:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Erfahrungen und Erkenntnisse aus dem Cyberangriff auf SolarWinds Rückblick und Lehren aus dem Sunburst-Angriff
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Der SUNBURST-Angriff war einer der raffiniertesten und komplexesten Cyberangriffe der Geschichte. Die fortlaufenden weltweiten Untersuchungen durch Regierungen, Geheimdienste, Strafverfolgungsbehörden und Branchenexperten aus dem privaten Sektor deckten auf, dass es sich um einen Supply-Chain-Angriff handelte. SolarWinds war nicht das einzige Ziel, sondern lediglich ein Mittel, über das die Angreifer in andere für sie interessante Umgebungen gelangten.
Während der Untersuchungen wurde eine weitere, in keinem Zusammenhang stehende Schwachstelle namens SUPERNOVA entdeckt. Bei SUPERNOVA handelt es sich nicht wie bei SUNBURST um in die Builds eingebetteten Schadcode, sondern um eine Malware, die eine bisher unentdeckte API-Schwachstelle der Plattform ausnutzte. In manchen Umgebungen konnten die Täter die Perimetersicherheit umgehen und unbefugten Zugriff auf die Orion Platform erlangen. Sie setzten eine unsignierte Datei ein, die speziell für den Angriff auf das System geschrieben wurde, und wendeten in einem zweiten Schritt weiteren Schadcode an. Auch diese Schwachstelle wurde in den verfügbaren Updates behoben.
Die US-Regierung sowie Experten aus dem privaten Sektor teilen die Annahme, dass ein fremder Nationalstaat diese Operation als Teil eines breit angelegten Angriffs durchgeführt haben könnte, der sich hauptsächlich gegen Cyberinfrastrukturen in den USA richtete. Bisher konnten die Untersuchungen die Identität der Täter nicht unabhängig verifizieren.
Erfahrungen und Erkenntnisse
Angesichts der Komplexität des Angriffs und der branchenweit genutzten Verfahren in Softwareentwicklungsumgebungen ist anzunehmen, dass dieselben Strategien und Tools auch für den Angriff auf andere Anbieter verwendet wurden.
Jedes Unternehmen sollte sich die Frage stellen: „Wer ist in unserer Lieferkette?“, um dann mögliche Risiken mit seinen Lieferanten, Vertragspartnern und Dienstleistern zu besprechen. Wir haben einen Angriff auf das Vertrauen innerhalb der Lieferkette erlebt und sehen die Gründe für eine Zero-Trust-Umgebung weiter bestärkt: Unternehmen sollten davon ausgehen, dass sie bereits kompromittiert wurden.
Zudem stellte sich heraus, dass die Angreifer die Operation über einen langen Zeitraum hinweg geplant und durchgeführt haben, und konnten die Ereignisse glücklicherweise rekonstruieren, da die Protokolle bis zurück ins Jahr 2019 noch verfügbar waren. Daraus haben wir gelernt, dass es nicht ausreicht, Protokolle 90 Tage lang aufzubewahren, wie es für viele Geräte, Softwarelösungen und Infrastrukturen der Standard ist. Diese Praxis sollte neu überdacht werden.
Wir werden „Secure by Design“
Der Angriff war ein Weckruf für die Branche und macht deutlich, dass die aktuellen Softwareentwicklungsverfahren, von denen viele als Best Practice und Branchenstandard gelten, nicht länger sicher sind.
Mit all dem Wissen, dass wir bei der Untersuchung des Angriffs gewonnen haben, und mit Hilfe von führenden Cybersicherheitsexperten wollen wir SolarWinds daher zu einem Unternehmen machen, das wir als „Secure by Design“ bezeichnen können. Diese transformativen Vorhaben erfordern einen enormen Fokus auf sicherheitsbezogene Programme, Richtlinien, Teams und Kulturen.
Überblick der ersten Maßnahmen
Wir haben einige Sofortmaßnahmen ergriffen, um unsere interne Umgebung weiter zu sichern. Dazu zählt beispielsweise der Einsatz zusätzlicher, leistungsstarker Software zur Bedrohungserkennung und suche auf all unseren Netzwerkendpunkten mit Fokus auf unseren Entwicklungsumgebungen.
Außerdem wurde für alle Benutzer in Unternehmens- und Entwicklungsbereichen die Zurücksetzung der Kennwörter angefordert. Die Anmeldeinformationen für alle privilegierten Konten und alle Konten, die für den Aufbau der Orion Platform und zugehöriger Produkte verwendet werden, wurden zurückgesetzt. Remote- und Cloud-Zugriff wurden konsolidiert und der Zugriff auf alle internen SolarWinds-Ressourcen erfordert eine mehrstufige Authentifizierung.
Zu den Schritten zur Verbesserung der Produktentwicklungsumgebung gehören fortlaufende forensische Analysen der Umgebung, um die zugrunde liegende Ursache der Sicherheitsverletzung zu identifizieren und Abhilfemaßnahmen umzusetzen. Noch wichtiger ist die Umstellung auf eine vollkommen neue Build-Umgebung mit strengeren Zugriffskontrollen und Bereitstellungsmechanismen, um reproduzierbare Builds aus mehreren unabhängigen Pipelines zu ermöglichen. Zusätzlich stellen automatisierte und manuelle Prüfungen sicher, dass unsere kompilierten Versionen mit dem Quellcode übereinstimmen.
Zusätzlich erweitern wir das Schwachstellen-Management-Programm zur Reduzierung unserer durchschnittlichen Time-to-Patch und für eine bessere Zusammenarbeit mit der externen Sicherheitscommunity. Zusätzliche externe Tools ermöglichen eine erweiterte Sicherheitsanalyse des Quellcodes und umfangreiche Penetrationstests der Orion Platform-Software und zugehöriger Produkte unterstützen das Identifizieren potenzieller Probleme.
Aktualisierung digitaler Code-Signing-Zertifikate
Zu den sichtbarsten bereits unternommenen Schritten gehört die Neusignierung aller Orion Platform- und zugehöriger Produkte sowie vieler weiterer SolarWinds-Lösungen mit neuen digitalen Zertifikaten. Diese digitalen Code-Signing-Zertifikate verifizieren die Authentizität des Herausgebers sowie des Codes. Anbieter beantragen ein Zertifikat und bestimmte Zertifizierungsstellen geben einen privaten und einen öffentlichen Schlüssel aus. Der öffentliche Schlüssel wird vor der Veröffentlichung in den Code eingebettet.
Moderne Betriebssysteme überprüfen bei der Installation von Software die Integrität digitaler Zertifikate und geben eine Warnung aus, wenn ein Zertifikat ungültig, abgelaufen oder gar nicht verfügbar ist. Die meisten Endpunktsicherheitslösungen prüfen kontinuierlich die Gültigkeit von Zertifikaten und können je nach Einstellung die Ausführung von Dateien mit ungültigen oder widerrufenen Zertifikaten blockieren.
Im Falle eines kompromittierten Zertifikats ist es branchenübliche Best Practice, die Software neu zu signieren. SolarWinds hat nicht nur die Produkte der Orion Platform neu signiert, sondern alle eigenen Produkte und Tools, die das kompromittierte Zertifikat verwendet haben. So konnten wir das kompromittierte Zertifikat widerrufen und die Kunden konnten ohne weitere Änderungen oder Leistungsprobleme weiterhin aktualisierte Lösungen in ihren Umgebungen ausführen.
Um Kunden bei der Aktualisierung des digitalen Code-Signing-Zertifikate zu unterstützen, hat SolarWinds das Orion Assistance Program (OAP) ins Leben gerufen. Das OAP bietet Kunden mit aktivem Wartungsvertrag Unterstützung bei Upgrades und Hotfixes durch professionelle Berater, die sich mit der Orion Platform und ihren Produkten auskennen. Diese Beratungs- und Supportdienste stehen unseren Kunden mit aktivem Wartungsvertrag, die eine der von SUNBURST oder SUPERNOVA betroffenen Orion Platform-Versionen ausführen oder ausgeführt haben, ohne zusätzliche Kosten zur Verfügung.
Fazit
Diese Maßnahmen und Pläne werden uns den Weg dahin ebnen, ein noch sichereres Unternehmen zu werden. Dieser Weg wird nicht leicht und nicht jeder Anbieter wird Änderungen wie die Einführung von zwei unabhängigen Softwareentwicklungslinien auch umsetzen können. Doch wir sehen es als unsere Verpflichtung, die Zufriedenheit unserer Kunden an die erste Stelle zu setzen und sie bestmöglich zu unterstützen.
Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.
(ID:47571312)
:quality(80)/p7i.vogel.de/wcms/ed/84/ed8425d0c54ac840520b083729887156/0106316484.jpeg "Sunburst und Supernova sind zwei Schadsoftware-Varianten, die mittels manipuliertem Source Code der SolarWinds Orion-Software beim SolarWinds-Supply-Chain-Angriff an deren Nutzer verbreitet wurden.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")