In plaats van het einde van het jaar rustig af te ronden, waren de al zo drukbezette beveiligingsteams de afgelopen tijd hard aan het werk om ervoor te zorgen dat hun organisaties veilig zijn in de nasleep van de onthulling van SolarWinds. Aanvallers kwamen binnen via een kwetsbaarheid van het Orion-software build-systeem. Tot 18.000 klanten van SolarWinds hadden vervolgens niets in de gaten.
Terwijl de wereld zich concentreert op de groeiende lijst van organisaties die is gecompromitteerd, is er ook een groeiende lijst van organisaties die in de veronderstelling leeft dat alles op orde is. Vele hebben de aanpak gekozen dat als ze geen SolarWinds (of een bepaalde versie ervan gebruiken), ze weer normaal kunnen werken. Ik zag een securityonderzoeker een foto posten van een glas whisky met ijs en een sigaar terwijl hij andere securityprofessionals aanbeveelt een pauze te nemen, omdat hij denkt dat dit nog een lange winter gaat worden.
Er is iets mis met deze foto. Cyberactiviteit zal omhooggaan, niet omlaag. Als we allemaal al dachten dat cybersecurity belangrijk was, heeft 2020 dat nog maar eens bevestigd. Jouw fysieke winkel is gesloten, je medewerkers werken allemaal vanuit thuis. Je hele bedrijf is net digitaal gegaan.
Wake-up call
Tegen deze achtergrond heeft SolarWinds zwakke plekken in de infrastructuur van organisaties blootgelegd. Het is verbazingwekkend hoeveel organisaties er in de afgelopen tijd moeite hadden om erachter te komen waar ze gerelateerde producten gebruikten, en hoeveel, en welke werden beïnvloed. De volgende keer zou het niet zo lang mogen duren.
Mijn boodschap is niet voor de bedrijven die hebben bevestigd dat ze zijn geschonden, het is voor degenen die vieren dat ze deze dans zijn ontsprongen. Dit is een wake-up call om cybersecurity te moderniseren. Er zijn directe gebieden waarop organisaties zich moeten concentreren om zich voor te bereiden.
Het is van cruciaal belang dat organisaties hun omgeving begrijpen met een volledige, nauwkeurige en up-to-date basis. Dit betekent verder gaan dan alleen controleren of ze SolarWinds gebruiken. Te veel organisaties weten niet wat ze allemaal hebben, en datgene wat ze hebben is niet bijgewerkt naar de meest recente versies (ironisch genoeg heeft dit duizenden SolarWinds-klanten bespaart omdat zij traag waren met het downloaden van de besmette update). Je wilt niet dagen van jouw reactietijd voor kritieke incidenten besteden aan het uitzoeken van wat je precies gebruikt. Organisaties moeten onmiddellijk een gedetailleerde analyse maken van hun volledige systemen, infrastructuur, software, toeleveringsketens en externe aanvalsoppervlak. Flexibele organisaties zullen deze aanvallen in de toekomst niet alleen detecteren en voorkomen, maar met deze basis in staat zijn om snel forensisch onderzoek uit te voeren.
Slim genoeg
Repareer onze infrastructuur echt. Enterprise-it-architecturen moeten alle logboek-, netwerk- en beveiligingsdata met elkaar laten praten, met software die slim genoeg is om nuttige dingen in die data te identificeren. Deze campagne had eerder kunnen worden stopgezet als producten meer geïntegreerd waren. Organisaties moeten zich richten op een cybersecurityplatform dat miljoenen gebeurtenissen tussen hosts, netwerken, firewalls en clouds in realtime kan detecteren en correleren, en vervolgens uitgebreide detectie en respons kan implementeren. Hackers gebruiken zeer efficiënte tools en methodologieën. Organisaties moeten de efficiëntie van een cybersecurityplatform omarmen dat wordt aangedreven door machine learning om bij te blijven.
Dit doet ertoe om de volgende reden: technologie is ongeveer alles wat goed ging in 2020. Toen de pandemie begon, hield toegang op afstand bedrijven en overheden in beweging. Retailers gingen digitaal omdat het de enige manier was om te overleven. Maar dat betekent dat we een steeds groter wordende perimeter beschermen tegen aanvallen die aan vooruitstrevendheid winnen.
Massale ddos-aanvallen
De aanval van de groep die we SolarStorm noemen, voegt zich bij de lijst van cybersecurity-omslagpunten: massale ddos- en cyberovervallen die onze financiële diensteninfrastructuur aantasten, wiper-aanvallen die bedrijven en energieproductie verlamden, diefstal van overheidsgeheimen en de NotPetya-aanslag die havens, farmaceutische fabrieken en productie- en nutsbedrijven stillegde en miljarden dollars aan verliezen kostte.
Honderd procent preventie in honderd procent van de tijd is onmogelijk. Op een gegeven moment moet je leveranciers en de beveiligingsupdates die ze bieden, vertrouwen. Maar tegen slechteriken die altijd proberen ons te overtreffen, moet beveiliging proactief en toekomstbestendig zijn. Als je een aanval niet in realtime kunt voorkomen, moet je deze bijna in realtime detecteren en onderzoeken. De dagen van gefragmenteerde beveiliging en lange onderzoekscycli liggen achter ons. We hebben goede data en echte ai nodig om vooruit te komen.
Dit is niet het moment om een zucht van verlichting te slaken dat jij er geen last van hebt. Geavanceerde hackers zijn jaren bezig met het plannen van campagnes. We moeten vergelijkbare middelen besteden aan onze verdediging. Laten we ons voorbereiden zodat we de nieuwe, onvermijdelijke aanval kunnen voorkomen, en we niet achter de feiten aanlopen.
Auteur: Nikesh Arora, ceo Palo Alto Networks