|
据悉,FireEye在跟踪一起被命名为“UNC2452”的攻击活动中,发现了SolarWinds Orion软件在2020年3-6月期间发布的版本均受到供应链攻击的影响。攻击者在这段期间发布的2019.4-2020.2.1版本中植入了恶意的后门应用程序。这些程序利用SolarWinds的数字证书绕过验证,与攻击者的通信会伪装成Orion Improvement Program(OIP)协议并将结果隐藏在众多合法的插件配置文件中,从而达成隐藏自身的目的。
如今,几个月过去了,美国政府和私营企业仍在努力探索攻击的全部范围,但该事件无疑已经引起了人们对研究人员多年来一直强调的一个问题的广泛关注:软件供应链的安全性。
随着企业组织争先恐后地调查自己的系统和数据是否可能受到SolarWinds入侵的影响,高管、董事会和客户们发现,供应链攻击的威胁范围不仅限于这起事件,而且缓解与之相关的风险并非易事。安全领导者和专家们表示,在经历类似SolarWinds这样的软件供应链攻击事件后,CISO应该关注下述这些最重要的问题。
CISO应关注的5个问题
1. 即使不使用后门软件,我们是否仍处于危险之中?
在发生类似SolarWinds的攻击事件之后,企业领导者应该询问IT和网络安全管理者,他们的组织是否直接使用了受影响的软件。如果答案是肯定的,那么公司应该立即启动事件响应计划,以识别、遏制和消除威胁,并确定对业务的影响程度。
如果答案是否定的,也并不意味着该组织就是安全的。后续应该考虑的问题是:我们的合作伙伴、承包商或供应商是否受到损害?原因在于:
-
其一,供应链攻击的影响范围很广;
-
其二,公司会定期向其他方提供访问其数据或网络和服务器的权限。
重要的是,我们必须了解这样一个事实:软件供应链攻击非常复杂,并且会随着时间的推移加剧影响。
-
自2017年以来,一家名为“Winnti”(也称Barium或APT4)的中国网络间谍组织就曾实施过这种类型的攻击。当时,该组织在Netsarang公司官方发布的服务器管理软件Xshell中植入后门;
-
同年,该组织又设法在流行的系统优化工具CCleaner中植入恶意代码,并向200多万台计算机提供了恶意更新。
-
2019年,该组织又利用华硕官方服务器和数字签名推送恶意软件ShadowHammer。
研究人员认为,所有这些攻击都可以相互关联,一次攻击为执行下一次攻击提供了访问权限。
在今年2月的白宫新闻发布会上,网络与新兴技术副国家安全顾问Anne Neuberger承认了这一威胁,并警告说政府将需要数月的时间才能确定攻击的全部范围。她介绍称,
|
“截至今年2月,9个联邦机构和约100家私营企业遭到了入侵,约18,000个实体下载了恶意更新。因此,可以肯定的是,潜在访问的规模已经远远超出了已知妥协的数量。遭受入侵的私营企业中许多都是技术公司,其产品可用于发起额外的入侵活动。” |
Northrop Grumman公司副首席信息安全官(CISO)Mike Raeder认为,董事会需要对此类攻击的技术方面进行更深入地了解。从长远来看,董事会应该纳入前CIO或CISO来实现自身多元化。他表示,
|
“确保我们的董事会了解更广泛的网络风险,这一点至关重要,然后他们才有能力提出更多问题。当然,即便他们不问这些问题,网络领导者也有责任与董事会讨论整个组织内的网络风险程度。当然,我们还需要跳出企业网络来了解风险。当我们谈论软件供应链时,绝对应该询问我们的软件供应商是否有使用SolarWinds或任何脆弱的产品。第三方企业中的风险同样会转移到我们的组织中。” |
2. 我们当前的安全计划是否涵盖软件供应链威胁?
防御软件供应链攻击的主要问题是,它们滥用了用户和供应商之间的信任关系,并且滥用了特定软件的合法访问权和特权来执行其功能。从用户的角度来看,他们下载的软件来自信誉良好的来源,并且通过正确的发行或更新渠道进行了数字签名。用户没有能力对其基础架构中部署的软件更新进行逆向工程或代码分析,而且一般企业也不是安全厂商,并不存在具备这些技能的员工。
企业组织必须假设,他们可能无法检测到最初的软件供应链入侵。但是,他们可以采取措施来阻止和检测攻击的第二阶段,这包括尝试下载其他工具和有效负载,尝试与外部命令和控制服务器进行通信以及尝试横向移动到其他系统等。
3. 如果政府机构和像FireEye这样的安全供应商受到损害,我们如何保护自己?
Webb表示,企业组织需要关注其安全程序的成熟度。每个组织可能都构建了具有防火墙、入侵检测和防御系统、DNS控制和其他具备创建边界功能的防护措施,但是他们并没有付出很多努力来强化其内部环境。
组织可以检测到横向移动活动(例如企图滥用管理凭据),但这通常需要高级监视和行为检测工具以及大型安全运营中心的支持,而这些对于中小型组织而言都是无法承受的。这些组织可以做的就是确保他们部署了基础安全防护,并且所有系统和内部环境都尽可能地坚固。
以Avalon公司为例,其内部网络上的通信都经过了加密处理,这样,在受到威胁的情况下,攻击者即便可以拦截流量也无法从流量中提取凭据或其他有用信息。所有DNS流量都必须通过防火墙和DNS过滤器,并且允许服务器连接的所有URL都必须是白名单中的。这样可以确保如果服务器受到威胁,那么恶意代码将无法到达命令和控制服务器,并下载其他恶意工具或执行恶意命令。
完成部署后,所有服务器都需要经过强化过程,在此过程中,一切都是被锁定和阻止的,然后根据需要对连接设置白名单。数据库也是一样。访问数据库的服务器只能查看其执行工作所需的操作。仅从内部服务器提供更新,而不能直接从Internet提供更新,从而防止受到感染的服务器打开外部连接。用户绝不能使用管理员凭据登录,并且只能使用白名单中的应用程序。最终用户、Windows服务器和Linux服务器分别位于单独的目录中,这样一来,如果一个目录遭到破坏,也不至于危及整个环境。
Webb表示,7年前,我们开始应用零信任原则,它实际上是仅根据您信任的内容以及设备应该具有的功能来管理设备。其他所有一切都是不可信的,都应被阻止。如果存在试图违反该规则的事情,就必须警惕:为什么这个系统试图做我不打算做的事情?
实际上,发现并报告此次SolarWinds攻击的FireEye公司也曾沦为攻击目标,据悉,攻击者将一个二级设备添加到了一名员工的账户中,以绕过多因素身份验证。这种行为被及时检测到并标记为可疑,而该员工随后也接受了讯问。
Webb表示,这可能就是问题的答案:坚持零信任和行为管理。如果某些事情违反了您的零信任原则,则必须对其进行调查。 
(编辑:应用网_丽江站长网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
浙公网安备 33038102330468号