从SolarWinds攻击事件中看安全
作者:星期三, 十二月 30, 20200

近日,研究人员发现黑客通过破坏SolarWinds的”Orion网络管理产品”入侵了联邦机构和FireEye的网络。此外,多达1.8万的Orion客户也正面临着这次供应链攻击带来的巨大威胁。

这可能是近年来最严重的网络事件之一。目前,攻击者已经入侵了SolarWinds,他们利用该公司的软件更新在属于政府、国防和军事实体以及许多私营部门公司的系统上安装了 SUNBURST后门。

那么在本次事件中,我们能够看出哪些常见的安全问题呢?

1、远程监控和管理工具常被用作攻击媒介

SolarWinds事件表明远程监控和管理(RMM)工具更频繁地被攻击者用作攻击媒介。RMM工具可安装在客户端服务器、虚拟机管理程序、工作站、网络设备、笔记本电脑和其他移动终结点上,让攻击者能够深入潜伏企业网络。RMM通常具有操作系统级别的访问权限,能够监视修补程序、版本级别以及硬件性能问题(包括 CPU、内存等)。而这些远程工具的安全并没有受到企业重视并得到有效的防护。

2、构建系统时需要完善的安全机制

攻击者可能通过访问公司的网络系统或 CI/CD环境,将SUNBURST恶意软件插入到合法软件的更新中。因此,企业需要在软件开发生命周期中注意安全性。近年来,软件交付的速度和节奏不断提升,而安全机制往往被视为这种加速进程中的障碍。如今,企业网络系统对软件工程团队而言至关重要,他们依靠这些系统让自动化测试和代码的传输变得轻而易举。为了保证CI/CD系统的可靠性,工程师可能不会在安全方面进行仔细的维护,而实际上,这正是企业应该保护和审核的地方,包括系统中各类软件签名密钥的使用情况。

3、信任可能导致危机

攻击者将恶意代码插入到 SolarWinds 的 Orion 网络管理产品的合法更新中,正是利用了企业对SolarWinds的信任。在这种情况下,接收更新的人很难意识到恶意软件隐藏在数字签名的软件组件中。此攻击是利用受信任的第三方向大量企业或消费者传播恶意软件的典型示例。这些供应商的客户往往完全信任这些技术。SolarWinds 活动特别巧妙,因为它利用了IT员工和网络管理员信任的技术,并且使用较高的特权访问企业网络。

4、企业需要为长远的安全做打算

许多APT网络攻击很难被第一时间发现和检测,难以拦截。并且,对攻击从何入侵的检测可能存在错误,其影响范围和代价也难以预估。

早期关于这次大规模网络间谍活动的报道称,它最初的传播媒介是SolarWinds的 Orion 网络管理平台。然而,随后CISA公布了一项分析显示,攻击者可能还使用了其他的访问媒介。这一事件提醒我们,攻击者会利用隐藏恶意活动、维护持久性的混淆和反取证等策略,使得攻击被发现后,依然能进行下一次攻击。据报道,这次攻击中使用的策略包括利用在受害者国家/地区具有IP地址的虚拟私人服务器,将最终的IP地址轮换到不同的端点。另外,还使用了伪造的凭据进行横向移动和特权访问。

因此,企业应当为长远的安全做打算,事后补救不如未雨绸缪。目前,多数无文件攻击和APT攻击利用了某些应用程序和操作系统所特有的结构与系统工具,而这正是反恶意软件工具在检测和防御方面的疏漏点。当前有效的解决方案就是使用基于内核级的监控,捕获每个目标程序的动态行为。安芯网盾所提供的高级威胁实时防护解决方案,该方案基于硬件虚拟化技术构建内存安全环境,防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁,防止黑客利用零日漏洞或未修复漏洞进行的攻击。

参考链接:
[1]https://www.darkreading.com/attacks-breaches/solarwinds-campaign-focuses-attention-on-golden-saml-attack-vector/d/d-id/1339794
[2]https://www.darkreading.com/5-key-takeaways-from-the-solarwinds-breach/d/d-id/1339764
[3]https://www.darkreading.com/vulnerabilities—threats/prepare-to-fight-upcoming-cyber-threat-innovations/a/d-id/1339592

安芯网盾(北京)科技有限公司(简称安芯网盾)是专注于内存安全的高新技术企业,致力于为政府、金融、运营商、军工、教育、医疗、互联网及大型企业等行业客户提供面向未来的网络安全解决方案。安芯网盾拥有赶超国际的智能内存保护技术,核心团队成员自2005年就专注于信息安全攻防对抗产品的研发并斩获多项国际大奖,被评为具有发展潜力和行业价值的网络安全新创企业。

安芯网盾帮助企业构建基于硬件虚拟化技术的内存安全环境,防御并终止在业务关键应用程序中的无文件攻击、0day漏洞攻击等高级威胁,切实有效保障用户的核心业务不被阻断,保障用户的核心数据不被窃取,已为华为、百度、金山、中国海关、北京银行、Google、G42等众多国际知名企事业单位持续提供服务。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章