*ATUALIZADO, 30/11/2023 - SEC VS SolarWinds CISO
O comprometimento da plataforma de gerenciamento de rede de TI Orion da SolarWinds dominou as manchetes devido ao escopo, ao impacto e à natureza furtiva do ataque. No que é conhecido como um ataque à "cadeia de suprimentos", a SolarWinds, uma importante empresa de software sediada em Tulsa, Oklahoma, foi comprometida por supostos hackers de estado-nação. Durante esse ataque, os sistemas internos de distribuição de atualizações e compilação do sistema de monitoramento de desempenho de TI da empresa foram comprometidos e atualizações maliciosas foram enviadas a 18.000 de 33.000 de seus clientes. Esse ataque cibernético sem precedentes é um dos maiores já registrados e, de acordo com o arquivo SEC 8-K da SolarWinds, os hackers conseguiram se esconder à vista de todos durante vários meses de atividades de espionagem.
De forma alarmante, o ataque cibernético da SolarWinds afetou vários órgãos governamentais de alto valor dos EUA que são clientes da Orion, incluindo o Departamento de Comércio dos EUA, o Departamento do Tesouro dos EUA e o Departamento de Segurança Interna dos EUA. Além disso, a FireEye divulgou publicamente que foi comprometida e que centenas de suas ferramentas de red-teaming foram acessadas. A natureza furtiva desse ataque à cadeia de suprimentos e os recursos avançados e backdoors em uso serviram como um alerta para as organizações, incluindo operadores de infraestrutura crítica, sistemas de controle industrial (ICS) e SCADA.
O que as empresas industriais precisam saber
Durante o ataque cibernético da SolarWinds, as equipes de segurança de TI se esforçaram para avaliar os riscos e corrigi-los, mas também é fundamental que as empresas entendam como suas redes de tecnologia operacional (TO) e seus processos industriais também podem ter sido afetados por esse ataque:
O backdoor malicioso Sunburst incluído nas atualizações do Orion é difícil de detectar porque é assinado digitalmente pela SolarWinds e tratado como tráfego de software legítimo pelo host de destino e pelo software de detecção de nível empresarial. Não há "vulnerabilidade a ser detectada" em si - o software é a vulnerabilidade. Os operadores de ativos precisam ser capazes de catalogar o software no ambiente de TO para entender se eles tinham versões afetadas do SolarWinds Orion em execução.
A plataforma Orion é, em grande parte, um sistema de gerenciamento de desempenho de rede que extrai dados de sistemas conectados para identificar quaisquer problemas significativos que precisem de correção. As organizações a utilizam para gerenciar centralmente um ambiente de TI a partir de um único painel de controle. A plataforma também armazena localmente as credenciais de ativos e aplicativos em todo o ambiente. Portanto, o escopo do possível comprometimento de qualquer organização era muito maior do que o software SolarWinds Orion. É importante que, durante qualquer incidente, você pense no escopo do comprometimento nesse contexto.
Com os dois pontos anteriores em mente, se você encontrou alguma instância do SolarWinds no ambiente, isso significa que você precisa reconstruir o sistema Orion e qualquer sistema que ele tenha credenciais para acessar. Essa é a única maneira de abordar o escopo completo do comprometimento.
Os atacantes estavam usando o Orion para distribuir várias atualizações maliciosas assinadas desde março de 2019 até maio. O backdoor SUNBURST permitiu aos invasores uma presença aparentemente legítima nas redes. Uma vez dentro, é provável que eles tenham conseguido se mover lateralmente nas redes de clientes do Orion para obter acesso a outros domínios de rede, a fim de roubar dados ou explorar outras vulnerabilidades. Como as organizações tendem a "colocar na lista de permissões" os sistemas de gerenciamento de rede para evitar falsos positivos, os invasores puderam usar esse ponto de apoio para se esconder à vista de todos. Os operadores de ativos, portanto, precisam aproveitar as técnicas de detecção para procurar tráfego anômalo no ambiente de TO.
As equipes de segurança devem inspecionar a atividade do domínio (DNS) em busca de solicitações incomuns ou suspeitas. Em particular, procure conexões com avsvmcloud[.]com, que é um indicador de instâncias comprometidas do SolarWinds Orion.
Mesmo que você tenha tomado todas essas medidas, é possível que os invasores estejam no ambiente e tenham estabelecido pontos de apoio ou backdoors adicionais. Portanto, é fundamental que você tenha ferramentas de detecção que se baseiem em uma variedade de metodologias de detecção diferentes para detectar um invasor. Isso garante que você tenha um amplo conjunto de armadilhas e armadilhas para capturar o movimento lateral.
Repercussões do ataque cibernético para a SolarWinds
Após o hack da SolarWinds, a organização e seu diretor de segurança da informação (CISO) foram recentemente acusados pela Comissão de Valores Mobiliários dos EUA (SEC) por supostamente enganar os investidores sobre práticas de segurança cibernética e práticas de tratamento de riscos que levaram à divulgação do ataque. De acordo com as alegações da SEC, o CISO da SolarWinds, Timothy Brown, foi acusado de estar ciente dos riscos e vulnerabilidades de segurança cibernética da empresa, mas de não resolvê-los. A SEC também alegou que a SolarWinds havia feito uma divulgação incompleta em dezembro de 2020, quando o incidente veio à tona. Esse arquivamento da SEC destaca um exemplo da natureza desarticulada da segurança cibernética das funções corporativas de risco, conformidade e regulamentação, normalmente tratadas por equipes diferentes. Esse incidente e as repercussões enfrentadas pelo hack da SolarWinds destacam a necessidade de os líderes de segurança adotarem estratégias de gerenciamento de exposição para proteger seus ambientes críticos em meio a essas condições cada vez mais desafiadoras.
Como sabemos, cada ambiente de sistemas ciberfísicos (CPS) é único - e o gerenciamento e a avaliação de riscos em cada ambiente único têm se tornado cada vez mais complexos. Ao implementar uma estratégia abrangente e proativa de gerenciamento de vulnerabilidades com base em riscos, as organizações podem garantir que tenham as ferramentas para avaliar adequadamente sua postura de risco de TO e priorizar com eficácia as vulnerabilidades mais urgentes em seu ambiente. Com recursos como os do novo módulo de gerenciamento de exposição do Claroty, as organizações podem entender melhor sua postura de risco de CPS, alocar melhor seus recursos para aprimorá-la e acelerar sua jornada de segurança de CPS. Como os CISOs e suas equipes continuam a enfrentar novos desafios no gerenciamento do risco cibernético de CPS, recursos como os do nosso módulo de gerenciamento de exposição podem ajudar a aliviar os pontos problemáticos e a enfrentar os desafios mais difíceis de segurança cibernética.
1 https://d18rn0p25nwr6d.cloudfront.net/CIK-0001739942/57108215-4458-4dd8-a5bf-55bd5e34d451.pdf
