近期“SolarWinds 骇客攻击事件”正设法渗透入侵大量的组织单位,除了美国-之外,范围更扩及全球企业,评估并清除其损害的时间可能将耗费数年,被称为史上最大的国家级资安威胁之一。网络资安厂商 Fortinet 就呼吁企业积极采取主动侦测防御的解决方案,防止恶意程式入侵。
近来频频传出有特定国家的骇客组织借由渗透美国-最大的软件供应商 SolarWinds 旗下的 SolarWinds Orion 平台,入侵采用该平台的企业及组织,使许多单位遭遇极大的资安威胁,包含多个美国-机构。
骇客于该平台产品植入 Sunburst 木马程式,并伪装成更新档,在成功进驻受害系统之后,再进行一系列的检查,以确保能在攻击目标的系统上运作,进而发动供应链攻击,损害 SolarWinds 的 Orion IT监视和管理软件更新系统以窃取机密资料。根据 SolarWinds 的资料显示,有 3 万 3 千个组织使用了 Orion 的软件,判断可能已有 1 万 8 千家客户下载了这支程式。
对此,Fortinet 指出,正积极与客户合作,降低遭恶意软件感染的风险。FortiGuard 实验室也于事件发生后不断分析更多攻击的细节,多方搜集资料并研究本次入侵 SolarWinds 的 “Sunburst”/UNC2452 木马程式威胁数据,Fortinet 还主动扫描了 FortiEDR 云端数据湖以查找相关指标,藉以确定客户是否遭到恶意入侵,并联系可能受到影响的客户。
Fortinet 指出,目前已全面展开对 SolarWinds 攻击事件的部署,包括强化解决方案更新、侦测、防护以及回应等,以防护功能协助客户抵御恶意程式入侵。Fortinet 也提出了三种主动资安防护措施来确保资讯安全无虞:
侦测入侵
所有已发布和后续的 IOCs 都立即新增到 Fortinet 的云端智慧和特征码数据库中,确保 Fortinet 的安全解决方案(包括 FortiGate、FortiSIEM、FortiSandbox、FortiEDR、FortiAnalyzer 和 FortiClient)都能成功检测到恶意程式。若发现新的 IOCs ,它们也将立即被新增到我们的数据库中。
防护和回应
负责异常行为侦测与阻挡的 FortiEDR 透过非特征码的行为学习能力,侦测恶意程式感染,记录攻击事件轨迹,可主动减少攻击面并提供调查与回应能力,帮助企业组织达到高效自动化的进阶威胁防御。在任何运行 FortiEDR 的系统上,客户无须更新就可以免受此次骇客攻击。FortiGuard 实验室则持续关注情报更新,协助客户在 Fortinet 安全网络中进行检测并遏止入侵。协助网络安全记录的 FortiSIEM、FortiAnalyzer 开发人员已设立特殊的查询报告和事件关联规则,识别命令与控制的恶意中继网站,帮助客户厘清 SolarWinds 相关的问题。
自动化回应
FortiSIEM、FortiSOAR 可建立跨组织的资安事故回应协作流程,与其他资安通讯系统连动,达到回应处理自动化。FortiSOAR 亦设有特定的剧本(Playbooks),方便客户针对此次 SolarWinds 骇客攻击事件进行鉴识与回应。
(首图来源:pixabay)
