SUNBURSTは本当にゼロデイ攻撃でしたか？

SolarWinds攻撃の影響を受けたほとんどの企業は、国土安全保障省からそれについて学びました。 DHSが電話をかける前に、MSP / MSSPから学んだほうがよかったのではないでしょうか？ Stellar Cyberがあれば、すぐにわかります。

この侵害が非常に成功した理由は、攻撃者が信頼できるソース（ソフトウェアメーカー）を利用して、製品アップデートを介して、SolarWindsサーバー上の顧客のネットワーク内にコードをインストールしたためです。 これは、信頼できるサーバーやユーザーがツールキットを展開することを危うくするフィッシング攻撃やブルートフォース攻撃とそれほど違いはありません。 コードがネットワーク内にインストールされると、攻撃者はコードを注意深くスキャンして追加のデバイスを探します。 次に、スキャン中に見つけた追加の資産を悪用し始めます。 彼らの最終的な目標は、流出のためにステージングできる機密データを含むデータベースを見つけることです。

個別に行うと、これらのアクションの多くは次のいずれかになります
1）アラートをまったくトリガーしないまたは
2）複数の無関係なアラートを作成します。
欠落していたのは、多くの異なるデータソースからのイベントの相関関係であり、すべてを1つの完全なイベントにまとめることでした。

SUNBURST攻撃が公開されると、Stellar Cyberは発表から12時間以内にラボでそれをシミュレートしました。 私たちが見つけたのは、Open XDRインテリジェントSOCプラットフォームがイベントを即座に識別し、ネイティブの機械学習ベースの検出を活用して、この特定の脅威を相互に関連付けて検出したことです。 また、環境内の既存のツールを利用して、攻撃者が行ったすべての横方向の動きやその他の重要なアクションを検出しました。

このイベントをさらに脅威にしたもう1つの問題は、SolarWindsツールセットが環境内のすべてのデバイスとそのパッチレベルの完全な記録を保持することでした。 アップデートによって侵害されると、攻撃者は他のデバイスへのロードマップを提供するため、攻撃者はどのエクスプロイトが正常にロードされるかを正確に把握していました。 これは、攻撃者が昨年他のRMMメーカーを標的にしたのと同じ戦略です。

このユースケースは、サービスが手動のルールベースの検出を超えて、すべての機械学習ソリューションが同じように作成されているわけではないことを示しています。 Stellar Cyberは、単にログを取り込んで、それらを理解しようとするだけではありません。 元のログソースからセキュリティメタデータを慎重に抽出し、メタデータの関連するすべての側面に脅威インテリジェンスの複数のソースを追加し、分析する前に単一のレコード形式を作成します。 次に、教師あり、教師なし、適応型のMLモデルを活用して、通常との差異を検出し、それらを実用的なセキュリティイベントに関連付けて、国土安全保障から聞く前に顧客を保護できるようにします。