網(wǎng)絡(luò )安全專(zhuān)家稱(chēng)，SolarWinds Orion網(wǎng)絡(luò )管理平臺遭受的攻擊是針對美國政府網(wǎng)絡(luò )和很多大型公司數據基礎架構的最嚴重黑客攻擊之一。該攻擊于2020年12月發(fā)現，在該攻擊發(fā)生后，網(wǎng)絡(luò )專(zhuān)業(yè)人員們都在努力緩解此次廣泛數據泄露事故的影響。

該供應鏈攻擊影響著(zhù)多個(gè)美國聯(lián)邦政府機構，包括商務(wù)部、能源部和國土安全部門(mén)。此次攻擊的消息迫使思科和微軟等大型上市公司加強網(wǎng)絡(luò )分析活動(dòng)，以便及時(shí)識別和緩解異常情況，避免中斷運營(yíng)。

在此次攻擊曝光后，SolarWinds宣布對其Orion平臺進(jìn)行更新，攻擊該平臺等惡意軟件名為Supernova。根據SolarWinds的調查，攻擊者通過(guò)利用Orion平臺中的漏洞來(lái)部署惡意軟件，大約有18,000個(gè)客戶(hù)受此攻擊影響。為了應對SolarWinds的黑客攻擊，這些公司需要部署Orion更新，并仔細檢查其網(wǎng)絡(luò )的各個(gè)方面，以識別惡意軟件在何處啟動(dòng)。

Supernova惡意軟件

根據SolarWinds安全公告顯示，“SUPERNOVA不是惡意代碼……它是單獨放置在服務(wù)器的惡意軟件，需要未經(jīng)授權訪(fǎng)問(wèn)客戶(hù)網(wǎng)絡(luò )，該惡意軟件被設計為冒充SolarWinds產(chǎn)品的一部分。”

該供應商指出，該惡意軟件具有兩個(gè)組件，“第一個(gè)是惡意的未簽名的webshel??l .dll‘app_web_logoimagehandler.ashx.b6031896.dll’，專(zhuān)門(mén)編寫(xiě)用于SolarWinds Orion平臺。第二個(gè)是利用Orion平臺中的漏洞，以部署該惡意代碼。”

調查人員在研究該惡意軟件攻擊時(shí)，發(fā)現稱(chēng)為Sunburst的后門(mén)程序，該后門(mén)程序使黑客能夠接收有關(guān)受感染計算機的報告。然后，黑客利用這些數據來(lái)確定要進(jìn)一步利用的系統。

調查人員發(fā)現，這個(gè)后門(mén)代碼類(lèi)似于另一種廣泛使用的黑客工具Kazuar。他們推測，Kazuar曾被用于針對公共和私營(yíng)組織的很多攻擊中，并且，它可能是觸發(fā)因素，以啟動(dòng)駐留在目標系統中的先前處于休眠狀態(tài)的惡意軟件。

經(jīng)驗教訓和接下來(lái)的措施

Orion平臺在全球范圍內都很流行，并被廣泛使用，它是經(jīng)驗豐富的黑客的目標。我們可以從SolarWinds黑客攻擊中學(xué)到的教訓之一是，安全軟件并不完善，應被視為潛在的網(wǎng)絡(luò )攻擊切入點(diǎn)。

另一個(gè)教訓是，謹慎對待網(wǎng)絡(luò )基礎架構的所有元素，尤其是外圍設備。企業(yè)必須購買(mǎi)和使用功能強大的異常檢測軟件，這是一項明智的投資。

那么，網(wǎng)絡(luò )和安全團隊現在和將來(lái)還可以做什么來(lái)應對SolarWinds的黑客攻擊?這兩個(gè)團隊都需要了解此事件，并為其他事件做好準備，下面讓我們看看應該怎樣做，毫無(wú)疑問(wèn)，這兩個(gè)團隊需要協(xié)作才能防止和緩解未來(lái)的攻擊。

1. 計算機容易受到攻擊。無(wú)論采取何種積極措施來(lái)識別、預防和緩解網(wǎng)絡(luò )攻擊，IT基礎架構仍然面臨風(fēng)險。最佳的網(wǎng)絡(luò )和安全狀態(tài)假定會(huì )發(fā)生攻擊，并將盡一切可能的努力來(lái)防止發(fā)生攻擊。

2. 安全是企業(yè)文化的基石。網(wǎng)絡(luò )和信息系統的安全性從領(lǐng)導層開(kāi)始，高層管理人員必須了解信息安全的重要性，認可和支持信息安全，并在整個(gè)組織中傳達該信息。

3. 確定企業(yè)的所有切入點(diǎn)，并建立足夠的安全性。經(jīng)驗豐富且積極進(jìn)取的黑客可以利用很多訪(fǎng)問(wèn)點(diǎn)(AP)。在當前疫情期間，對遠程訪(fǎng)問(wèn)的使用給企業(yè)的網(wǎng)絡(luò )和信息資源創(chuàng )建更多其他入口點(diǎn)。請確保識別所有可能的和不太可能的AP，適當保護并定期監控可疑活動(dòng)。

4. 網(wǎng)絡(luò )外圍必須得到積極保護。請利用防火墻、入侵檢測和防御系統，以及很多其他服務(wù)來(lái)消除企業(yè)和個(gè)人網(wǎng)絡(luò )中的任何縫隙。更重要的是，定期更新這些專(zhuān)用系統的規則和其他參數，以確保它們發(fā)揮最佳功能。

5. 定期修復，并確保按規定修復補丁。例如，SolarWinds向Orion平臺發(fā)布多個(gè)更新，以供用戶(hù)修補。有效的補丁程序管理流程至關(guān)重要，可保持領(lǐng)先于惡意行為者。

6. 同時(shí)提高網(wǎng)絡(luò )安全與物理安全。網(wǎng)絡(luò )安全和物理安全相輔相成，因此不應放在單獨的孤島中。例如，惡意員工未經(jīng)授權對數據中心進(jìn)行的物理訪(fǎng)問(wèn)，可能與惡意軟件攻擊一樣具有破壞性。

7. 事件響應計劃和協(xié)議必須部署到位。這些策略可控制企業(yè)如何響應網(wǎng)絡(luò )安全異常的最初發(fā)現。應該對它們進(jìn)行記錄、定期檢查和測試，以確保它們在需要時(shí)可以工作。

8. 維護網(wǎng)絡(luò )安全和網(wǎng)絡(luò )安全策略和程序。網(wǎng)絡(luò )安全策略確定“什么”-安全活動(dòng)有關(guān)的內容，而程序則明確“如何”-企業(yè)在大多數事件中采取的特定措施。至少每年檢查一次并更新這些策略和程序，特別是在部署任何新網(wǎng)絡(luò )或安全技術(shù)時(shí)。

9. 非技術(shù)計劃納入安全策略。網(wǎng)絡(luò )安全保險是非技術(shù)資源的一個(gè)示例，以應對攻擊事件。勒索軟件攻擊可以多種方式影響企業(yè)(例如財務(wù)損失)，并損害公司的競爭地位和聲譽(yù)。

10. 確保所有安全和網(wǎng)絡(luò )保護計劃都是最新，定期執行并定期審核。僅僅制定緊急計劃是不夠的，例如技術(shù)災難恢復和網(wǎng)絡(luò )安全計劃。這些重要的舉措及其相關(guān)文檔必須至少每年進(jìn)行一次定期檢查，更新、測試和審核。

在本文中，我們研究了最近的惡意軟件攻擊及其持續影響。更重要的是，我們討論了企業(yè)必須采取的措施，以確保網(wǎng)絡(luò )外圍安全、信息系統和數據安全，并且，企業(yè)應將網(wǎng)絡(luò )保護和網(wǎng)絡(luò )安全視為關(guān)鍵任務(wù)。