Nächste Woche jährt sich die erste Enthüllung des SolarWinds-Hacks zum einjährigen Mal. Am 13. Dezember 2020 enthüllte FireEye erstmals SUNBURST, eine "globale Eindringlingskampagne", von der letztlich mehr als 18.000 Organisationen, Dazu gehören die US-Ministerien für Handel, Heimatschutz und Finanzwesen sowie Microsoft, Deloitte und viele andere Privatunternehmen. Die Hacker könnten bis zu 14 Monate lang Zugang gehabt haben.
Die Sicherheitsverletzung bei SolarWinds führte zu umfangreichen Änderungen der Richtlinien und wahrscheinlich informiert Die Anordnung von Präsident Biden, dass alle Informationssysteme des Bundes ihre Qualität verbessern sollen Cybersicherheit.
Aber ein Jahr später hat der Gartner-Vizepräsident für Sicherheitsrisiken und Datenschutz Peter Firstbrook sagt, dass die meisten Unternehmen eine der wichtigsten Schlussfolgerungen aus dem Angriff nicht verstanden haben: "Die Identitätsinfrastruktur selbst ist ein Hauptziel für Hacker", so Kyle Alspach von VentureBeat.
Firstbrook zog diese Lehren auf dem Gartner Security & Risk Management Summit im vergangenen Monat und stellte fest, dass "die Auswirkungen des Angriffs auf die Identitätssicherheit für Unternehmen von größter Bedeutung sein sollten".
Fast ein Jahr nach dem Bekanntwerden der SUNBURST-Meldung ist es an der Zeit, einige der wichtigsten Lektionen, die wir seit dem Einbruch bei SolarWinds gelernt haben, noch einmal zu überdenken - und zu erklären, warum Führungskräfte der Identität Priorität einräumen sollten, damit sich so etwas nicht wiederholt.
In einer Zusammenfassung der SolarWinds-Kampagne sagte Firstbrook, dass sich die Angreifer "in erster Linie darauf konzentrierten, die Identitätsinfrastruktur anzugreifen".
An die Wirtschaftsführer gewandt, sagte Firstbrook: "Sie haben viel Geld für die Identität ausgegeben, aber es geht hauptsächlich darum, wie man die guten Jungs reinlässt. Sie müssen wirklich etwas Geld ausgeben, um zu verstehen, wann die Identitätsinfrastruktur kompromittiert ist, und um diese Infrastruktur zu erhalten.
Die Identitäts- und Zugriffsverwaltungssysteme (IAM) von SolarWinds waren ein "reichhaltiges Ziel für Angreifer", so Firstbrook. Die Hacker umgingen die Multi-Faktor-Authentifizierung, indem sie ein veraltetes Web-Cookie stahlen; sie stahlen Passwörter mit Kerberoasting, SAML-Zertifikate verwendet, um die Identitätsauthentifizierung durch Cloud-Dienste zu ermöglichen, und neue Konten im Active Directory erstellt.
Die Angreifer bevorzugten die Identität, weil sie ihnen alles gab, was sie brauchten: Zugang, die Möglichkeit, die Authentifizierung zu umgehen und die Fähigkeit, über den ersten Einbruch hinauszugehen. "Identitäten sind das Bindegewebe, das Angreifer nutzen, um sich seitlich zu bewegen und von einer Domäne zur nächsten zu springen", so Firstbrook.
Angriffe auf die Lieferkette wie der SolarWinds-Angriff "manipulieren Produkte oder Produktbereitstellungsmechanismen", um Ziele in der Folge zu infizieren. Als indirektere Form des Angriffs nutzen sie unwissende Komplizen, wodurch sie schwerer zu entdecken sind.
Auf die Frage, wie man solche Angriffe verhindern könne, antwortete Firstbrook: "In Wirklichkeit kann man das nicht".
Alspach geht auf Firstbrooks Zynismus ein und stellt fest, dass "die Verwaltung digitaler Identitäten für Unternehmen bekanntermaßen schwierig ist, da viele unter der Ausbreitung von Identitäten leiden - einschließlich menschlicher, maschineller und Anwendungsidentitäten (z. B. in robotergestützte Prozessautomatisierung)."
Das Problem erstreckt sich auch auf die Lieferanten eines Unternehmens: Heute setzen selbst mittelständische Unternehmen Hunderte von SaaS-Anwendungen.
Anstatt zu versuchen, Angriffe auf die Lieferkette (oder andere spezifische Angriffe) zu verhindern, riet Firstbrook den Unternehmen, sich auf Bedrohungen vorzubereiten, indem sie ihren Schwerpunkt verlagern. "Sie sollten ihre Identitätsinfrastruktur auf bekannte Angriffstechniken hin überwachen und ihre Identitätsinfrastruktur mehr als Perimeter betrachten.
Firstbrook liegt goldrichtig. Heutzutage müssen Unternehmen zahllose Lieferanten, Mitarbeiter, die von zu Hause aus arbeiten, externe Benutzer und andere Dritte, die auf ihr Ökosystem zugreifen, unterbringen. Da die Zahl der Nutzer und Anwendungsfälle exponentiell zunimmt, ist die Identität das Einzige, was Unternehmen in allen Fällen kontrollieren können sollten. Egal, ob es sich um Ransomware, Angriffe auf die Lieferkette oder die nächste Modeerscheinung in der Cyberkriminalität handelt, die Identität ist zur neuen Sicherheitsgrenze geworden.
Bewährte Praktiken für die Identitätssicherheit nach SolarWinds:
- Aufbauen auf Nullvertrauen: Null Vertrauen ist ein neues Konzept der Cybersicherheit, das jegliches implizite Vertrauen ausschließt. Es behandelt jeden Benutzer, jedes Gerät, jede Anfrage und jede Anwendung als mögliche Bedrohung und prüft ständig jede Berechtigung für den Zugriff und die Berechtigungen. Es handelt sich dabei nicht um ein Produkt oder einen Anbieter, sondern um eine Denkweise in Bezug auf Ihre Cybersicherheit - und die einzige Möglichkeit, auf Nullvertrauen hinzuarbeiten, ist, mit der Identität zu beginnen. Unternehmen müssen zunächst wissen, wer ihre Benutzer sind, wie sie sie authentifizieren und worauf sie zugreifen müssen. Auf dieser Grundlage können Unternehmen eine identitätsorientierte Sicherheit schaffen.
- Authentifizierung von jeder Plattform, zu jeder Plattform: An diesem Punkt sollte die Multi-Faktor-Authentifizierung (MFA) eine Voraussetzung für jedes Unternehmen sein. Das Fehlen von MFA war eine wichtige Komponente in der Colonial Pipeline Ransomware-Angriff und ist ein wichtiger Bestandteil von Präsident Bidens Anordnung zur Cybersicherheit. Aber MFA muss so funktionieren, wie Ihre Benutzer es tun - von Windows und macOS bis hin zu FIDO-Schlüsseln und Einmal-Passcodes - und sogar, wenn Ihre Benutzer offline sind.
- Alle Passwörter sind fehlerhaft: Einige der ersten Berichte über die Sicherheitsverletzung bei SolarWinds konzentrierten sich auf ein bestimmtes Passwort: "solarwinds123". Gesetzgeber geißelten SolarWinds sogar für diese einfache Kennung. Später stellte sich heraus, dass das Kennwort für eine FTP-Site bestimmt war und nichts mit der Sicherheitsverletzung zu tun hatte. Aber der Fokus auf 'Sonnenwinde123' geht am Kern der Sache vorbei, nämlich dass alle Passwörter für Cyberkriminelle zu leicht zu knacken und für die Nutzer zu schwer zu merken sind. Sie sind unsicher, teuer und verursachen Reibungsverluste für legitime Nutzer. Für Unternehmen sollte die Lösung nicht darin bestehen, komplexere Passwörter einzuführen. Stattdessen sollten Unternehmen Passwörter ganz abschaffen und Schaffung passwortfreier Umgebungen in dem die Benutzer nie über Passwörter nachdenken, sie eingeben oder verwalten müssen.
- Wissen, wer Zugang zu was hat: Wenn die Authentifizierung darüber entscheidet, wer Zugang zu einem Netz erhält, dann steuert die Identitätssteuerung und -verwaltung (IGA), was ein Benutzer mit diesem Zugang tun kann: Mit IGA können Unternehmen Zugriffsberechtigungen für die richtigen Ressourcen und für die richtigen Ressourcen festlegen. Auf diese Weise kann verhindert werden, dass sich Benutzer - oder schlechte Akteure - seitlich bewegen oder über eine vordefinierte Rolle hinausgehen (SolarWinds gab zuerst einem Praktikanten die Schuld an "solarwinds123" - ein Identity-Governance-Programm hätte aufgedeckt, worauf dieser Praktikant hätte zugreifen können und was er letztendlich mit diesem Zugriff hätte tun können). Die beste Lösungen kontrolliert den "Identitätswildwuchs" durch die Automatisierung von Zugriffszertifizierungen und priorisiert Anomalien und Richtlinienverstöße.
Ein Jahr später versuchen Unternehmen immer noch, "eine der größten Cybersicherheitsverletzungen des 21. Jahrhunderts" zu verstehen. Jahrhunderts" zu verstehen. Das liegt zum großen Teil daran, dass viele der Trends, die ursprünglich zu dem SolarWinds-Verstoß beigetragen haben - darunter die Ausbreitung von Identitäten, die zunehmende Abhängigkeit von Cloud-Ressourcen, permanente Remote- und Hybrid-Konfigurationen und die zunehmende Interdependenz zwischen Benutzern, Ressourcen und Geräten - sich seit dem 13. Dezember 2020 nur noch beschleunigt haben.
Wie geht es jetzt weiter? Der einzige Weg nach vorn besteht darin, zu erkennen (oder zuzugeben), wie komplex unsere Betriebsumgebungen geworden sind, und dem Schutz der Attribute, die in jeder von ihnen wiederkehren, Priorität einzuräumen. Wir müssen die Identität zu unserer neuen Grenze machen - und sie an die erste Stelle setzen.
