*Aktualisiert, 30/11/2023 - SEC VS SolarWinds CISO*
Die Kompromittierung der IT-Netzwerkmanagement-Plattform Orion von SolarWinds beherrschte die Schlagzeilen aufgrund des Umfangs, der Auswirkungen und der Heimlichkeit des Angriffs. SolarWinds, ein großes Softwareunternehmen mit Sitz in Tulsa, Oklahoma, wurde von mutmaßlichen Hackern aus einem nationalen Staat angegriffen, was als "Supply Chain"-Angriff bezeichnet wird. Dabei wurden die internen Build- und Update-Verteilungssysteme des IT-Leistungsüberwachungssystems des Unternehmens kompromittiert und bösartige Updates an 18.000 von 33.000 Kunden des Unternehmens gesendet. Dieser beispiellose Cyberangriff ist einer der größten, der jemals aufgezeichnet wurde, und laut dem SEC 8-K-Filing von SolarWinds konnten sich die Hacker während ihrer mehrmonatigen Spionagetätigkeit unbemerkt verstecken.
Alarmierend ist, dass der SolarWinds-Cyberangriff zahlreiche hochrangige US-Behörden betraf, die Kunden von Orion sind, darunter das US-Handelsministerium, das US-Finanzministerium und das US-Ministerium für innere Sicherheit. Außerdem gab FireEye öffentlich bekannt, dass es kompromittiert wurde und dass auf Hunderte seiner Red-Teaming-Tools zugegriffen wurde. Die Heimlichkeit dieses Angriffs auf die Versorgungskette und die fortschrittlichen Fähigkeiten und Hintertüren, die verwendet wurden, waren ein Weckruf für Organisationen, die kritische Infrastrukturen, industrielle Kontrollsysteme (ICS) und SCADA-Betreiber betreiben.
Was Industrieunternehmen wissen müssen
Während des Cyberangriffs von SolarWinds bemühten sich die IT-Sicherheitsteams um eine Risikobewertung und Abhilfemaßnahmen. Für Unternehmen ist es jedoch auch wichtig zu verstehen, wie ihre betrieblichen Technologienetzwerke (OT) und industriellen Prozesse von diesem Angriff betroffen sein könnten:
Die bösartige Sunburst-Backdoor, die in den Orion-Updates enthalten ist, lässt sich nur schwer aufspüren, da sie von SolarWinds digital signiert ist und vom Zielhost und der Erkennungssoftware für Unternehmen als legitimer Softwareverkehr behandelt wird. Es gibt keine "zu entdeckende Schwachstelle" per se - die Software ist die Schwachstelle. Anlagenbetreiber müssen in der Lage sein, die Software in der OT-Umgebung zu katalogisieren, um herauszufinden, ob dort betroffene Versionen von SolarWinds Orion laufen.
Bei der Orion-Plattform handelt es sich im Wesentlichen um ein Netzwerk-Performance-Management-System, das Daten von angeschlossenen Systemen abruft, um wichtige Probleme zu erkennen, die behoben werden müssen. Unternehmen nutzen sie zur zentralen Verwaltung einer IT-Umgebung über ein einziges Dashboard. Die Plattform speichert auch Anmeldeinformationen für Anlagen und Anwendungen in der gesamten Umgebung lokal. Daher war der Umfang der potenziellen Kompromittierung für jede Organisation viel größer als die SolarWinds Orion-Software. Es ist wichtig, dass Sie bei jedem Vorfall über den Umfang der Kompromittierung in diesem Kontext nachdenken.
Wenn Sie in der Umgebung Instanzen von SolarWinds gefunden haben, bedeutet dies, dass Sie das Orion-System und alle Systeme, auf die es Zugriffsrechte hat, neu erstellen müssen. Nur so können Sie das gesamte Ausmaß der Kompromittierung beheben.
Die Angreifer hatten Orion genutzt, um seit März 2019 und bis in den Mai hinein mehrere signierte bösartige Updates zu verbreiten. Die SUNBURST-Backdoor hatte den Angreifern eine scheinbar legitime Präsenz in Netzwerken ermöglicht. Einmal drin, konnten sie sich wahrscheinlich seitlich in Orion-Kundennetzwerken bewegen, um Zugang zu anderen Netzwerkdomänen zu erhalten, um Daten zu stehlen oder andere Schwachstellen auszunutzen. Da Unternehmen dazu neigen, Netzwerkmanagementsysteme auf eine Whitelist zu setzen, um Fehlalarme zu vermeiden, konnten sich die Angreifer auf diese Weise im Verborgenen halten. Anlagenbetreiber müssen daher Erkennungstechniken einsetzen, um nach anormalem Datenverkehr in der OT-Umgebung zu suchen.
Sicherheitsteams sollten Domänenaktivitäten (DNS) auf ungewöhnliche oder verdächtige Anfragen untersuchen. Achten Sie insbesondere auf Verbindungen zu avsvmcloud[.]com, was ein Indikator für kompromittierte Instanzen von SolarWinds Orion ist.
Selbst wenn Sie alle diese Schritte unternommen haben, ist es möglich, dass sich Angreifer in der Umgebung befinden und zusätzliche Einfallstore oder Hintertüren geschaffen haben. Daher ist es von entscheidender Bedeutung, dass Sie über Erkennungstools verfügen, die sich auf eine Vielzahl verschiedener Erkennungsmethoden stützen, um einen Angreifer zu erkennen. Auf diese Weise können Sie sicherstellen, dass Sie über ein breites Spektrum an Fallen und Fallenstellern verfügen, um seitliche Bewegungen abzufangen.
Auswirkungen der Cyberattacke auf SolarWinds
Nach dem SolarWinds-Hack wurden das Unternehmen und sein Chief Information Security Officer (CISO) vor kurzem von der US-Börsenaufsichtsbehörde SEC (Securities and Exchange Commission) angeklagt, weil sie angeblich die Anleger in Bezug auf die Cybersicherheitspraktiken und den Umgang mit Risiken vor der Bekanntgabe des Angriffs in die Irre geführt haben. Nach Angaben der SEC wurde Timothy Brown, CISO von SolarWinds, beschuldigt, sich der Cybersicherheitsrisiken und -schwachstellen des Unternehmens bewusst gewesen zu sein, diese aber nicht behoben zu haben. Die SEC behauptete auch, dass SolarWinds im Dezember 2020, als der Vorfall bekannt wurde, eine unvollständige Offenlegung vorgenommen hatte. Dieser SEC-Bericht ist ein Beispiel für die unzusammenhängende Natur der Cybersicherheit von Unternehmensrisiken, Compliance und regulatorischen Funktionen, die typischerweise von unterschiedlichen Teams bearbeitet werden. Dieser Vorfall und die darauf folgenden Auswirkungen des SolarWinds-Hacks zeigen, dass Sicherheitsverantwortliche Strategien für das Expositionsmanagement entwickeln müssen, um ihre kritischen Umgebungen unter diesen zunehmend schwierigen Bedingungen zu schützen.
Wie wir wissen, ist jede Umgebung für cyber-physische Systeme (CPS) einzigartig - und die Verwaltung und Bewertung von Risiken in jeder einzelnen Umgebung ist zunehmend komplexer geworden. Durch die Implementierung einer umfassenden und proaktiven, risikobasierten Schwachstellenmanagement-Strategie können Unternehmen sicherstellen, dass sie über die nötigen Werkzeuge verfügen, um ihre OT-Risikolage richtig zu bewerten und die dringendsten Schwachstellen in ihrer Umgebung effektiv zu priorisieren. Mit Funktionen wie denen des neuen Exposure-Management-Moduls von Clarotykönnen Unternehmen ihre CPS-Risikostellung besser verstehen, ihre Ressourcen besser zuordnen und ihre CPS-Sicherheitsreise beschleunigen. Da CISOs und ihre Teams immer wieder mit neuen Herausforderungen bei der Verwaltung von CPS-Cyberrisiken konfrontiert werden, können Funktionen wie die in unserem Exposure-Management-Modul dabei helfen, ihre Schmerzpunkte zu lindern und ihre schwierigsten Cybersecurity-Herausforderungen zu bewältigen.
1 https://d18rn0p25nwr6d.cloudfront.net/CIK-0001739942/57108215-4458-4dd8-a5bf-55bd5e34d451.pdf
