Hoe voorkom je aanvallen op je supply chain zoals door de SolarWinds hack?

Geplaatst op 04-01-2021

SolarWinds Hack Report: hoe kun je de volgende supply chain-aanval voorkomen?

Weer een aanval op de supply chain, misschien wel een van de ergste in jaren. Ja, we hebben het over de recente SolarWinds-attack. Deze aanval, die de ondergang is geweest van veel bedrijven, is grondig onderzocht, en geanalyseerd door leveranciers als Microsoft en FireEye.

Kortom, de aanval zelf maakte gebruik van een kwetsbaarheid en een achterdeur naar het SolarWinds Orion Platform. Zodra de hackers binnenkwamen, implementeerden ze hun code in een van de DLL-bestanden of het Orion-platform. Van daaruit konden ze verbinding maken met de command and control-servers van de aanvallers om de aanvalscommando's te krijgen.

De laatste stap van de aanval werd uitgevoerd zodra de toegang via de achterdeur was bereikt; in dat stadium begonnen de aanvallers te werken aan het verkrijgen van privilege-escalatie, het verkrijgen van inlpgegevens en lateraal het netwerk doorkruisen om naar de kroonjuwelen van de slachtoffers te zoeken.

De laterale beweging werd uitgevoerd via PowerShell externe taakcreatie, zoals getoond door FireEye. Nu PowerShell veel wordt gebruikt binnen organisatienetwerken, is het duidelijk dat de hackers zich gemakkelijk door de organisatie kunnen verplaatsen zonder dat iemand het merkt.

Een van de redenen dat het gebruik van PowerShell om toegang te krijgen tot servers eenvoudig en gemakkelijk is, is dat alles wat een aanvaller nodig heeft om de PowerShell-opdracht uit te voeren, basisreferenties zijn, gestolen van andere accounts. In dergelijke gevallen wordt geen tweede factoruitdaging ingeroepen, waardoor het heel gemakkelijk is om interne systemen te hacken.

MFA toevoegen aan ALLE interne systemen

Hoe zou u zo'n aanval hebben geblokkeerd? De eerste gedachte die bij me opkomt is het patchen van SolarWinds, toch? Omdat dat de oorsprong van de aanval was?

Maar… jij bent toch niet de ontwikkelaar van SolarWinds? U bent een klant, dus patchen werkt niet ...

Oké, dus wat kunnen we doen? We kunnen complexe oplossingen inzetten die al het verkeer in het netwerk scannen en zoeken naar verkeer dat naar de C2-server gaat of van de C2-server naar de gecompromitteerde machine. Helemaal geen eenvoudige taak.

En zelfs als u al uw software van derden uitvoert en patcht, of een netwerkscanoplossing implementeert, wat garandeert dan dat de volgende Zero Day-aanval u geen kwaad zal doen? We moeten accepteren dat zolang ontwikkelaars software ontwikkelen, kwetsbaarheden het noodzakelijke kwaad zullen blijven waarmee we zullen moeten leven. Maar samenleven met hen betekent niet dat we het risico dat deze kwetsbaarheden door hackers worden misbruikt, niet kunnen verkleinen. Misschien willen we een andere aanpak overwegen: de interne processen controleren en beveiligen en de aanvallers continu uitdagen.

Er wordt ons vaak verteld dat we aan moeten nemen dat de aanvaller zich al in ons netwerk bevindt, dus waarom proberen we niet te voorkomen dat hij lateraal door ons netwerk beweegt? Het idee is dat ze wel binnenkomen, maar geen kwaad kunnen doen.

Wat als we 'auto magisch' MFA zouden kunnen toevoegen aan elk systeem, elke server en elke applicatie in het netwerk, zodat wanneer de aanvaller probeert toegang te krijgen tot een server vanaf de geïnfecteerde machine, zijn PowerShell-opdracht (als we de bovengenoemde aanval als voorbeeld nemen ), zou een MFA-verzoek hebben aangeroepen dat tot goedkeuring zou hebben verhinderd dat de opdracht kon worden uitgevoerd?

Safe-T's ZoneZero® MFA-oplossing

Ik ben blij te kunnen zeggen dat wat ik hierboven beschreef, niet langer een droom is. Safe-T ZoneZero MFA is de eerste zero-trust netwerktoegang (ZTNA) -oplossing ooit die is ontworpen om gecentraliseerde MFA toe te voegen aan elk bedrijfsmiddel (systeem, server, gegevens, applicatie, enz.).

Verbeterde en continue gebruikersauthenticatie is een van de belangrijkste componenten in zero-trust netwerktoegang. Identificatieproviders en multifactorauthenticatieproviders hebben het authenticatieproces verbeterd, maar de leidende ‘klantgebaseerde’ benadering zorgt voor uitdagingen op het gebied van integratie en onderhoud. Bovendien zijn veel niet-webtoepassingen van nature niet compatibel met MFA.

Safe-T's ZoneZero MFA gecentraliseerde aanpak stelt klanten in staat om eenvoudig multi-factor authenticatie (sms, push-berichten, biometrisch, Telegram, WhatsApp, REST API) en identiteitsbewustzijn te integreren in alle toegangsscenario's - externe en interne gebruikers, VPN's, web en niet- web applicaties.

Dit product maakt deel uit van het ZoneZero Perimeter Access Orchestration-platform dat centraal beheer van alle beveiligde toegangstechnologieën biedt en organisaties helpt om zero-trust netwerktoegang (ZTNA) te bereiken.

 

 

Met Safe-T ZoneZero® MFA - kunt u voorkomen dat hackers zich door uw netwerk verplaatsen!

Door ZoneZero MFA in het netwerk te implementeren, is het nu mogelijk om ervoor te zorgen dat elk verzoek van een gebruiker / applicatie aan een applicatie een MFA-actie oproept, bijvoorbeeld een sms-bericht dat naar de IT-beheerder of relevante applicatieontwikkelaar wordt gestuurd. Totdat er op de MFA is gereageerd, wordt de uitvoering van de opdracht verhinderd.

Een dergelijke mogelijkheid zou de aanvalsvector van laterale beweging volledig hebben voorkomen, omdat bij de eerste poging om een ​​PowerShell-opdracht uit te voeren, de IT van het bedrijf op de hoogte zou zijn gebracht en de alarmen zouden zijn gaan afgaan

 

.

De oplossing - ‘Safe-T ZoneZero® MFA’

• Gecentraliseerde aanpak - Geen integratie aan de clientzijde
• Naadloze integratie - Snelle implementatie
• Voeg MFA-mogelijkheden toe aan legacy-applicaties, propriëtaire services, RDP,
• bestandsshares, SSH, SFTP, VMWare, enz.

 

    Upgrade 2FA naar echte MFA

    Optimaliseer de kosten van implementatie en eigendom

• Ingebouwde MFA of integratie met MFA,
•  IdP's van derden - sms, push, biometrisch, telegram, WhatsApp, REST API
• Ondersteuning voor continue authenticatie
• Beleid voor toegangscontrole voor interne gebruikers
• Gebruiker> App en app> App-gebruiksscenario's

 

    Maak een einde aan fraude met identiteitsovernames en lever een naadloze gebruikerservaring!

    Heb je vragen over andere diensten van Omerta, vul dan hieronder je gegevens in.

    

First Name
Last Name
Email
Company
City
Phone