网络安全专家表示,SolarWinds Orion网络管理平台的攻击是美国政府网络和许多大公司数据基础设施中最严重的黑客攻击之一。2020年12月发现,攻击发生后,网络专业人员正在努力缓解广泛数据泄露事故的影响。
供应链攻击影响了包括商务部、能源部和土地安全部门在内的美国联邦政府机构。此次袭击迫使思科、微软等大型上市公司加强网络分析活动,及时识别和缓解异常情况,避免中断运营。
攻击曝光后,SolarWinds宣布对其Orion更新平台,攻击平台等恶意软件Supernova。根据SolarWinds在调查中,攻击者利用了它Orion大约有1.8万名客户受到该攻击的影响,该平台的漏洞部署了恶意软件。为了应对SolarWinds这些公司需要部署黑客攻击Orion更新,并仔细检查其网络的各个方面,以识别恶意软件在何处启动。
Supernova恶意软件
根据SolarWinds根据安全公告,“SUPERNOVA不是恶意代码……它是一种恶意软件,单独放置在服务器中,需要未经授权访问客户网络。恶意软件被设计为假装SolarWinds部分产品。”
供应商指出,恶意软件有两个组件,“第一个是恶意的未签名webshell .dll‘app_web_logoimagehandler.ashx.b6031896.dll’,专门编写SolarWinds Orion平台。二是利用Orion为了部署恶意代码,平台上的漏洞。”
在研究恶意软件攻击时,调查人员发现它被称为Sunburst后门程序,后门程序允许黑客接收感染计算机的报告。然后,黑客使用这些数据来确定进一步使用的系统。
调查人员发现,后门代码类似于另一种广泛使用的黑客工具Kazuar。他们推测,Kazuar它曾被用于对公共和私营组织的许多攻击,可能是启动目标系统中停留的恶意软件的触发因素。
经验教训和下一步措施
Orion该平台在世界各地都很受欢迎,并被广泛使用,这是经验丰富的黑客的目标。我们可以从SolarWinds黑客攻击的教训之一是安全软件不完善,应视为网络攻击的潜在切入点。
另一个教训是谨慎对待网络基础设施的所有元素,特别是外围设备。明智的投资是,企业必须购买和使用功能强大的异常检测软件。
那么,网络和安全团队现在和未来能做些什么呢?SolarWinds黑客攻击这两个团队都需要了解这个事件,并为其他事件做好准备。让我们看看该怎么办。毫无疑问,这两个团队需要合作来防止和缓解未来的攻击。
1. 计算机容易受到攻击。无论采取什么积极措施来识别、预防和缓解网络攻击,IT基础架构仍然面临风险。最佳的网络和安全状态假定会发生攻击,并将尽一切可能的努力来防止发生攻击。
2. 安全是企业文化的基石。从领导层开始,高级管理人员必须了解信息安全的重要性,认识和支持信息安全,并在整个组织中传达信息。
3. 确定企业的所有切入点,并建立足够的安全性。经验丰富、积极的黑客可以使用许多访问点(AP)。在当前疫情期间,远程访问的使用为企业的网络和信息资源创造了更多的其他入口点。请确保识别所有可能和不可能的AP,定期保护和监控可疑活动。
4. 网络外围必须积极保护。请使用防火墙、入侵检测和防御系统以及许多其他服务来消除企业和个人网络之间的任何差距。更重要的是,定期更新这些特殊系统的规则和其他参数,以确保它们发挥最佳作用。
5. 定期修复,并确保按规定修复补丁。SolarWinds向Orion该平台为用户发布了多个更新。有效的补丁程序管理过程非常重要,可以领先于恶意行为者。
6. 还提高了网络安全和物理安全。网络安全和物理安全相辅相成,因此不应放置在单独的岛屿上。例如,未经授权的恶意员工对数据中心的物理访问可能与恶意软件攻击一样具有破坏性。
7. 事件响应计划和协议必须部署到位。这些策略可以控制企业如何响应网络安全异常的初步发现。应记录、定期检查和测试,以确保它们在必要时工作。
8. 维护网络安全和网络安全策略和程序。确定网络安全策略“什么”-安全活动相关内容,程序明确“如何”-企业在大多数事件中采取的具体措施。这些策略和程序每年至少检查一次,特别是在部署任何新网络或安全技术时。
9. 非技术计划包括在安全策略中。网络安全保险是处理攻击事件的非技术资源的例子。勒索软件攻击可以多种方式影响企业(如财务损失),损害公司的竞争地位和声誉。
10. 确保所有安全和网络保护计划都是最新的,并定期实施和审查。仅仅制定技术灾难恢复和网络安全计划等应急计划是不够的。这些重要措施及其相关文件必须每年至少定期检查、更新、测试和审查一次。
在本文中,我们研究了最近的恶意软件攻击及其持续影响。更重要的是,我们讨论了确保网络外围、信息系统和数据安全的措施,并将网络保护和网络安全视为关键任务。