11. Juni 2021
Es hat lange gedauert, bis die Ursache für den Cyber-Angriff auf die Colonial Pipeline bekannt wurde. Doug Olenik berichtet auf InfoRiskToday: “The investigation into the attack by security firm FireEye revealed last week that DarkSide gained initial access to Colonial through what Blount described as a “legacy VPN” that the company’s IT staff did not know existed.”(1)
Der CEO von Colonial Pipeline Co., Joseph Blount, sagte während eines Hearings am 8. Juni 2021 dazu: “I did reference earlier that the VPN was a legacy VPN we could not see, and it did not show up in any testing. That’s unfortunate.”(1)
Dass das VPN nicht mit Zwei-Faktor-Authentisierung abgesichert war, ist nicht ungewöhnlich, da es sich um einen „Legacy“ VPN-Zugang handelte, der außer von den Angreifern nicht mehr genutzt wurde. Der VPN-Zugang war zudem gut gesichert, da er bei Schwachstellen-Scans nicht gefunden wurde.
Die Antwort auf die Frage „Warum wurde das System, über den der VPN-Zugang erfolgte oder der VPN-Service nicht abgeschaltet?“ liegt nahe: Vermutlich ist in der IT kein Asset Management System vorhanden.
Dabei ist Asset Management ein Abfallprodukt des Network Monitoring, eine der Nice-to-Have-Funktionen, die man unbedingt bei der Einführung eines „Network Monitoring und Anomaly Detection“-Werkzeuges berücksichtigen sollte.
Im Rahmen der IMI (IT-Meets-Industry) stellen die anapur-Partner Nozomi Networks und PaloAlto Networks am 15. Juni in einer Product Challenge ihre Network Monitoring Werkzeuge vor. Wir werden beiden Partnern natürlich die Frage stellen, ob ihre Produkte die angeblich nicht-existenten Komponenten gefunden hätten und freuen uns auf die Produkt-Demo.
Im Anwenderinterview fragen wir Tobias Unglaube, der in der Bayer AG im Produktionsumfeld Network Monitoring eingeführt hat, ob die nice-to-have-Funktion „Asset-Management“ bei der Produktauswahl eine Rolle gespielt hat.
Zur Anmeldung zum Event geht es hier. Die Aufzeichnungen und Produkt-Demos der vergangenen Network-Monitoring-Events stellen wir für Teilnehmer bereit.
Falls Sie keine Zeit haben, würden wir uns freuen, wenn Sie uns 2 Fragen (Multiple Choice) beantworten würden. Die Auswertung veröffentlichen wir nach dem Event.
Frage 1: Warum beschäftigt sich meine Organisation mit Network Monitoring und Anomaly Detection?
Schönes Wochenende!
Referenzen
1. Olenick D. Colonial CEO at Senate Hearing Details Ransomware Attack [Internet]. Info Risk Today. 2021 [zitiert 9. Juni 2021]. Verfügbar unter: https://www.inforisktoday.com/colonial-ceo-at-senate-hearing-details-ransomware-attack-a-16836
IT Security Matters 