:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/e1/76e1334fe3b40ca0d4148a8eb166b4b0/0111183876.jpeg "Geeignet für geheime Botschaften mit 2x 40 Gbit/s IPsec und <20 μs Latenz: Die VPN-Appliance von der Genua GmbH (Bild: frei lizenziert: Tayeb MEZAHDIA )")
:quality(80)/p7i.vogel.de/wcms/ac/90/ac909e6e2800db299da86bd1add1f12b/0111445793.jpeg "Sophos ereweitert sein internationales Managed Detection and Response (MDR) Team um ein zusätzliches Team in Deutschland. (Bild: Sven - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/f6/8ff67f37275779fb9e5b52248146b4d0/0111493119.jpeg "Backups sind ein hoch komplexes Thema – angefangen bei der Auswahl der richtigen Backup-Lösung, über die pasende Methode, bis hin zur Planung und zum Test der Wiederhestellung der gesicherten Daten gibt es viel zu beachten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Erfahrungen und Erkenntnisse aus dem Cyberangriff auf SolarWinds Rückblick und Lehren aus dem Sunburst-Angriff
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Der SUNBURST-Angriff war einer der raffiniertesten und komplexesten Cyberangriffe der Geschichte. Die fortlaufenden weltweiten Untersuchungen durch Regierungen, Geheimdienste, Strafverfolgungsbehörden und Branchenexperten aus dem privaten Sektor deckten auf, dass es sich um einen Supply-Chain-Angriff handelte. SolarWinds war nicht das einzige Ziel, sondern lediglich ein Mittel, über das die Angreifer in andere für sie interessante Umgebungen gelangten.
Während der Untersuchungen wurde eine weitere, in keinem Zusammenhang stehende Schwachstelle namens SUPERNOVA entdeckt. Bei SUPERNOVA handelt es sich nicht wie bei SUNBURST um in die Builds eingebetteten Schadcode, sondern um eine Malware, die eine bisher unentdeckte API-Schwachstelle der Plattform ausnutzte. In manchen Umgebungen konnten die Täter die Perimetersicherheit umgehen und unbefugten Zugriff auf die Orion Platform erlangen. Sie setzten eine unsignierte Datei ein, die speziell für den Angriff auf das System geschrieben wurde, und wendeten in einem zweiten Schritt weiteren Schadcode an. Auch diese Schwachstelle wurde in den verfügbaren Updates behoben.
Die US-Regierung sowie Experten aus dem privaten Sektor teilen die Annahme, dass ein fremder Nationalstaat diese Operation als Teil eines breit angelegten Angriffs durchgeführt haben könnte, der sich hauptsächlich gegen Cyberinfrastrukturen in den USA richtete. Bisher konnten die Untersuchungen die Identität der Täter nicht unabhängig verifizieren.
Erfahrungen und Erkenntnisse
Angesichts der Komplexität des Angriffs und der branchenweit genutzten Verfahren in Softwareentwicklungsumgebungen ist anzunehmen, dass dieselben Strategien und Tools auch für den Angriff auf andere Anbieter verwendet wurden.
Jedes Unternehmen sollte sich die Frage stellen: „Wer ist in unserer Lieferkette?“, um dann mögliche Risiken mit seinen Lieferanten, Vertragspartnern und Dienstleistern zu besprechen. Wir haben einen Angriff auf das Vertrauen innerhalb der Lieferkette erlebt und sehen die Gründe für eine Zero-Trust-Umgebung weiter bestärkt: Unternehmen sollten davon ausgehen, dass sie bereits kompromittiert wurden.
Zudem stellte sich heraus, dass die Angreifer die Operation über einen langen Zeitraum hinweg geplant und durchgeführt haben, und konnten die Ereignisse glücklicherweise rekonstruieren, da die Protokolle bis zurück ins Jahr 2019 noch verfügbar waren. Daraus haben wir gelernt, dass es nicht ausreicht, Protokolle 90 Tage lang aufzubewahren, wie es für viele Geräte, Softwarelösungen und Infrastrukturen der Standard ist. Diese Praxis sollte neu überdacht werden.
Wir werden „Secure by Design“
Der Angriff war ein Weckruf für die Branche und macht deutlich, dass die aktuellen Softwareentwicklungsverfahren, von denen viele als Best Practice und Branchenstandard gelten, nicht länger sicher sind.
Mit all dem Wissen, dass wir bei der Untersuchung des Angriffs gewonnen haben, und mit Hilfe von führenden Cybersicherheitsexperten wollen wir SolarWinds daher zu einem Unternehmen machen, das wir als „Secure by Design“ bezeichnen können. Diese transformativen Vorhaben erfordern einen enormen Fokus auf sicherheitsbezogene Programme, Richtlinien, Teams und Kulturen.
Überblick der ersten Maßnahmen
Wir haben einige Sofortmaßnahmen ergriffen, um unsere interne Umgebung weiter zu sichern. Dazu zählt beispielsweise der Einsatz zusätzlicher, leistungsstarker Software zur Bedrohungserkennung und suche auf all unseren Netzwerkendpunkten mit Fokus auf unseren Entwicklungsumgebungen.
Außerdem wurde für alle Benutzer in Unternehmens- und Entwicklungsbereichen die Zurücksetzung der Kennwörter angefordert. Die Anmeldeinformationen für alle privilegierten Konten und alle Konten, die für den Aufbau der Orion Platform und zugehöriger Produkte verwendet werden, wurden zurückgesetzt. Remote- und Cloud-Zugriff wurden konsolidiert und der Zugriff auf alle internen SolarWinds-Ressourcen erfordert eine mehrstufige Authentifizierung.
Zu den Schritten zur Verbesserung der Produktentwicklungsumgebung gehören fortlaufende forensische Analysen der Umgebung, um die zugrunde liegende Ursache der Sicherheitsverletzung zu identifizieren und Abhilfemaßnahmen umzusetzen. Noch wichtiger ist die Umstellung auf eine vollkommen neue Build-Umgebung mit strengeren Zugriffskontrollen und Bereitstellungsmechanismen, um reproduzierbare Builds aus mehreren unabhängigen Pipelines zu ermöglichen. Zusätzlich stellen automatisierte und manuelle Prüfungen sicher, dass unsere kompilierten Versionen mit dem Quellcode übereinstimmen.
Zusätzlich erweitern wir das Schwachstellen-Management-Programm zur Reduzierung unserer durchschnittlichen Time-to-Patch und für eine bessere Zusammenarbeit mit der externen Sicherheitscommunity. Zusätzliche externe Tools ermöglichen eine erweiterte Sicherheitsanalyse des Quellcodes und umfangreiche Penetrationstests der Orion Platform-Software und zugehöriger Produkte unterstützen das Identifizieren potenzieller Probleme.
Aktualisierung digitaler Code-Signing-Zertifikate
Zu den sichtbarsten bereits unternommenen Schritten gehört die Neusignierung aller Orion Platform- und zugehöriger Produkte sowie vieler weiterer SolarWinds-Lösungen mit neuen digitalen Zertifikaten. Diese digitalen Code-Signing-Zertifikate verifizieren die Authentizität des Herausgebers sowie des Codes. Anbieter beantragen ein Zertifikat und bestimmte Zertifizierungsstellen geben einen privaten und einen öffentlichen Schlüssel aus. Der öffentliche Schlüssel wird vor der Veröffentlichung in den Code eingebettet.
Moderne Betriebssysteme überprüfen bei der Installation von Software die Integrität digitaler Zertifikate und geben eine Warnung aus, wenn ein Zertifikat ungültig, abgelaufen oder gar nicht verfügbar ist. Die meisten Endpunktsicherheitslösungen prüfen kontinuierlich die Gültigkeit von Zertifikaten und können je nach Einstellung die Ausführung von Dateien mit ungültigen oder widerrufenen Zertifikaten blockieren.
Im Falle eines kompromittierten Zertifikats ist es branchenübliche Best Practice, die Software neu zu signieren. SolarWinds hat nicht nur die Produkte der Orion Platform neu signiert, sondern alle eigenen Produkte und Tools, die das kompromittierte Zertifikat verwendet haben. So konnten wir das kompromittierte Zertifikat widerrufen und die Kunden konnten ohne weitere Änderungen oder Leistungsprobleme weiterhin aktualisierte Lösungen in ihren Umgebungen ausführen.
Um Kunden bei der Aktualisierung des digitalen Code-Signing-Zertifikate zu unterstützen, hat SolarWinds das Orion Assistance Program (OAP) ins Leben gerufen. Das OAP bietet Kunden mit aktivem Wartungsvertrag Unterstützung bei Upgrades und Hotfixes durch professionelle Berater, die sich mit der Orion Platform und ihren Produkten auskennen. Diese Beratungs- und Supportdienste stehen unseren Kunden mit aktivem Wartungsvertrag, die eine der von SUNBURST oder SUPERNOVA betroffenen Orion Platform-Versionen ausführen oder ausgeführt haben, ohne zusätzliche Kosten zur Verfügung.
Fazit
Diese Maßnahmen und Pläne werden uns den Weg dahin ebnen, ein noch sichereres Unternehmen zu werden. Dieser Weg wird nicht leicht und nicht jeder Anbieter wird Änderungen wie die Einführung von zwei unabhängigen Softwareentwicklungslinien auch umsetzen können. Doch wir sehen es als unsere Verpflichtung, die Zufriedenheit unserer Kunden an die erste Stelle zu setzen und sie bestmöglich zu unterstützen.
Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.
(ID:47571312)
:quality(80)/images.vogel.de/vogelonline/bdb/1929600/1929685/original.jpg "Gerade im Open-Source-Umfeld suchen Cyber-Kriminelle gerne nach Angriffspunkten in der Software-Lieferkette (artinspiring – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1944700/1944703/original.jpg "Auch im Zusammenhang mit der Supply-Chain-Security gilt nach wie vor das Sprichwort: Jede Kette ist nur so stark wie ihr schwächstes Glied. (Romolo Tavani - stock.adobe.com)")