Funtap - stock.adobe.com
Wie sich die SolarWinds-Schwachstelle auf Netzwerke auswirkt
Der SolarWinds-Angriff führt zu einer Reihe von Netzwerkschwachstellen, wie maskierter Datenverkehr und Backdoor-Zugang. Netzwerkteams sollten ihre Sicherheitsstrategie überprüfen.
Im Dezember 2020 wurde SolarWinds, ein Hersteller von Sicherheitsüberwachungs- und Analyseprodukten, durch einen Hack in der Lieferkette kompromittiert, der eine Hintertür in seine Sicherheits-Tools einfügte. Dieser Angriff war schwer zu erkennen und ermöglichte schließlich den Zugriff auf die sicheren Unternehmens- und Regierungsnetzwerke der Kunden.
Der Angriff nutzte das Orion Improvement Program von SolarWinds, um bösartigen Datenverkehr zu verschleiern, verdeckt mit externen Command-and-Control-Knoten in Kontakt zu treten und den Angreifern den Zugang über eine Backdoor zu ermöglichen.
Die ausgeklügelte Supply-Chain-Attacke erschwerte die Erkennung durch die Netzwerkteams, da der Angriffsverkehr unter dem legitimen Datenverkehr von SolarWinds versteckt war. Um die Attacke zu erkennen, hätten die Netzwerkteams den gesamten Datenverkehr von SolarWinds analysieren müssen. Das ist aber etwas, wofür nur wenige IT-Organisationen das Budget oder die Bandbreite zur Verfügung haben. Die Signatur für die Kompromittierung war Bestandteil einer Software, die von SolarWinds digital signiert war, was die Entdeckung noch schwieriger machte.
Weil die Kompromittierung Teil des SolarWinds Orion Improvement Program war, das regelmäßig Daten und Dateien sendet, erwarteten IT-Abteilungen diesen Datenverkehr. Die Informationen sollten SolarWinds dabei zu helfen, die Kundenerfahrung zu verbessern. Das Senden der Daten mag im Sinne der Netzwerkteams sein, weil sie Hunderttausende von Euro für Tools ausgeben und wollen, dass diese Software besser wird.
In diesem Fall wurden kompromittierte Management- und Überwachungs-Tools im Wesentlichen zum Fuchs, der den Hühnerstall bewacht. Das Erkennen von ausgehendem Datenverkehr ist schwieriger, aber das berücksichtigt den eingehenden Datenverkehr nicht ausreichend. Während der ausgehende Datenverkehr legitim erscheinen mag, hätte der eingehende Datenverkehr, der von der SolarWinds-Signatur stammt, mehr Anlass zur Sorge geben müssen, als er es tat.
Tipps zur Vermeidung zukünftiger Schwachstellen
Die SolarWinds-Schwachstelle ließ viele Netzwerkteams mit der Frage zurück, was sie in Zukunft tun können, um diese Art von Situationen zu verhindern. Nachfolgend finden Sie einige Maßnahmen, die helfen können.
Grundlegende Sicherheitsblockierung und -bekämpfung
Strengere Sicherheitspraktiken werden Bedrohungen nicht beseitigen, aber sie können helfen, den Schaden von Angriffen zu mindern. Einige der Angriffe, denen sich Unternehmen durch die SolarWinds-Schwachstelle ausgesetzt sahen, wurden möglicherweise durch ihre eigenen Sicherheitslücken verschlimmert.
Bessere Segmentierung
Ein höherer Grad an Segmentierung erschwert die Verwaltung von Netzwerken erheblich, kann aber auch dazu beitragen, die Auswirkungen von Angriffen abzuschwächen. Eine geringere Segmentierung kann das Ergebnis einer unterfinanzierten Sicherheitsorganisation sein.
Bessere Finanzierung der IT-Sicherheit
CIOs sind sich des Wertes der IT-Sicherheit bewusst, aber manchmal führen zu knappe Budgets dazu, dass dieser Bereich vernachlässigt wird. Es ist wichtig, dass Netzwerksicherheitsteams nicht nur die Tools, sondern auch die Arbeitskraft haben, um den Datenverkehr zu überwachen. Kein Tool ist ein vollständiger Ersatz für Menschen, vor allem wenn diese Menschen dumme Fragen stellen, die zu klügeren Entdeckungen führen können.
Zero-Trust-Umgebungen
Der Angriff auf SolarWinds nutzte eindeutig die Tatsache aus, dass SolarWinds ein vertrauenswürdiger Datenfluss war. Zero-Trust-Umgebungen gehen standardmäßig davon aus, dass alles eine Bedrohung darstellt, und erfordern eine Überprüfung des gesamten Datenverkehrs, was zu einer besseren Erkennung von Exploits beitragen kann.
Mehr Penetrationstests
Penetrationstests schützen nicht nur den Perimeter, indem sie Schwachstellen aufdecken. Sie führen auch zu einem kritischeren Denken über die Wege, die Angreifer über die üblicherweise gescannten Exploits hinaus nutzen können.
Mehr Zusammenarbeit
Ungeachtet der Art und Weise, wie der SolarWinds-Exploit auftrat, sind Zusammenarbeit und gemeinsamer Austausch für eine bessere Absicherung von Unternehmensnetzwerken unerlässlich. Aber die Zusammenarbeit ist nicht nur mit den Herstellern wichtig, sie kann auch in der Community ebenso bedeutend sein.