Event Recording

Lessons learnt from the Ukraine's ‘Lights Out’ Attack


When cyber attackers can bring down something as impactful as the power grid, the way we think about security needs to change.

Michael Kleist of CyberArk explains more.

gleich. Wir haben aus den Nachrichten erfahren, dass kritische Infrastrukturen Kraftwerk im Netzwerk Segmente, was Strom betrifft in der Ukraine in den letzten Monaten durch Angriffe von außen durch seine Attacken bedroht waren. Was ist da genau passiert?
In sehr kurzer Form? Die Angreifer haben sich über die Perry Meter Security hinweg einen Suche verschafft, indem sie Phishing Mails gesendet haben. Mit manipulierten Links über die Links kam die Schatz auf wer ins Haus die Pilot wurde nachgeladen. Und das, was wir den typischerweise sehen, ist das sogenannte Lettre Helmut Mann, das heißt, der Angreifer breitet sich aus mit immer breiter, immer tiefer im Netzwerk sich verankern und von da aus dann auch immer mehr Zugriffsrechte in der hierarchischen Ebene der Server Landschaft bis hin zum Domain Controller ergattern. Und von da aus hat er dann einen ultimativen Zugriff und kann im Prinzip schalten und walten, wie er will, was er in die im Fall gemacht hat und über 200.000 Leute ohne Strom da standen.
Sie als Unternehmen bieten Lösungen an, um genau das zu verhindern, um ihre Kunden vor solchen Attacken zu schützen. Wie genau tun Sie das? Was passierte
In erster Instanz ist die Perry Meter Security immer die, die überwunden wird an der Stelle sagen wir, das gehört in andere Hände. Danach kommen wir ins Spiel, weil wir sagen, Wir setzen eine eigene Sicherheits Schicht mit dazu. Das heißt auf dem End Point auf dem PC des Anwenders, der auf den manipulierten Link klickt, dort die erste Sicherheits Software zu installieren und dafür zu sorgen, dass sowohl kein Administratoren Konto darauf vorhanden ist der Local atmen, als auch das wir dort verhindern, dass bestimmte unbekannte Dinge ausgeführt werden oder gar bekannt schlechte jemals zum Zuge kommen. Da gehen wir anders vor als Anti Viren, die eine Datei suchen. Wir gucken wirklich nach Prozessen, wir gucken nach Ausführung ß Logiken, die wir dann entsprechend unterbinden oder einzigartig in einer Grey List führen. Das heißt herausfinden Ist die gut, ist die schlecht und sonst erst mal soweit einsperren, das der User nicht in seiner Arbeit gestört wird.
Der nächste Schritt ist dann, dass wir bei diesem Level muss man dafür sorgen, dass sozusagen ständig Passwort Wechsel stattfinden. Das führt dazu, dass der Angreifer nicht weiterkommt in der findet zwar einen Schlüssel, aber wir haben in der Tür schon das Schloss ausgetauscht, das heißt, er kommt und kommt nicht rein, während das typischerweise bei unseren Kunden sehr häufig sehen in der Vergangenheit, dass sie eben nicht regelmäßig ihre eigene Policy verfolgen konnten, weil es einfach ein zu großer Aufwand war, in einer großen Infrastruktur kontinuierlich die Passwörter schnell genug durch zu tauschen.
Das heißt, wenn sie einerseits prüfen, auf der auf der Kleinseite die überwachung dieser diese Applikation kontrolle den nächsten Schritt an die Überwachung der Systeme, wo tatsächlich dann auch der kritischen Zugriff passieren kann, den Sie durch den Passwort Wechsel schützen. Das heißt, sie können auf unterschiedlichen Ebenen auch eingreifen, wenn der Eindringen schon im Netz ist, dort weiterhin Zugriffe verhindern.
Genau wird Wir schützen in erster Linie das, was wir gerade besprochen haben. Der Passwort Wechsel sind Schutzmechanismus für den entsprechenden Server für die entsprechende Datenbank Applikationen Netzwerk Komponente. Auf der zweiten Ebene kommt dann eben auch, dass wir schauen drauf, das tun wir über einen am Post oder Session Manager, der sorgt dafür, dass wir sehen können, was denn auf Systemen gemacht wird und das Mehl, wer als Zwischenschritt nicht drüber springen kann. Das heißt, mit albanische Trennung sage ich immer durchführen, Der dritte letzte Schritt der ist dann eben tatsächlich die automatisierte überwachung des Netzwerks Verkehrs und der Verhaltens basierten Analyse als Ergänzung zu sehen System.
Und was wäre diese Verhaltens? Passierte Analyse Was entdecken Sie beispielsweise in solchen Situationen?
Da finden wir dann zum Beispiel raus Wenn ein Administrator typischerweise sag ich mal fünf Systeme am Tag im Zugriff hat und schlagartig kommt der und auf 100 Zugriff, was er rechtlich darf, weil er alle 100 in Zugriff hätte, dann wird das sie im System sagen Es ist ok, während wir feststellen würden, dass es außerhalb seiner typischen Arbeitsweise und würden das entsprechend anzeigen und zurückmelden über die Konsole.
Damit wäre praktisch der Rückschnitt der, der der Rückschluss erreicht, dass man diese Operation stoppen kann oder vielleicht sogar automatisiert stoppen kann.
Wenn wir einen gewissen Schwellenwert erreicht haben, geben wir Alarm. Wenn man das konsequent zu Ende denkt, dann können wir darauf auch automatisiert reagieren, um halt die weitere Ausbreitung zu unterbinden, indem zum Beispiel sofortige Passwort Wechsel durchgeführt werden, indem zum Beispiel Clowns geblockt werden, indem zum Beispiel Maschinen eben aus dem Netz genommen werden im Bereich der Endgeräte darauf können wir dann eben automatisiert auch reagieren, wenn die Mindest Findungs Höhe sozusagen erreicht ist. Prima, vielen Dank, danke schön