#RSAC: Lehren aus dem Solarwinds-Sunburst-Angriff

  • Einer der folgenreichsten Angriffe der letzten Jahre war der SolarWinds-Angriff im Jahr 2021, bei dem Malware eingesetzt wurde, die heute als Sunburst bekannt ist.

    In einer Podiumsdiskussion auf der RSA Conference 2022 nahmen Sudhakar Ramakrishna, Präsident und CEO von SolarWinds, Kevin Mandia, CEO von Mandiant, Jen Easterly, Direktorin der Cybersecurity and Infrastructure Security Agency (CISA) und Moderator Niloofar Razi, Senior Operating Partner von Energy Impact Partners teil. Die Diskussionsteilnehmer erörterten die Lehren, die aus dem Vorfall bei SolarWinds gezogen wurden, sowie die Frage, wie Behörden, Sicherheitsanbieter und Privatunternehmen zusammenarbeiten können, um die Sicherheit zu verbessern.

    Easterly sagte, dass der ursprüngliche Angriff auf SolarWinds weder von SolarWinds noch von der US-Regierung entdeckt wurde, sondern von Mandiants Vorgängerunternehmen FireEye.

    „Der SolarWinds-Angriff wurde, obwohl er viele Regierungsbehörden betraf, von einem privaten Unternehmen entdeckt“, so Easterly. „Das hat mich wirklich gelehrt, wie wichtig es ist, ein Modell aufzubauen, bei dem der private Sektor und die Regierung zusammenarbeiten, um die Teile des Puzzles zusammenzusetzen.“

    SolarWinds – Lehren aus der Offenlegung

    Ramakrishna kam als CEO zu SolarWinds, als die Informationen über den Angriff gerade bekannt wurden.

    „Es genügt zu sagen, dass ich unter ungewöhnlichen Umständen zum Unternehmen gekommen bin“, sagte er.

    [Blocked Image: https://assets.infosecurity-magazine.com/content/span/c80d1196-dd03-4acc-a385-888f799a319f.jpg]

    Obwohl der Vorfall eine große Herausforderung darstellte, sagte Ramakrishna, er sei stolz auf den Ansatz, den sein Unternehmen bei der Offenlegung und Behebung der Probleme verfolgte. Er sagte, dass SolarWinds von Beginn des Vorfalls an bemüht war, transparent zu machen, was es über den Angriff wusste und was nicht.

    Die Zusammenarbeit und Kommunikation mit Sicherheitspartnern und der US-Regierung sowie das Gefühl der Dringlichkeit, etwas zu tun, um die Risiken zu mindern, waren ebenfalls ein wichtiger Bestandteil des Prozesses. Ramakrishna sagte, dass es während des gesamten Angriffsvorfalls auch wichtig war, Demut zu zeigen.

    „Mit Bescheidenheit meine ich das Bestreben, ständig zu lernen, zu iterieren und zu verbessern“, sagte er.

    Bei dem Sunburst-Angriff handelt es sich um einen so genannten Supply-Chain-Angriff, der laut Ramakrishna nicht unbedingt etwas Neues ist. Das Neue an dem Angriff war seiner Meinung nach die Raffinesse der Angreifer. Er erklärte, dass die Angreifer innerhalb weniger Mikrosekunden bösartigen Code in das SolarWinds-Software-Build-System einschleusen konnten, und zwar auf eine Art und Weise, die für jedes Tool sehr schwer zu erkennen war.

    Mandia, dessen Unternehmen ebenfalls von dem SolarWinds-Angriff betroffen war, erklärte, dass die Angreifer sehr genau darauf achteten, was sie von den Opfern erbeuteten. Mandia erklärte, dass die Sunburst-Angreifer Schlüsselwortsuchen durchführten, die für jedes Opfer spezifisch waren, und es vor allem auf E-Mails abgesehen hatten. Mandia merkte an, dass er sofort nach Bekanntwerden des Angriffs wusste, dass es sich um eine große Sache handelte, die so schnell wie möglich auf verantwortungsvolle Weise bekannt gemacht werden musste.

    „Ich glaube, der Grund, warum der Angriff so viel Aufmerksamkeit erregt hat, war nicht so sehr die Bösartigkeit des Codes, der injiziert wurde, sondern vielmehr die Technik, die dahinter steckte“, sagte Ramakrishna. „Es handelte sich nicht um einen gewöhnlichen Virus oder Ransomware, die implementiert wurde, um in kürzester Zeit den größtmöglichen Schaden anzurichten.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com