
Supply Chain Attack zoals SolarWinds Orion voorkomen? Dit is de oplossing.
De Supply Chain Attack op het SolarWinds Orion platform had een van de grootste hack voorkomen kunnen worden. Dé oplossing voor het bedrijfsleven, (semi-)overheden en geheime diensten: ZoneZero MFA.
In 2020 heeft een van de grootste cyberaanvallen ter wereld plaatsgevonden. Een aanval waarbij de kwetsbaarheid binnen het SolarWinds Orion Platform werd achterhaald. Hackers wisten met behulp van hun malafide code door te dringen in één van de DLL-bestanden op het Orion-platform. Zo konden zij verbinding maken met command- en controleservers (C2), waarmee ze zelf aanvalscommando's op afstand konden uitvoeren. Deze aanpak zorgde ervoor dat zij ongezien de netwerken van gedupeerden konden binnendringen en lange tijd hun gang konden gaan. Dit is uiteraard een verkorte versie van hoe de cyberaanval in werkelijkheid heeft plaatsgevonden.
Onder de gedupeerden waren veel overheidsorganisaties en vitale sectoren, waardoor de impact van de hack letterlijk levens had kunnen kosten. Leveranciers zoals FireEye en Microsoft zijn om deze reden begonnen met diepgaand onderzoek om een dergelijke cyberaanval in de toekomst te voorkomen. In dit blog lees je meer over hóe de hackers te werk zijn gegaan en hoe je cyberaanvallen als deze op een heel simpele manier kunt voorkomen.
Hoe de hackers bij deze cyberaanval te werk zijn gegaan
Nadat de hackers toegang hadden verkregen tot één van de DLL-bestanden, kon er verbinding worden gemaakt met de command- en controleservers (C2). Dit maakte het mogelijk voor de hackers om zelf aanvalscommando's uit te voeren. Hierna verkregen zij privilege escalation en vervolgden zij hun missie om data te stelen. Met deze lateral movement aanvallen doorkruisten ze het netwerk en waren ze in staat om alle lagen te scannen en gevoelige data te bemachtigen.
Deze Supply Chain Attack had voorkomen kunnen worden
Buiten kijf staat dat de lateral movement aanval van SolarWinds voorkomen had kunnen worden. Bij de eerste poging tot een PowerShell-opdracht hadden alle alarmbellen op de IT-afdeling keihard moeten gaan rinkelen.
FireEye laat zien dat de lateral movement aanval is uitgevoerd via PowerShell Remote Task Creation. Door grootschalig gebruik van Powershell binnen de netwerken van organisaties is het nog interessanter voor hackers om een dergelijke aanval uit te voeren, het enige dat ze immers nodig hebben is toegang tot de servers en die zijn eenvoudig te verkrijgen via andere accounts. Er wordt geen tweetraps authenticatie (2FA) gevraagd, dus eenmaal binnen betekent: 'ongestoord je gang gaan'.
"We moeten kwetsbaarheden begrijpen en een andere aanpak kiezen om een Supply Chain Attack te voorkomen. Namelijk het controleren en beveiligen van de interne processen om hackers buiten de deur te houden. Het up-to-date houden van de SolarWinds-software volstaat in deze tijd echt niet meer. Is jouw organisatie al bestand tegen een zero-day-aanval?"
De oplossing is een open deur: Multi-Factor Authenticatie
Multi-Factor Authenticatie is de sleutel waarmee je alle deuren letterlijk goed op slot zet. Zo voorkom je dat een aanvaller die je netwerk binnen is gedrongen zich zijdelings (lateral) door je netwerk beweegt (ZoneZero SDP 2020).
Door het toevoegen van Multi-Factor-Authenticatie (MFA) aan elk systeem, iedere server en iedere applicatie in het netwerk, zorg je voor een extra autorisatie laag. Wanneer de hacker toegang wil verkrijgen tot een server en een PowerShell commando wil uitvoeren, wordt er te allen tijde een autorisatie aangevraagd, bijvoorbeeld in de vorm van een sms-code. Wordt deze MFA niet beantwoord, dan wordt de opdracht niet uitgevoerd.
Voorkom een Supply Chain Attack met Zero Trust Network Access
TerraZone heeft een gecentraliseerde MFA-oplossing ontwikkeld waarmee een Supply Chain Attack eenvoudig voorkomen kan worden. 'ZoneZero' van TerraZone kan toegevoegd worden aan systemen, servers, data en applicaties. Dit onderdeel van Zero Trust Network Access (ZTNA) biedt verbeterde en continue gebruikersauthenticatie. Deze werkwijze stelt gebruikers in staat om eenvoudig MFA (o.a. SMS, Pushberichten, biometrie, Telegram, WhatsApp, REST API) en identiteitsbewustzijn te integreren. Denk hierbij aan alle toegangsscenario’s voor interne en externe gebruikers, VPN’s en (non-)web-based applicaties.
De klantgerichte aanpak van authenticatieproviders zorgt vaak voor uitdagingen op het gebied van integratie en onderhoud. Bovendien zijn non-webbased applicaties niet vanzelfsprekend compatibel met MFA. ZoneZero zorgt voor een modulaire oplossing waarbij je zelf onderdelen aan kunt schaffen. Zo creëer je een ZTNA IT-omgeving zonder afhankelijkheid van softwarepakketten.
Voordelen van ZoneZero Perimeter Access Orchestration platform:
- Simpele oplossing voor cruciale veiligheidsissues
- Geen afhankelijkheid van softwarepakketten
- Upgrade Two-Factor-Authenticatie naar true Multi-Factor-Authenticatie
- Bestaande VPN-applicaties kunnen blijven bestaan, je hoeft geen nieuwe VPN's aan te schaffen om ZTNA te bereiken
- Er is geen aanvullende specifieke kennis nodig om het product te kunnen inzetten
- Gecentraliseerde aanpak, geen integratie aan de gebruikerszijde
- Voeg MFA-mogelijkheden toe aan applicaties, eigen diensten, RDP, file shares, SSH, SFTP, VMWare, etc.
- Ingebouwde MFA of integratie met 3rd party software MFA/IdP’s (o.a. SMS, pushberichten, biometrie, Telegram, WhatsApp, REST API)
- Toegangscontrolebeleid voor in- en externe gebruikers
Onderzoek bewijst de effectiviteit van ZoneZero MFA
ZoneZero MFA maakt een onderdeel uit van het ZoneZero Perimeter Access Orchestration-platform. Dit zorgt voor een centraal management van alle veilige toegangstechnologieën en stelt organisaties in staat om Zero Trust Network Access te bereiken. TerraZone, FireEye en Microsoft hebben de werking van deze methode onderzocht en vastgesteld dat ZoneZero MFA je beste kans is om hackers buiten de deur te houden en een Supply Chain Attack te voorkomen.
Kosten & Levertijd
Bestel je ZoneZero MFA-oplossing meteen. Wij leveren binnen 5 dagen. De ZoneZero MFA-oplossing is geschikt voor elk netwerk.