Am 8. Dezember 2020, FireEye angekündigt die Entdeckung eines Verstoßes in der SolarWinds Orion-Software während der Untersuchung eines bundesstaatlichen Angriffs auf sein Red Team-Toolkit. Fünf Tage später, am 13. Dezember 2020, SolarWinds Auf Twitter gepostet, und fordert „alle Kunden auf, sofort auf die Orion-Plattform-Version 2020.2.1 HF 1 zu aktualisieren, um eine Sicherheitslücke zu schließen.“ Es war klar: SolarWinds – das in Texas ansässige Unternehmen, das Software zur Verwaltung und zum Schutz von Netzwerken, Systemen und IT-Infrastruktur entwickelt – war gehackt worden.
Noch besorgniserregender war die Tatsache, dass die Angreifer, die die US-Behörden inzwischen mit russischen Geheimdiensten in Verbindung gebracht haben, etwa 14 Monate vor der Bekanntgabe des Hacks die Hintertür gefunden hatten, über die sie in das System des Unternehmens eingedrungen waren. Der SolarWinds-Hack ist mittlerweile fast drei Jahre alt, aber seine Nachwirkungen wirken sich weiterhin auf die gesamte Sicherheitswelt aus.
Seien wir ehrlich: Das Unternehmen ist ständig bedroht – sei es durch oder durch böswillige Akteure die aus finanziellen Gründen angreifen, oder hartgesottene Cyberkriminelle, die Daten, Kronjuwelen, bei bundesstaatlichen Angriffen entwenden und als Waffe nutzen. Heutzutage kommt es jedoch immer häufiger zu Angriffen auf die Lieferkette, da Bedrohungsakteure weiterhin Systeme und Agenten von Drittanbietern ausnutzen, um Unternehmen anzugreifen und deren Sicherheitsbarrieren zu durchbrechen. Gartner prognostiziert, dass bis 2025 „45 % der Organisationen weltweit werden Angriffe auf ihre Software-Lieferketten erlebt haben“, eine Vorhersage, die in der Welt der Cybersicherheit für Aufsehen gesorgt hat und dazu geführt hat, dass immer mehr Unternehmen damit beginnen, Prioritäten zu setzen Risikomanagement in der digitalen Lieferkette.
Obwohl dies die richtige Richtung für Unternehmen ist, bleibt die Frage bestehen: Welche Lehren haben Unternehmen aus einem Cyberangriff gezogen, der über den Gang gelaufen ist, um ihn abzuwehren? Große Unternehmen und wichtige Regierungsbehörden mit weitreichenden Folgen auch in Ländern außerhalb der Vereinigten Staaten?
Um besser zu verstehen, was mit dem Angriff passiert ist und wie sich Unternehmen auf Eventualitäten wie den SolarWinds-Hack vorbereiten können, kontaktierte Dark Reading den SolarWinds-CISO Tim Brown, um sich drei Jahre später eingehender mit dem Vorfall und den gewonnenen Erkenntnissen zu befassen.
1. Zusammenarbeit ist für die Cybersicherheit von entscheidender Bedeutung
Brown gibt zu, dass der Name SolarWinds andere als Erinnerung daran dient, es besser zu machen, Schwachstellen zu beheben und ihre gesamte Sicherheitsarchitektur zu stärken. Da wir wissen, dass alle Systeme angreifbar sind, ist die Zusammenarbeit ein wesentlicher Bestandteil der Cybersicherheitsbemühungen.
„Wenn man sich die Gespräche über die Lieferkette anschaut, die jetzt geführt werden, geht es jetzt um die Vorschriften, die wir einführen sollten, und um die Frage, wie öffentliche und private Akteure besser zusammenarbeiten können, um Gegner aufzuhalten“, sagt er. „Unser Vorfall zeigt, dass die Forschungsgemeinschaft zusammenkommen könnte, weil dort so viel los ist.“
Nachdem Brown an vorderster Front des vielleicht größten Sicherheitsverstoßes der letzten Jahre gestanden hat, weiß er, dass die Zusammenarbeit für alle Cybersicherheitsbemühungen von entscheidender Bedeutung ist.
„Es wurden viele Gespräche über das Vertrauen zwischen Einzelpersonen, der Regierung und anderen geführt“, sagt er. „Unsere Gegner tauschen Informationen aus – und wir müssen das Gleiche tun.“
2. Messen Sie Risiken und investieren Sie in Kontrollen
Keine Organisation ist 100 % sicher, 100 % der Zeit, wie der SolarWinds-Vorfall gezeigt hat. Um die Sicherheit zu erhöhen und ihre Perimeter zu verteidigen, rät Brown Unternehmen zu einem neuen Ansatz, bei dem sich die Rolle des CISO von einem Geschäftspartner zu einem Risikobeauftragten entwickelt. Der CISO muss Risiken auf eine Art und Weise messen, die „ehrlich, vertrauenswürdig und offen“ ist, und in der Lage sein, über die Risiken zu sprechen, denen er ausgesetzt ist, und darüber, wie er sie kompensiert.
Durch den Einsatz können Organisationen proaktiver werden und Fallen abwehren, bevor sie zuschlagen künstliche Intelligenz (KI), maschinelles Lernen (ML) und Data Mining, erklärt Brown. Obwohl Unternehmen KI nutzen können, um die Erkennung zu automatisieren, warnt Brown, dass es notwendig sei, KI richtig zu kontextualisieren.
„Einige der Projekte da draußen scheitern, weil sie versuchen, zu groß zu sein“, sagt er. „Sie versuchen, den Kontext zu ignorieren und stellen nicht die richtigen Fragen: Was machen wir manuell und wie können wir es besser machen?“ Sie sagen vielmehr: „Oh, das könnten wir alles mit den Daten machen“ – und das ist nicht unbedingt das, was man braucht.“
Laut Brown müssen Führungskräfte die Details des Problems verstehen, auf welches Ergebnis sie hoffen und sehen, ob sie es als richtig erweisen können.
„Wir müssen einfach den Punkt erreichen, an dem wir die Modelle am richtigen Tag nutzen können, um an Orte zu gelangen, an denen wir noch nie zuvor waren“, sagt er.
3. Bleiben Sie kampfbereit
IT-Führungskräfte müssen ihren Gegnern immer einen Schritt voraus sein. Es ist jedoch nicht alles Untergang und Finsternis. Der SolarWinds-Hack war ein Katalysator für so viel großartige Arbeit im gesamten Bereich der Cybersicherheit, sagt Brown.
„Derzeit werden viele Anwendungen in der Lieferkette entwickelt, die einen Katalog aller Ihrer Vermögenswerte führen können, sodass Sie Bescheid wissen, wenn in einem Teil des Bausteins eine Schwachstelle auftritt, und beurteilen können, ob Sie betroffen waren oder nicht ," er sagt.
Dieses Bewusstsein, fügt Brown hinzu, kann dabei helfen, ein System aufzubauen, das zur Perfektion tendiert und in dem Unternehmen Schwachstellen schneller identifizieren und entschieden angehen können, bevor böswillige Akteure sie ausnutzen können. Dies ist auch eine wichtige Kennzahl, da Unternehmen dem Ziel immer näher kommen Zero-Trust-Reifemodell vorgeschrieben durch die Cybersecurity and Infrastructure Security Agency (CISA).
Brown sagt, er sei zuversichtlich, dass diese Lehren aus dem SolarWinds-Hack Unternehmensführern dabei helfen werden, ihre Pipelines zu sichern und im sich ständig weiterentwickelnden Cybersicherheitskrieg kampfbereit zu bleiben.
