Es vergeht kein Tag, an dem wir nicht neue Informationen über den SolarWinds Hack erfahren. Die Liste der betroffenen Firmen wird immer größer. Auch in Europa gibt es Kunden von SolarWinds, die betroffen sind. Das ist nicht nur ein amerikanisches Problem.
Was wir gelernt haben, ist, dass die Angreifer sich den Software Build Prozess von SolarWinds zu Nutze gemacht haben. Die Vorgangsweise war so ausgeklügelt, dass diese Täuschung nicht entdeckt wurde. Mehr technische Details dazu findet man hier.
Die genaue Anzahl der betroffenen Firmen ist nicht bekannt, aber all diese Firmen sind gerade dabei, mit extrem viel Personalaufwand nachzuvollziehen, was sonst noch alles passiert ist. Dies wird sicher einige Monate noch andauern und selbst dann kann man nicht sicher sein, ob man alles nachvollzogen hat und die Angreifer aus dem Netzwerk vollständig entfernt hat.
Auch hier muss ein Umdenken erfolgen. Wenn man von vornherein bereits Täuschungstechnologien einsetzt, um dem entgegen zu treten, hat man die Möglichkeit, auch solche hoch effiziente Angriffe frühzeitig zu erkennen. Und dies bereits im ersten Schritt diese „Supply-Chain“-Angriffes, nämlich beim Software Hersteller. Dann wäre es nicht zur Auslieferung dieses Produktes mit eingebauter Hintertür gekommen. Aber selbst, wenn dies trotzdem erfolgt wäre, hätte man nicht weitere 10 Monate benötigt, um diese Hintertür zu entdecken. Mithilfe von Deception Technologie wäre dies innerhalb von 1-2 Tagen erfolgt und die immensen Ausgaben für Forensic, die man jetzt hat, wären nicht angefallen. Nicht zu sprechen von der Zeit der involvierten Mitarbeiter, die dafür abgestellt werden müssen, welche im täglichen Betrieb fehlt und neue Sicherheitsprobleme kreiert.
Darüber hinaus könnte man mit high-interactive Deception auch feststellen, was die Angreifer eigentlich suchen und in manchen Fällen auch, wer dahinter steckt.
Es braucht hier mehr Aufmerksamkeit und auch die Erkenntnis, dass man das Heft wieder in die Hand bekommen muss. Jetzt sich darauf zu fokussieren, wie man Software, die aktualisiert wird, vor der Installation noch besser prüfen kann, ist gut, löst aber das eigentliche Problem nicht, da die Angreifer bis dahin schon wissen, wie Sie diese Prüfungen umgehen können.
Cybersecurity Professionisten vertrauen daher immer mehr auf die Deception Themen aus dem MITRE ATT&CK Framework und MITRE Shield Publikationen.
Lesen Sie dazu auch: Wie man MITRE ATT&CK® für Deception Stories einsetzt
Über den Autor
