18.12.2020 - Newsflash
Wie können sich Unternehmen gegen hochspezialisierte Angriffe schützen, wenn selbst Sicherheitsfirmen oder das Pentagon deren Opfer werden?
Hacking Angriffe auf SolarWinds-Kunden
Kiel – SolarWinds vertreibt weltweit Netzwerk- und Sicherheitsprodukte an mehr als 300.000 Kunden, zu denen auch das US-Militär und das Pentagon zählen. Nach jetzigem Stand wurden laut Angaben des Herstellers Software Builds der SolarWinds® Orion® Plattform für die Versionen 2019.4 HF 5, 2020.2 und 2020.2 HF 1 mit einem Remote-Access-Trojaner namens „Sunburst“ infiltriert. Das Tor für Cyberangriffe auf die betroffenen Systeme wurde so weit geöffnet.
Wie sollten kompromittierte Unternehmen sofort reagieren?
Meist ist eine forensische Analyse sowie ein nachfolgendes Neuaufsetzen der betroffenen Systeme samt der erreichbaren Netzwerkkomponenten unumgänglich. Denn in der Regel machen sich die Angreifer erst nach einigen Tagen ans Werk. Sie verwenden den Zugang über den Trojaner oft unentdeckt bis zu mehreren Wochen für ein Lateral Movement (verstecktes Vorgehen und Verbreiten) und Angriff auf weitere Systeme in der betroffenen Firma. Im Idealfall steht ein Incident-Response-Team bereit, um die Schwachstellen zu finden und den Angreifer sofort unschädlich zu machen. Im nächsten Schritt sollte eine Schadensanalyse durch Sicherheitsexperten erfolgen.
Können Unternehmen überhaupt noch präventiv agieren in solchen Fällen?
Intrusion-Detection- und Prevention-Lösungen (IDS/IPS) können solche Angriffe erkennen und verhindern. Ein leistungsfähiges Vulnerability Management bezieht dabei nicht nur die Software und Hardware mit ein, sondern über User Behavior Analysis (UBA) auch den Menschen, der diese bedient. Ein Logging mit passendem SIEM-System würde ungewöhnliche Datenströme des Trojaners aufdecken.
Herstellerseitig hätte die jetzige Lage verhindert werden können durch eine strukturierte Deployment Chain mit Unit-Tests und automatischer Codeanalyse sowie einer strikten Versionierung und Versionsprüfung.
Die Security-Experten von Consist unterstützen daher nicht nur im Akutfall mit der Wiederherstellung des ordentlichen Betriebs, sondern auch beim Aufbau eines effizient und präventiv wirksamen Sicherheitssystems.
Weitere Informationen:
- Consist-Security: de/it-security
- SolarWinds-Trojaner: de/news/Trojaner-in-SolarWinds-Updates-ermoeglicht-Cyberangriffe
- SolarWinds Security Advisory: solarwinds.com/securityadvisory
Download des Bildes in hoher Auflösung
Nicht jedes Sicherheitssystem hält Hackerangriffen stand
