在FireEye和SolarWinds违规之后,您的故障保险是什么?
职业黑客David" Moose" Wolpoff是Randori的首席技术官和联合创始人,Randori是一家建立连续红队平台的公司。
关于FireEye违规的消息以及宣布美国财政部,国土安全部以及可能的其他几个政府机构遭到黑客入侵的消息,使安全行业产生了不小的反响(至少部分是由于对SolarWinds的供应链攻击)。
这些违规行为提醒人们,没有人可以免受风险或被黑客攻击。毫无疑问,FireEye和SolarWinds都非常重视安全性,但是每个公司都面临着同样的现实:妥协是不可避免的。
我判断这些事件的方式不是根据某个人是否被黑客入侵,而是取决于对手需要付出多少努力才能将折衷方案转变为有意义的违规行为。我们听说FireEye在保护敏感工具和访问方面投入了精力和执行力,迫使俄罗斯人付出了惊人的努力来破坏安全性。
FireEye致力于发布对策工具的速度可以看到更多证据,证明了FireEye致力于安全性。尽管Solarwinds的违规行为立即造成了惊人的后果,但在我们了解整个事件的细节之前,我将保留有关SolarWinds的意见,因为尽管穿越供应的违规行为应该极为罕见,但它们永远不会完全停止。
综上所述,这个消息对我来说并不奇怪。安全组织是对抗的首要目标,我希望像俄罗斯这样的民族国家竭尽全力阻止FireEye保护其客户的能力。 FireEye与许多企业组织建立了可信赖的关系,这使其成为从事间谍活动的多汁目标。 SolarWinds拥有众多的政府和大型企业客户,是希望最大程度地努力的对手的理想目标。
Hack Solarwinds一次,俄罗斯获得了许多尊贵的客户。这不是民族国家的对手第一次进入供应链。它也不可能是最后一个。
对于安全领导者来说,这是一个反思他们对技术解决方案的依赖和信任的好机会。这些违规行为提醒人们注意看不见的风险债务:组织通过其提供者积累了很多潜在的危害,而这些危害通常没有得到适当的对冲。
人们需要问一个问题:“当我的MSSP,安全厂商或任何技术厂商受到威胁时会发生什么?”不要孤立地看待Solarwinds骇客。查看可以将更新推送到您的环境中的每个供应商。
您需要期望FireEye,SolarWinds和您环境中的所有其他供应商最终会受到损害。发生故障时,您需要知道:“我的其余计划是否足够,我的组织会具有弹性吗?”
如果您的安全程序严重依赖于FireEye(请参阅:这是主要的安全平台),则您的安全程序取决于FireEye实施,执行和审核其自己的程序,那么您和您的管理人员就可以做到这一点。
通常,组织购买单个安全解决方案来涵盖多个功能,例如其VPN,防火墙,监视解决方案和网络分段设备。但是,那么您就有了单点故障。如果包装盒停止工作(或被黑客入侵),则所有操作都会失败。
从结构的角度来看,很难让SolarWinds这样的东西成为折衷点,并且不会产生广泛的影响。但是,如果您信任Solarwind的Orion平台与您环境中的所有内容进行对话和集成,那么您就有可能不会发生此类破坏。当我考虑使用任何工具(或服务)时,我经常会问的一个问题是:“当这件事失败或被黑客入侵时,我将如何知道并且该怎么办?”
有时答案可能很简单,例如“那是一个保险级别的事件”,但是我更多的时候是在考虑其他方法来向防御者传达信号。在这种情况下,当Solarwinds是媒介时,堆栈中的其他内容是否仍会指示我的网络正在向俄罗斯发送流量?
设计弹性的安全程序并不容易;实际上,这是一个很难解决的问题。没有任何产品或供应商是完美的,这是一次又一次的证明。您需要使控件彼此层叠。在“发生什么情况”场景中运行。专注于纵深防御和向前防御的组织将处于更具弹性的地位。黑客获得这些商品要经历多少次失败?要使关键数据最终掌握在俄罗斯手中,应该花费不止一个不幸。
考虑概率和可能性并进行控制以防止意外更改基准安全至关重要。最小特权应为默认特权,并且大量分段应防止快速横向移动。监视和警报应触发响应,如果发生任何野蛮偏差,则应激活故障保险柜。运行一个红队安全程序,查看您的堆叠情况并从错误中学习。
FireEye漏洞的安全性影响很大。实际上,俄罗斯已经拥有与FireEye相当的工具。因此,尽管专家们可能想利用工具本身大放异彩,但这不太可能让人想起其他漏洞,例如2017年NSA工具的漏洞。
国家安全局(NSA)发行的漏洞利用程序非常引人注目,并且立即可供对手使用,这些漏洞导致影子经纪人遭到黑客入侵后,该行业暂时增加了风险。 )。在FireEye案中,由于似乎没有采取零时差或漏洞利用措施,因此我认为该漏洞不会造成重大冲击。
如此大规模的违规行为将会发生。如果您的组织需要抵制它们,那么最好为它们做准备。