Chaque fois qu'il y a une attaque ou une violation majeure, on se précipite pour attribuer les responsabilités. Le plus souvent, la faute retombe sur les équipes de sécurité qui font déjà tout ce qui est possible avec le temps et les ressources dont elles disposent. Pourtant, la recherche de la faute peut s'avérer improductive. Au contraire, comprendre comment et pourquoi une attaque s'est produite conduit à une évolution de la manière dont les organisations combattent et gèrent les opérations de sécurité.
Prenons l'exemple de l'intrusion récente - et toujours en cours - de SolarWinds. Cette violation a contourné tous les outils de prévention habituels tels que l'authentification multifactorielle (MFA), les bacs à sable de réseau et endpoint detection and response (EDR). Ces attaquants ont utilisé des outils légitimes pour mener des actions malveillantes, rendant ainsi toutes les mesures de prévention inutiles.
Une fois la brèche ouverte, les attaquants ont utilisé de multiples canaux de communication, phases et outils pour établir un contrôle interactif sur le clavier. Chaque phase a été conçue pour minimiser les chances de détection, avec des techniques qui déjouent les signatures des outils des systèmes de détection d'intrusion (IDS), la détection et la réponse (EDR) de endpoint , la chasse manuelle aux menaces et même les approches courantes de la détection basée sur l'apprentissage automatique (ML).
Révélation de l'attaque de la chaîne d'approvisionnement de SolarWinds : Une brèche furtive et sophistiquée avec Cloud et Office 365 comme cibles principales
L'attaque de la chaîne d'approvisionnement de SolarWinds a été orchestrée dans le but d'établir un canal Command and Control (C2) secret et fiable entre les attaquants et un composant d'infrastructure privilégié et de confiance au sein du centre de données, à savoir SolarWinds. Ce canal compromis a servi de passerelle, offrant aux attaquants des comptes privilégiés initiaux et un point de pivot pour faire avancer leur assaut. Pour atteindre leurs objectifs, les attaquants ont utilisé de multiples canaux de communication, exécuté différentes phases et utilisé divers outils pour obtenir un contrôle interactif sur le clavier. Chaque phase a été méticuleusement conçue pour minimiser la probabilité de détection, en employant des techniques qui échappent aux signatures des outils des systèmes de détection d'intrusion (IDS), à la détection et à la réponse (EDR) de endpoint , à la chasse manuelle aux menaces, et même aux approches courantes de la détection basée sur l'apprentissage automatique (ML).
La progression de l'attaque est décrite ci-dessous, depuis la porte dérobée initiale jusqu'à l'établissement d'un accès persistant dans les environnements cloud , avec un accent particulier sur le ciblage de Microsoft Office 365/courrier électronique, qui semble avoir été un objectif principal. Vectra AI La couverture de l'OMPI, qui ne dépend pas d'indicateurs de compromission (IoC) ou de signatures, entre en jeu dès que le canal C2 initial est établi. La combinaison des comportements observés directement sur le serveur SolarWinds a entraîné sa classification comme "critique" avant même qu'un mouvement latéral ne se produise, ce qui a permis de prendre des mesures d'endiguement précoces. Si l'attaque devait progresser, des détections supplémentaires fourniraient une visibilité complète sur chaque phase ultérieure, même si l'assaut s'étend sur le site cloud et cible spécifiquement Office 365.
Révéler les limites des solutions de sécurité traditionnelles : La faille de SolarWinds et l'appel à détection et réponse aux incidents (NDR)
Le piratage de SolarWinds Orion, également connu sous le nom de Sunburst ou Solorigate, met clairement en évidence la nécessité d'un sitedétection et réponse aux incidents (NDR) alimenté par l'IA. Si les mesures de sécurité préventives et les contrôles sur endpoint relèvent la barre, ils sont insuffisants. Les anciens systèmes de détection d'intrusion (IDS) basés sur des signatures se sont une fois de plus révélés inefficaces pour détecter les nouvelles attaques pour lesquelles il n'existe pas encore d'indicateurs de compromission (IoC).
Les attaquants de SolarWinds ont fait preuve de beaucoup d'efforts et d'expertise pour contourner les contrôles préventifs, notamment les bacs à sable de réseau, la sécurité endpoint et l'authentification multifactorielle (MFA). Leurs méthodes consistaient à
- Effectuer des vérifications approfondies pour s'assurer qu'ils ne se trouvent pas dans un bac à sable ou un environnement d'analyse de logiciels malveillants.
- Utilisation de la signature de code et de processus légitimes pour échapper aux contrôles courants de endpoint .
- Mise en œuvre d'un nouveau dropper en mémoire pour éviter l'analyse des fichiers lors de la distribution de la balise Command and Control (C2 ).
- Contournement du MFA à l'aide de clés de signature de session SAML (Security Assertion Markup Language) volées.
Endpoint Le niveau de compétence et de concentration requis pour contourner les contrôles endpoint souligne les progrès réalisés dans le domaine de la détection et de la réponse (EDR). Cependant, il rappelle également que des adversaires déterminés et sophistiqués peuvent toujours trouver des moyens de contourner les contrôles préventifs et endpoint .
Pour se défendre efficacement contre ce type d'attaque, il est essentiel d'exploiter le site détection et réponse aux incidents . Dans ce contexte, le réseau englobe tout ce qui se trouve à l'extérieur de endpoint. Les modèles de détection de Vectra AI fournissent une alerte précoce en temps réel et une visibilité continue tout au long de la progression de l'attaque, depuis le site jusqu'à cloud. Cette approche ne repose pas sur des IoC, des signatures ou d'autres mises à jour de modèles. Son objectif est d'identifier et d'arrêter les attaques telles que Sunburst/Solorigate/SolarWinds avant qu'elles ne causent des dommages importants.
Comme le montre clairement la faille de SolarWinds, les solutions de sécurité traditionnelles sont insuffisantes et susceptibles d'être manipulées par les attaquants. Les IDS reposent sur des signatures, ce qui signifie que les analystes de la sécurité doivent connaître l'attaque et disposer d'une signature pour la détecter et la prévenir. De même, l'EDR est efficace pour les terminaux, mais ne permet pas de lutter efficacement contre les attaques basées sur le réseau, comme celle de SolarWinds. Même les techniques de détection supplémentaires basées sur l'apprentissage machine (ML) employées par les fournisseurs peuvent ne pas fournir une protection adéquate. Bien que les organisations puissent disposer de systèmes de gestion des événements de sécurité (SIEM) ou d'outils similaires, leur efficacité dépend de la qualité et de la disponibilité des données qu'ils reçoivent. Si les données sont compromises ou inexistantes, l'objectif d'un SIEM est compromis. Il est essentiel d'alimenter le SIEM avec des données exactes et appropriées.
Si vous êtes prêt à changer votre approche de la détection et de la réponse aux cyberattaques de ce type, et à voir de plus près comment Cognito peut trouver les outils et les exploits des attaquants, planifiez une démonstrationavec Vectra dès aujourd'hui.