как код установлен внутри сети, злоумышленники тщательно сканируют его на наличие дополнительных устройств. Затем они начинают использовать дополнительные ресурсы, которые они находят во время сканирования. Их конечная цель - найти базу данных, содержащую конфиденциальные данные, которые они могут подготовить для кражи.
Взятые по отдельности, многие из этих действий либо
1) вообще не запускать оповещение или
2) создать несколько несвязанных предупреждений.
Чего не хватало, так это корреляция событий из множества различных источников данных, чтобы собрать все это воедино в единое событие.
Как только появится строка ЗАГЛУШКА Атака была обнародована, Stellar Cyber смоделировал ее в нашей лаборатории в течение 12 часов после объявления. Мы обнаружили, что наша Open XDR умный SOC Наша платформа незамедлительно идентифицировала событие, используя собственные средства обнаружения на основе машинного обучения для сопоставления и обнаружения этой конкретной угрозы. Мы также использовали существующие инструменты в среде для обнаружения всех перемещений по сети и других значительных действий, предпринятых злоумышленником.
Еще одна проблема, сделавшая это событие еще более опасным, заключалась в том, что SolarWinds Набор инструментов хранит полную запись обо всех устройствах в среде и уровне их исправлений. Как только он был скомпрометирован обновлением, он предоставил злоумышленникам план действий для других устройств, чтобы они точно знали, какие эксплойты будут успешно загружены. Это та же стратегия, которую злоумышленники использовали в прошлом году для атак на других производителей RMM.
Этот вариант использования показывает, что для выхода вашего сервиса за рамки ручного обнаружения на основе правил не все решения машинного обучения созданы равными. Звездный кибер не просто поглощает журналы и пытается понять их. Мы очень тщательно извлекаем метаданные безопасности из исходного источника журнала, добавляем несколько источников информации об угрозах по каждому актуальному аспекту метаданных и создаем единый формат записи, прежде чем он будет проанализирован. Затем мы используем контролируемые, неконтролируемые и адаптивные модели машинного обучения, чтобы обнаруживать отклонения от нормального и сопоставлять их с действенными событиями безопасности, позволяя вам защитить своих клиентов ДО того, как они получат известие от Homeland Security.
