热修补和隔离潜在受影响的资源是IT响应计划,作为采用Solarwinds Orion网络监控软件的企业来限制影响的企业严重的木马在平台上释放出来。
供应链攻击,本周早期报道路透社并由安全研究人员详述FireeEye.和微软涉及潜在的国家赞助的复杂的演员,通过Trojanized更新来获得各种各样的政府,公共网络,到Solarwind的Olion网络监控和管理软件。根据Fireeye和其他人的说法,这项运动可能已经开始于2020年春天和正在进行的。
“Solarwinds证实,思科安全研究臂的研究人员,思科安全研究人员的研究人员尚未达到18,000名300,000名客户下载了遭到影响的更新。”踝关节。“仍然,这项运动的影响可能是令人震惊的,该公司的产品被几个高价值实体使用。根据Fireeye的说法,据报道,受害者包括北美,欧洲,亚洲和中东的政府机构和咨询,技术,电信和石油和天然气公司。一些报告还表明,美国财政部和商务部门也有针对性与同一活动有关的目标。“
为了回应攻击,Solarwinds发出了一个热门补丁今天有人预计今天。截至本出版物,举例说:“额外的修补程序释放,2020.2.1 HF 2,预计将于2020年12月15日星期二提供。我们建议所有客户更新orion平台2020.1 HF 2一次可用,如2020.2.1 HF 2版本替换了损坏的组件并提供了几种额外的安全增强功能。“
“我们已经扫描了所有软件产品的代码,用于类似于对我们的猎户座平台产品的攻击中使用的标记的标记,我们发现没有证据表明我们的ORION平台产品或其他产品的其他版本包含这些标记。因此,我们不知道其他版本的猎户座平台产品已受到此安全漏洞的影响。其他非猎户座平台产品也不知道,我们也没有受到这种安全漏洞的影响,“Solarwinds在其咨询中表示。
专家们表示客户在处理木马时有许多选择。
“孤立是我们现在所倡导的策略,”知识产权建筑师咨询公司总裁John Pironti说。“大多数Solarwinds所做的是监视,不一定是核心网络服务,因此隔离这些资源不太有影响。并发症将在具有深层自动化功能的企业中;孤立时间更长的时间更难。“
问题是热修复不是补丁,所以今天还有一个,也许在星期五的另一个,所以企业必须继续改变可能影响其他资源的改变,Pironti说。“需要什么是完全审皮的补丁。”
政府的网络安全和基础设施安全局通过指示联邦机构通过的进一步推动警告紧急指令21-01“立即断开或断开Solarwinds Orion产品,从他们的网络从2019.4至2020.2.1 HF1。”
“直到CISA指导受影响实体重建Windows操作系统并重新安装SolarWinds软件包,禁止从(重新)加入企业域中的代理商。受影响的实体应期望从CISA的进一步通信,并在利用最新版本的可用产品从可信资源重建以获得可信资源之前等待指导。此外,代理商应该阻止往返于企业外部的所有流量,在哪里任何版本已安装SolarWinds Orion软件。此外,识别和删除所有威胁演员控制的帐户并确定了持久性机制。“
还建议了其他缓解。例如,Microsoft建议:
- 达到迄今为止的防病毒或EDR产品,可检测这些二进制文件的受损的Solarwinds库和可能的异常过程行为。考虑完全禁用环境中的Solarwinds,直到您有信任的版本,没有注入代码。
- 使用您的网络基础架构块在[折衷指标]中已知[命令和控制]端点。
- 遵循您身份联合技术提供商的最佳实践,以确保SAML令牌签名键。如果您的身份联合技术提供商支持它,请考虑SAML令牌签名证书的硬件安全性。
- 确保具有管理权限的用户帐户遵循最佳实践,包括使用特权访问工作站,JIT / JEA和强验证。减少具有高度特权目录角色成员的用户数,如全局管理员,应用程序管理员和云应用程序管理员。
CISA推荐“汇编系统内存和/或主机操作系统托管Solarwinds Orion版本2019.4至2020.1 HF1的所有实例,并为新用户或服务帐户分析,以及识别”SolarWinds.orion.core.businessLayer的存在.dll“和”c:\ windows \ syswow64 \ netsetupsvc.dll。“它还表示,要重置SolarWinds软件使用的凭据,并为这些帐户实现旋转策略。需要长期和复杂的密码。
Pirontii说,供应链攻击虽然它们变得更加复杂,但也许更具破坏性,但也许更加损害。
一种最近的CSO文章由供应商造成的主要网络违规行为:2014年目标违规行为是由HVAC供应商处于LAX安全引起的。ecifax.将其2017年巨型泄露违反它使用的外部软件的缺陷。
“供应链妥协可以暴露组织的内部网络和数据,并预防,检测和缓解需要成熟,跨官能的安全能力,”安全供应商正品8在一份声明中的战略举措负责人表示。“供应链威胁的缓解和检测需要传统的团队之间的协调协调,包括采购,物流,合规和安全团队。”
与库平的分析师建议了整体供应链安全的战略行动计划。KuppingerCole的领导分析师和董事总经理John Tolbert表示,客户应开始专注于供应链安全,具体:
- 不要来自反恶意软件扫描的白名单安全工具
- 不要从NTA / NDR扫描的安全供应商云的众议官员声称的IPS / URL
- 更新业务流程
- 期待新的法规来解决供应链网络安全
- 威胁狩猎持续的活动(如果你没有这个工具,请得到它们)
- 避免在任何地方使用密码。尽可能使用多因素认证fa
- 对所有管理员和服务帐户使用特权访问管理