网络安全专家称,SolarWinds Orion网络管理平台遭受的攻击是针对美国政府网络和很多大型公司数据基础架构的最严重黑客攻击之一。该攻击于2020年12月发现,在该攻击发生后,网络专业人员们都在努力缓解此次广泛数据泄露事故的影响。
该供应链攻击影响着多个美国联邦政府机构,包括商务部、能源部和国土安全部门。此次攻击的消息迫使思科和微软等大型上市公司加强网络分析活动,以便及时识别和缓解异常情况,避免中断运营。
在此次攻击曝光后,SolarWinds宣布对其Orion平台进行更新,攻击该平台等恶意软件名为Supernova。根据SolarWinds的调查,攻击者通过利用Orion平台中的漏洞来部署恶意软件,大约有18,000个客户受此攻击影响。为了应对SolarWinds的黑客攻击,这些公司需要部署Orion更新,并仔细检查其网络的各个方面,以识别恶意软件在何处启动。
Supernova恶意软件
根据SolarWinds安全公告显示,“SUPERNOVA不是恶意代码……它是单独放置在服务器的恶意软件,需要未经授权访问客户网络,该恶意软件被设计为冒充SolarWinds产品的一部分。”
该供应商指出,该恶意软件具有两个组件,“第一个是恶意的未签名的webshell .dll‘app_web_logoimagehandler.ashx.b6031896.dll’,专门编写用于SolarWinds Orion平台。第二个是利用Orion平台中的漏洞,以部署该恶意代码。”
调查人员在研究该恶意软件攻击时,发现称为Sunburst的后门程序,该后门程序使黑客能够接收有关受感染计算机的报告。然后,黑客利用这些数据来确定要进一步利用的系统。
调查人员发现,这个后门代码类似于另一种广泛使用的黑客工具Kazuar。他们推测,Kazuar曾被用于针对公共和私营组织的很多攻击中,并且,它可能是触发因素,以启动驻留在目标系统中的先前处于休眠状态的恶意软件。
经验教训和接下来的措施
Orion平台在全球范围内都很流行,并被广泛使用,它是经验丰富的黑客的目标。我们可以从SolarWinds黑客攻击中学到的教训之一是,安全软件并不完善,应被视为潜在的网络攻击切入点。
另一个教训是,谨慎对待网络基础架构的所有元素,尤其是外围设备。企业必须购买和使用功能强大的异常检测软件,这是一项明智的投资。
那么,网络和安全团队现在和将来还可以做什么来应对SolarWinds的黑客攻击?这两个团队都需要了解此事件,并为其他事件做好准备,下面让我们看看应该怎样做,毫无疑问,这两个团队需要协作才能防止和缓解未来的攻击。
1. 计算机容易受到攻击。无论采取何种积极措施来识别、预防和缓解网络攻击,IT基础架构仍然面临风险。最佳的网络和安全状态假定会发生攻击,并将尽一切可能的努力来防止发生攻击。
2. 安全是企业文化的基石。网络和信息系统的安全性从领导层开始,高层管理人员必须了解信息安全的重要性,认可和支持信息安全,并在整个组织中传达该信息。
3. 确定企业的所有切入点,并建立足够的安全性。经验丰富且积极进取的黑客可以利用很多访问点(AP)。在当前疫情期间,对远程访问的使用给企业的网络和信息资源创建更多其他入口点。请确保识别所有可能的和不太可能的AP,适当保护并定期监控可疑活动。
4. 网络外围必须得到积极保护。请利用防火墙、入侵检测和防御系统,以及很多其他服务来消除企业和个人网络中的任何缝隙。更重要的是,定期更新这些专用系统的规则和其他参数,以确保它们发挥最佳功能。
5. 定期修复,并确保按规定修复补丁。例如,SolarWinds向Orion平台发布多个更新,以供用户修补。有效的补丁程序管理流程至关重要,可保持领先于恶意行为者。
6. 同时提高网络安全与物理安全。网络安全和物理安全相辅相成,因此不应放在单独的孤岛中。例如,恶意员工未经授权对数据中心进行的物理访问,可能与恶意软件攻击一样具有破坏性。
7. 事件响应计划和协议必须部署到位。这些策略可控制企业如何响应网络安全异常的最初发现。应该对它们进行记录、定期检查和测试,以确保它们在需要时可以工作。
8. 维护网络安全和网络安全策略和程序。网络安全策略确定“什么”-安全活动有关的内容,而程序则明确“如何”-企业在大多数事件中采取的特定措施。至少每年检查一次并更新这些策略和程序,特别是在部署任何新网络或安全技术时。
9. 非技术计划纳入安全策略。网络安全保险是非技术资源的一个示例,以应对攻击事件。勒索软件攻击可以多种方式影响企业(例如财务损失),并损害公司的竞争地位和声誉。
10. 确保所有安全和网络保护计划都是最新,定期执行并定期审核。仅仅制定紧急计划是不够的,例如技术灾难恢复和网络安全计划。这些重要的举措及其相关文档必须至少每年进行一次定期检查,更新、测试和审核。
在本文中,我们研究了最近的恶意软件攻击及其持续影响。更重要的是,我们讨论了企业必须采取的措施,以确保网络外围安全、信息系统和数据安全,并且,企业应将网络保护和网络安全视为关键任务。