据网络安全专家称,对SolarWindsOrion网络管理平台的攻击是针对美国政府网络和许多大公司的数据基础设施的最严重的黑客攻击之一。在2020年12月发现这次攻击之后,网络专业人员正在努力减轻大范围数据泄露的影响。供应链攻击影响了多个美国联邦政府机构,包括商务部、能源部和国土安全部。攻击消息已迫使思科和微软等主要上市公司加强网络分析活动,以便在中断运营之前及时识别和缓解异常情况。攻击曝光后,SolarWinds宣布更新其Orion平台,其中包含名为Supernova的恶意软件以及其他攻击。根据SolarWinds的一项调查,攻击者利用Orion平台的漏洞部署了恶意软件,约有18,000名客户受到此次攻击的影响。为了应对SolarWinds黑客攻击,这些公司需要部署Orion更新并仔细检查其网络的各个方面,以确定恶意软件的启动位置。Supernova恶意软件根据SolarWinds安全公告,“SUPERNOVA不是恶意代码……它是单独放置在服务器上的恶意软件,需要未经授权访问客户网络,旨在冒充部分SolarWinds产品。”该恶意软件有两个组件,“第一个是专门为SolarWindsOrion平台编写的恶意未签名webshel??l.dll'app_web_logoimagehandler.ashx.b6031896.dll'。第二个是利用平台中的Orion漏洞部署恶意代码。“在调查恶意软件攻击时,调查人员发现了一个名为Sunburst的后门,它允许黑客接收有关受感染计算机的报告。然后,黑客使用这些数据来识别系统以供进一步利用。调查人员发现后门代码与另一种广泛使用的黑客工具Kazuar相似。他们推测Kazuar已被用于许多针对公共和私人组织的攻击,并且它可能是启动驻留在目标系统上的先前休眠恶意软件的触发器。经验教训和后续步骤Orion平台在全球范围内广受欢迎并广泛使用,是经验丰富的黑客的目标。我们可以从SolarWinds黑客事件中吸取的教训之一是,安全软件并不完善,应该被视为网络攻击的潜在切入点。另一个教训是要小心网络基础设施的所有元素,尤其是外围设备。企业购买和使用功能强大的异常检测软件是一项明智的投资。那么,网络和安全团队现在和将来还能做些什么来应对SolarWinds黑客攻击?两个团队都需要了解此事件并为其他事件做好准备,所以让我们看看应该做些什么,毫无疑问,两个团队需要协作以防止和减轻未来的攻击。1.电脑易受攻击。无论采取何种主动措施来识别、预防和减轻网络攻击,IT基础设施仍然面临风险。最佳网络和安全态势假定攻击将发生,并将尽一切可能防止攻击发生。2、安全是企业文化的基石。网络和信息系统安全始于领导层,最高管理层必须了解信息安全的重要性,认可和支持它,并在整个组织中传达这一信息。3.确定企业的所有入口点并建立足够的安全性。有许多接入点(AP)可以被经验丰富且咄咄逼人的黑客利用。在当前的大流行期间,远程访问的使用为企业网络和信息资源创建了额外的入口点。确保识别所有可能和不太可能的AP,将它们固定到位并定期监控可疑活动。4.必须主动保护网络边界。利用防火墙、入侵检测和预防系统以及许多其他服务来消除公司和个人网络中的任何漏洞。此外,这些专门系统的规则和其他参数会定期更新,以确保它们发挥最佳功能。5.定期修复并确保补丁按规定修复。例如,SolarWinds发布了Orion平台的多个更新,供用户打补丁。有效的补丁管理流程对于领先于恶意行为者至关重要。6.提高网络安全和物理安全。网络安全和物理安全是齐头并进的,不应该孤立地存在。例如,恶意员工未经授权物理访问数据中心可能与恶意软件攻击一样具有破坏性。7.事件响应计划和协议必须到位。这些策略控制企业如何响应最初发现的网络安全异常。它们应该被记录、定期检查和测试,以确保它们在需要时能够工作。8.维护网络安全和网络安全政策和程序。网络安全政策定义了“什么”——安全活动是关于什么的,而程序定义了“如何”——组织在大多数事件中采取的具体行动。至少每年审查和更新这些政策和程序,尤其是在部署任何新网络或安全技术时。9.将非技术举措纳入安全政策。网络安全保险是发生攻击时的非技术资源的一个例子。勒索软件攻击会以多种方式影响企业(例如财务损失)并损害公司的竞争地位和声誉。10.确保所有安全和网络保护计划都是最新的、定期实施和定期审查的。仅有应急计划是不够的,例如技术灾难恢复和网络安全计划。这些重要举措及其相关文件必须至少每年定期审查、更新、测试和审查。在本文中,我们研究了最近的恶意软件攻击及其持续影响。更重要的是,我们讨论了企业必须采取的保护其网络边界、信息系统和数据的步骤,并且企业应该将网络保护和网络安全视为关键任务。
