SolarWinds骇客是采取网络安全措施的警钟

随着调查和响应的继续,许多问题尚待回答,但有一点很明确:管理供应链风险需要与攻击者相似的复杂程度。

二进制俄罗斯国旗
LPETTET /盖蒂图片社

长期持续威胁(APT)长期以来一直是网络安全界关注的问题。组织精良的团队拥有大量资源和目标,他们不愿意在完成任务之前就放弃进攻,这肯定不会被低估。这些组织部署的策略涉及多种攻击类型, 零日漏洞社会工程学,获得访问权,建立立足点并加深访问权限,然后在实现目标之前未被发现的目标系统。

最近发现的备受瞩目的 SolarWinds骇客 是典型的 APT攻击。它针对的是美国多个联邦部门,私人公司和关键基础设施组织,至少从去年3月以来一直未被发现。到目前为止,确定的初始感染媒介与SolarWinds Orion(一个提供完整IT堆栈监视服务的平台)更新的零日漏洞有关,它使攻击者能够 获得访问网络流量管理系统的权限。 检测到攻击的FireEye, 发现了SUNBURST, 一种 恶意软件 这是对SolarWinds Orion更新的木马化。

正如APT中常见的那样,随着APT的不断深入和升级,被利用的漏洞列表可能会在供应链和目标实体的内部系统中不断增加。据一个 网络安全和基础结构安全局(CISA)发出的警报,其他最初的感染媒介正在与SolarWinds相关的媒介上进行研究。尽管初始感染媒介可能与供应链的更多实体和/或目标实体本身的漏洞有关,但是当攻击的参与者正在加深他们的访问权限时,应利用内部系统漏洞来增加攻击面。网络安全记者Brian Krebs 已连结 考虑到已经通过利用SolarWinds漏洞实现了对内部系统的访问,最近发现了一个针对SolarWinds攻击的VMware漏洞作为一种可能的攻击升级方法。

随着调查和响应的继续,许多问题尚未得到解答。提出正确的问题是从此漏洞中吸取教训并改善政府和私营部门网络安全的关键。网络安全只能从整体的角度来看,而不能孤立地看待,这意味着我们必须分析和理解识别,保护,检测,响应和恢复方面的缺陷。特别是在APT的情况下,由于APT的复杂性和复杂性,我们需要了解检测,响应和恢复变得越来越重要,因为保护有时会失败。

在此特定情况下,网络安全的识别和保护方面集中在供应链上,而不排除内部系统漏洞。在一个 以前的帖子考虑到当今我们正在处理复杂的生态系统,我写了关于弹性供应链的重要性的文章。 2020年12月中旬,美国政府问责办公室 发表报告 敦促联邦机构采取措施管理供应链风险。这样做需要与攻击者相似的复杂程度。供应链网络安全不仅应通过合同协议和责任条款来解决,还应通过持续的测试和监控来解决。

要继续阅读本文,请立即注册