SECURITY

Splunks Reaktion auf die SolarWinds-Cyberangriffe

Seit Mitte Dezember und über die gesamten Feiertage 2020 habe ich mit Splunk-Kunden und unserem eigenen Team bei Splunk über die Cyberangriffe auf die Softwareplattform SolarWinds Orion gesprochen. Splunk war zwar nicht direkt von diesem Vorfall betroffen, doch als führender Anbieter für Sicherheitslösungen möchten wir alle Betroffenen mit Tools, Tipps und Support unterstützen. Es ist für unsere gesamte Branche von entscheidender Bedeutung, dass wir Cyber-Sicherheitsbedrohungen gemeinschaftlich abwehren und Informationen über solche Ereignisse austauschen.

Eine kurze Zusammenfassung der Geschehnisse:

  • Raffinierte Angreifer, die mutmaßlich für eine ausländische Regierung arbeiten, versteckten Malware in einem Update der SolarWinds Orion-Software.
  • Mit dieser Malware, die mit der Angriffskampagne namens Sunburst zusammenhängt, konnten die Angreifer die Systeme von SolarWinds Orion-Kunden infiltrieren und erlangten dadurch Zugang zu weiteren Informationen und Systemen.
  • Betroffen waren unter anderem das Cybersicherheitsunternehmen FireEye und US-Regierungsbehörden wie das Finanzministerium, das Handelsministerium und das Ministerium für Innere Sicherheit. Und auch deutsche Behörden hatten bzw. haben die SolarWinds-Software im Einsatz (die FAZ berichtete).
  • Nach dem erfolgreichen Eindringen machten sich die Angreifer interne Tools zu eigen, mit denen FireEye Schwachstellen in den Netzwerken seiner Kunden aufdeckt.
  • Mittlerweile ist im Zuge dieser Angriffe eine weitere Bedrohung namens Supernova entdeckt worden, wobei sich hier die Lage ständig verändert und neue Erkenntnisse gewonnen werden. Wir werden die Situation auf jeden Fall weiterhin aufmerksam verfolgen. 
     

Splunk tut wirklich alles, um unsere Kunden, die SolarWinds Orion verwenden, zu unterstützen und relevante Informationen auch mit der erweiterten Community zu teilen.

  • Wir haben eine Webseite eingerichtet, auf der wir nützliche und relevante Informationen über den Angriff veröffentlichen und die wir laufend aktualisieren.
  • Wir haben einen Blogbeitrag gepostet, der erläutert, wie unsere Kunden Splunk einsetzen können, um das kompromittierte Update der SolarWinds-Software in ihrer Umgebung aufzuspüren. 
  • Wir haben eine Mitteilung an unsere Kunden veröffentlicht, in der wir ihnen unsere volle Unterstützung versichern und erklären, wie sie uns erreichen, falls sie vermuten, dass sie Opfer des Angriffs sind.
  • Zur Aufklärung über unsere eigene Gefährdungslage sind wir proaktiv auf unsere Kunden zugegangen bzw. haben an uns gerichtete Fragen diesbezüglich beantwortet.

Darüber hinaus haben wir Maßnahmen ergriffen, um den Schutz von Splunk als Unternehmen zu erhöhen: 

  • Das Splunk Security-Team verfolgt und bewertet die in der Branche und in den Medien gemeldeten Sicherheitsrisiken kontinuierlich. Wir haben sofort Maßnahmen ergriffen, um die Sicherheit unserer Systeme und unseres Codes vor dem SolarWinds-Angriff zu gewährleisten.
  • Wir haben dabei keinerlei Hinweise darauf gefunden, dass unsere internen Splunk-Systeme in irgendeiner Weise von den SolarWinds-Angriffen betroffen waren, da wir keine Kunden von SolarWinds Orion sind.
  • Wir überwachen unsere Umgebung ständig auf Anzeichen von Sunburst und anderer Malware. 
  • Als zusätzliche Vorsichtsmaßnahme haben wir überprüft, dass alle verfügbaren Patches und Sicherheitsprotokolle zum Schutz vor den bei FireEye gestohlenen Hacking-Tools implementiert sind. 
     

Die Auswirkungen des SolarWinds-Angriffs werden uns auch 2021 weiterhin beschäftigen. Wir bei Splunk bleiben wachsam und suchen weiter engagiert nach Möglichkeiten, um unsere Kunden, Partner und die gesamte Branche bei ihren Maßnahmen zu unterstützen. Besucht auf jeden Fall unsere Seite mit weiteren Informationen und Hilfestellungen zu den SolarWinds-Angriffen um stets von den neuesten Materialien und Informationen zu profitieren.

*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier: Splunk’s Response to the SolarWinds Cyberattacks.

Splunk
Posted by

Splunk

TAGS
Show All Tags
Show Less Tags