Das Cyber-Sicherheitsunternehmen Trellix hat eine Störung bestätigt, die unberechtigten Zugriff auf ein Teil des Quellcode-Repositorys und die Behauptungen, eine forensische Untersuchung mit externen Sachverständigen eingeleitet zu haben und den Behörden mitgeteilt zu haben. Das Unternehmen, das Ergebnis der Fusion von McAfee Enterprise und FireEye und im Besitz der Symphony Technology Group, behauptet, dass es bisher keine Beweise dafür gibt, dass sein Code veröffentlicht oder ausgenutzt wurde, aber nicht detailliert, welche spezifischen Daten zugegriffen werden könnten oder wie lange die Intrusion dauerte.
Angesichts dieser Ankündigungen müssen wir die Überprüfung von dem Vorstehenden trennen: Die Existenz des Zugangs zu einem Repository bedeutet echtes Risiko, auch wenn keine unmittelbaren Betriebe nachgewiesen wurden. Der exponierte Quellcode kann böswilligen Akteuren helfen, Fehler zu erkennen, Exploits zu bauen oder spezifische Ausweichungen gegen Produkte zu erstellen und kann auch die Risiken der Lieferkette verschlimmern, wenn sie aus Teilen besteht, die von Dritten verwendet werden. Bisherige Branchenvorfälle haben gezeigt, wie der Zugang zu legitimen Werkzeugen oder Bauteilen zu Hebeln für hochentwickelte Operationen werden kann.
Aus technischer Sicht sind die wahrscheinlichsten Bedrohungen nach einer partiellen Filterung des Codes die automatisierte und manuelle Suche nach Schwachstellen, die Entfernung von eingebetteten Geheimnissen (Ergebnisse, Schlüssel, Endpunkte) und die Möglichkeit der Reverse Engineering, Schutz zu vermeiden. Neben der forensischen Untersuchung ist es daher wichtig, die Bau- und Vertriebsprozesse zu überprüfen: Prüfen Sie die Bauintegrität, vergleichen Sie die Geräte hashes mit Referenzversionen und Audit Signaturen und Bereitstellungsketten.
Bei Kunden und Sicherheitsbeamten, die Trellix-Produkte verwenden, ist die erste Empfehlung, das Vorsorgeprinzip zu erlassen: davon auszugehen, dass die Gefahr der Ausbeutung besteht und das Überwachungsniveau erhöht wird. Dazu gehören die Überprüfung der Integrität von Aktualisierungen, die Überprüfung von Regeln und Signaturen in Detektionssystemen, rotierende Anmeldeinformationen oder Geheimnisse, die in Repositorien gespeichert wurden, und die Anwendung verhaltensbasierter Erkennungen in Endpunkten und im Netzwerk. Trellix zu kontrastierenden technischen Details und bestimmten Zeitrahmen für die Minderung und Überprüfung zu fragen ist eine gültige Aktion aus vertraglicher und operativer Sicht.
Aus Sicht des betreffenden Anbieters muss eine angemessene Antwort die operative Eindämmung mit kontrollierter Transparenz kombinieren: den ordnungsgemäßen Zugang, die Prüfung von CI / CD-Pipelines, den Wiederaufbau von Artefakten aus sauberen Quellen und die Erstellung von Verpflichtungsindikatoren (IoC) und Kundenkontrollen. Die Beteiligung externer Sachverständiger und die Mitteilung an die Behörden sind geeignete Schritte, aber Kundenvertrauen wird mit klaren technischen Berichten und Beweisen erweitert, dass Vertriebsprozesse nicht verändert wurden. Inhouse-Agenturen und Teams sollten von anerkannten Praktiken zum Schutz der Software-Versorgungskette geleitet werden; die Regierung und Agenturen wie CISA bieten diesbezüglich nützliche Anleitungen an.
In regulatorischen und Governance-Bedingungen können solche Vorfälle Meldepflichten an Regulierungsbehörden und Kunden aktivieren, je nach Zuständigkeit und potenziell betroffenen Daten. Sicherheitsunternehmen unterliegen einer besonderen Kontrolle, weil ihre Software als erste Verteidigungslinie fungiert; daher ist es neben der Korrektur der Intrusion bestrebt, vertragliche Sicherheitsklauseln zu überprüfen und gegebenenfalls Audits oder Zertifizierungen zu verlangen.
Die spezifischen Maßnahmen, die wir für IT-Organisationen und Administratoren empfehlen, sind: Nehmen Sie vorübergehend eine erhöhte Risikoposition in Bezug auf die beteiligten Produkte ein, stärken Sie die Überwachungs- und Erkennungsregeln, überprüfen Sie die Firmen und Pakete gegen offizielle Quellen, drehen Sie mögliche Geheimnisse und fordern Sie von Ihrem Lieferanten Beweise für die Integrität von Gebäuden und eine Liste von Minderungen angewendet. Um die Risikoschutzmaßnahmen in der Software-Versorgungskette zu vertiefen, siehe die von Behörden wie CISA und dem NIST veröffentlichten Referenzleitlinien.
Diese Nachrichten werden entwickelt und es ist wichtig, die offiziellen Berichte von Trellix und technischen Nadeln, die von unabhängigen Quellen veröffentlicht werden, fortzusetzen. Für institutionellen Informations- und Lieferketten-Sicherheitsressourcen siehe die Trellix-Website bei https: / / www.trellix.com, der CISA-Führer für Versorgungskettensicherheit in https: / / www.cisa.gov / Lieferkette und der NIST-Sicherheitsrahmen https: / / csrc.nist.gov / Projekte / ssdf. Wir werden die Analyse weiterhin aktualisieren, da überprüfbare Details veröffentlicht werden.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...