Όπως ισχυρίζεται η Microsoft, οι τεχνικές που χρησιμοποίησαν οι hackers της SolarWinds, ήταν εξελιγμένες αλλά συνηθισμένες και αποτρέψιμες.Για να αποφευχθούν μελλοντικές επιθέσεις παρόμοιων επιπέδων πολυπλοκότητας, η Microsoft συνιστά στους οργανισμούς να υιοθετήσουν τη νοοτροπία «zero trust».
Στην ουσία αυτό σημαίνει ότι οι οργανισμοί πρέπει να θεωρούν ότι κάθε τμήμα των συστημάτων τους είναι ανά πάσα στιγμή σε κίνδυνο και να επαληθεύουν ρητά την ασφάλεια των λογαριασμών χρηστών, των τελικών συσκευών, του δικτύου και άλλων πόρων.
Όπως σημειώνει ο Alex Weinert, director of identity security στη Microsoft, οι τρεις βασικοί φορείς επίθεσης είναι οι παραβιασμένοι λογαριασμοί χρηστών, οι παραβιασμένοι λογαριασμοί προμηθευτών και το παραβιασμένο λογισμικό προμηθευτή.
Χιλιάδες εταιρείες επηρεάστηκαν από την παραβίαση της SolarWinds, η οποία αποκαλύφθηκε στα μέσα Δεκεμβρίου. Η ομάδα hacking γνωστή ως UNC2452 / Dark Halo, στόχευσε το περιβάλλον κατασκευής για το λογισμικό Orion της SolarWinds.
Σύμφωνα με τον Weinert, οι επιτιθέμενοι εκμεταλλεύτηκαν κενά στην «ρητή επαλήθευση» σε καθέναν από τους κύριους φορείς.
“Όπου παραβιάστηκαν οι λογαριασμοί χρηστών, χρησιμοποιήθηκαν γνωστές τεχνικές όπως password spray, ηλεκτρονικό ψάρεμα (phishing) ή κακόβουλο λογισμικό για παραβίαση των διαπιστευτηρίων χρήστη, δίνοντας στον εισβολέα πρόσβαση στο δίκτυο πελατών“, γράφει ο Weinert.
Υποστηρίζει ότι τα συστήματα ταυτότητας που βασίζονται σε cloud όπως το Azure Active Directory (Azure AD) είναι πιο ασφαλή από τα συστήματα ταυτότητας εσωτερικής εγκατάστασης, επειδή το τελευταίο δεν διαθέτει προστασία που υποστηρίζεται από το cloud.
Σε περιπτώσεις όπου οι hackers πέτυχαν, ο Weinert σημειώνει ότι οι προνομιακοί λογαριασμοί προμηθευτών δεν είχαν πρόσθετες προστασίες όπως έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), περιορισμούς εύρους IP, συμμόρφωση συσκευών ή κριτήρια πρόσβασης. Η Microsoft διαπίστωσε ότι το 99,9% των παραβιασμένων λογαριασμών που παρακολουθεί κάθε μήνα δεν χρησιμοποιούν MFA.
Αυτή η τεχνική επίθεσης θα μπορούσε επίσης να αποτραπεί εάν υπήρχαν αυστηρότερα δικαιώματα σε λογαριασμούς χρηστών και συσκευές.
“Η πρώτη αρχή του Zero Trust είναι να επαληθεύσετε ρητά ότι έχετε επεκτείνει την επαλήθευση σε όλα τα αιτήματα πρόσβασης, ακόμη και σε αυτά που προέρχονται από προμηθευτές και ειδικά σε αυτά που προέρχονται από εσωτερικές εγκαταστάσεις.”
Ο Weinert παραδέχεται ότι η εισβολή στη SolarWinds ήταν μία «πραγματικά σημαντική και προηγμένη επίθεση», αλλά οι τεχνικές που χρησιμοποίησαν μπορούσαν να μετριαστούν με αυτές τις βέλτιστες πρακτικές.
