Sanofi stoppt mit Cognito in Echtzeit einen Cyber-Angriff

Was haben Identitätsdiebstahl, WhatsApp und ein mit böswilligen Absichten erstelltes Microsoft Word-Dokument gemeinsam? Um das zu beantworten, muss ich etwas weiter ausholen.

Fast ein ganzes Jahr dauert die COVID-19-Pandemie nun schon. Pharmaunternehmen stehen unter erheblichem Druck, ihre Daten zu schützen, weil das Gesundheitswesen zu einem Hauptziel organisierter Cyber-Kriminalität geworden ist. Zudem haben das Arbeiten im Home Office und die Remote-Zusammenarbeit die schnelle Einführung von Cloud-Diensten in allen Branchen beflügelt. Das gilt ganz besonders für Unternehmen und Organisationen im Gesundheitswesen, da Telemedizin zunehmend an Bedeutung gewinnt und die Telearbeit neue Anforderungen mit sich bringt.

Derzeit sind alle Augen auf das Gesundheitswesen gerichtet, sodass Cyber-Angreifer noch kreativer wurden, um Unternehmen unterhalb des Radars infiltrieren zu können.

In dieser Situation betritt ein Angreifer die Bühne, der sich mit einem betrügerischen LinkedIn-Profil als Personalreferent ausgibt. Sein Profil basiert auf einer tatsächlich existierenden Person, die über umfangreiche Berufserfahrung in der Personalvermittlung verfügt. Dieser Bedrohungsakteur kontaktiert nun Personen und ködert sie mit einem lukrativen Stellenangebot. Dazu baut er über WhatsApp über mehrere Tage hinweg eine enge Verbindung zur Zielperson auf. Diese erhält schließlich ein infiziertes Word-Dokument. Sobald das Dokument geöffnet wird, erhält der Angreifer Zugang zum System eines Unternehmens. Mit dieser Social-Engineering-Methode haben es Hacker geschafft, Unternehmenspersonal ins Visier zu nehmen und zu kompromittieren – ebenso wie den nichtsahnenden Mitarbeiter Null bei Sanofi, einem multinationalen Pharmaunternehmen. Hier beginnt unsere Geschichte.

Ich hatte die besondere Ehre, mit Jean-Yves Poichotte, Group Head of Cybersecurity bei Sanofi, und Richard Webster, Head of Cyber Security Operations Center bei Sanofi, darüber zu sprechen, wie sich dieser Angriff abspielte und warum die Zusammenarbeit mit Vectra entscheidend dazu beitrug, eine Datenkompromittierung zu verhindern.

„Wir arbeiten mit viele Anbietern zusammen“, sagt Jean-Yves Poichotte. „Die Anbieter, die sich der Partnerschaft auf einem gewissen Niveau widmen, sind selten. Vectra und das Vectra-Team bringen diese partnerschaftliche Einstellung mit.“

Mehr wert mit Cognito

Was passiert, wenn Konten kompromittiert werden und Angreifer Ihr Unternehmen über komplett legitime Tools und Prozesse infiltrieren? Das böswillige Verhalten der Angreifer versteckt sich zwischen den „normalen“ Störgeräuschen und fällt bei Endgeräte-Scans nicht weiter auf. In Fällen wie diesen wurden EDR-Lösungen (Endgeräte-Erkennung und Response) bereits infiziert und können die Bedrohung nicht mehr abwehren. Genau dieses Problem hat Sanofi mit Vectra gelöst.

Wir füllen genau diese Lücke im Sicherheitskonzept von Sanofi. Wir liefern einen uneingeschränkten Einblick in die gesamte Unternehmens- und Cloud-Umgebung. Während der Red Team-Tests benötigte Sanofi eine Lösung zur Erkennung von Angriffen, die vorhandene Tools wie EDR umgehen und mit SIEM-Systemen (Sicherheitsinformations- und Ereignis-Management) unmöglich zu finden sind.

Die Cognito-Plattform für Erkennung und Response (NDR) von Vectra wendet KI-gestützte Algorithmen für maschinelles Lernen an, um Verhaltensweisen laufender Cyber-Angriffe automatisch zu entdecken, zu priorisieren und auf sie zu reagieren. Cognito bietet zuverlässige Einblicke in das gesamte Netzwerk und die Cloud sowie in alle Anwendungen, Betriebssysteme und Geräte, darunter auch BYOD (Bring Your Own Device) und IoT (Internet of Things).

Durch die Fähigkeit von Cognito, den gesamten Netzwerk- und Cloud-Traffic kontinuierlich zu überwachen, haben Angreifer keine Ausweichmöglichkeiten. Die Priorisierung der Bedrohungen mit dem höchsten Risiko und einer hohen Wahrscheinlichkeit ist die Voraussetzung dafür, die Bedrohungsüberwachung zuverlässig automatisieren zu können. Richard Webster weist darauf hin, dass das Unternehmen dank der Cognito-Technologie in der Lage war, den Angriff zu erkennen und auszuschalten.

NDR erweitert das SOC

Zwar ist die Sicherheitsarchitektur von Sanofi auf die Bewältigung komplexer Vorgänge ausgelegt, doch dieser Angriff schaffte es, den vorhandenen Tools auszuweichen. Richard verrät: „Ich sage meinem Team immer, dass wir ständig neue Erkennungsnetze benötigen. Wir breiten also immer mehr Erkennungsnetze aus, doch bei diesem Angriff funktionierten nur zwei davon.“ Und zwar EDR und NDR.

Als ich Jean-Yves Poichotte und Richard Webster vor die Wahl zwischen EDR und NDR stelle, erklärt Richard Webster, dass für eine sichere Umgebung beide Tools unverzichtbar sind. „Ich kann mich nicht auf eine der Technologien beschränken – ich brauche beide. Ich will so viel Überblick wie möglich, aber eben auch umfangreiche forensische Untersuchungen mit EDR und NDR durchführen können.“ Er erzählte, wie die Angreifer das Endgerät kompromittieren und die EDR-Lösung deaktivieren konnten, was ihnen jedoch mit der NDR nicht gelang. „Die NDR zu schlagen, ist schwerer“, erklärt er.

EDR ist wichtig für die Endgeräte und NDR ist kritisch für das Netzwerk. Sanofi setzte Cognito Detect zusammen mit Cognito Recall ein, um Bedrohungen zu erkennen und den Verlauf des Angriffs nachzuvollziehen. Die Lösung Cognito Detect bot in Echtzeit Unterstützung, während Cognito Recall dem Sanofi-Team im Anschluss dabei half, forensische Untersuchungen durchzuführen. Richard Webster merkt an: „Bei diesem speziellen Angriff konnten wir Recall öffnen und uns die Freigabeliste Zeile für Zeile ansehen. Wir sahen, welche Dateien geöffnet und gelesen wurden und wie groß diese Dateien sind.“ Durch die vollständige Übersicht über den Angriffsverlauf verfügte das Team über Informationen, mit denen ein Erkennungs-Framework erstellt werden konnte, um ähnliche Taktiken in Zukunft zu verhindern.

Sanofi und Vectra: Zusammen einfach besser

Am Ende bekräftigten Jean-Yves Poichotte, Richard Webster und ich noch einmal, wie stark die Partnerschaft zwischen unseren Unternehmen ist. Dieser Angriff zeigt ganz deutlich: Wenn Angreifer es schaffen, Anmeldedaten zu stehlen und die herkömmlichen Endgerätelösungen zu umgehen, kann NDR die Lücke effektiv schließen.

Dass die beiden Unternehmen diesen Angriff unterbinden konnten, veranschaulicht auch die Vorteile der engagierten Zusammenarbeit unserer Teams. Vectra stellt die Plattform bereit und Sanofi steuert seine einzigartigen Anwendungsszenarien bei. Das bietet uns die Gelegenheit, zusammen Innovationen zu entwickeln, Probleme zu lösen und technisches Fachwissen auszutauschen.

Angesichts der Tatsache, dass Sanofi weitere Anpassungen für die Cloud vornimmt und seine Unternehmenssicherheit ausbaut, freuen sich Jean-Yves und Richard Webster schon auf die weitere partnerschaftliche Zusammenarbeit mit Vectra. Jean-Yves Poichotte erklärt: „Vectra bringt seine Innovationen und den umfangreichen technischen Nutzen mit. Mein Team bei Sanofi trägt das Feedback zu den Lösungen bei. Diese Kombination ist der Weg zu Fortschritt und ausgereiften Ergebnissen.“

Mit einer hervorragenden Frage-Antwort-Runde mit den vom Publikum übermittelten Fragen brachten wir unser Gespräch zum Abschluss. Wir konnten nicht alle Fragen live beantworten, aber wir haben sie alle in diesem Dokument beantwortet, das die unveränderten Kommentare von Jean-Yves Poichotte und Richard Webster enthält.

Erfahren Sie alles über die Methoden von Cyber-Kriminellen, die für ihre Angriffe LinkedIn, WhatsApp und Microsoft Word einsetzen, und wie Sanofi den Angriff mit Cognito Detect und Cognito Recall von Vectra völlig zum Stillstand bringen konnte.

Sehen Sie sich mein Gespräch mit Jean-Yves Poichotte und Richard Webster in diesem On-Demand-Video an.

‍