當(dāng)前位置:聯(lián)升科技 > 技術(shù)資訊 > 應(yīng)用安全 >

應(yīng)對SolarWinds黑客攻擊的10個網(wǎng)絡(luò)安全技巧

2021-01-25    作者:鄒錚編譯    來源:TechTarget中國    閱讀:
網(wǎng)絡(luò)安全專家稱,SolarWinds Orion網(wǎng)絡(luò)管理平臺遭受的攻擊是針對美國政府網(wǎng)絡(luò)和很多大型公司數(shù)據(jù)基礎(chǔ)架構(gòu)的最嚴(yán)重黑客攻擊之一。該攻擊于2020年12月發(fā)現(xiàn),在該攻擊發(fā)生后,網(wǎng)絡(luò)專業(yè)人員們都在努力緩解此次廣泛數(shù)據(jù)泄露事故的影響。
該供應(yīng)鏈攻擊影響著多個美國聯(lián)邦政府機(jī)構(gòu),包括商務(wù)部、能源部和國土安全部門。此次攻擊的消息迫使思科和微軟等大型上市公司加強(qiáng)網(wǎng)絡(luò)分析活動,以便及時識別和緩解異常情況,避免中斷運(yùn)營。
在此次攻擊曝光后,SolarWinds宣布對其Orion平臺進(jìn)行更新,攻擊該平臺等惡意軟件名為Supernova。根據(jù)SolarWinds的調(diào)查,攻擊者通過利用Orion平臺中的漏洞來部署惡意軟件,大約有18,000個客戶受此攻擊影響。為了應(yīng)對SolarWinds的黑客攻擊,這些公司需要部署Orion更新,并仔細(xì)檢查其網(wǎng)絡(luò)的各個方面,以識別惡意軟件在何處啟動。
Supernova惡意軟件
根據(jù)SolarWinds安全公告顯示,“SUPERNOVA不是惡意代碼……它是單獨(dú)放置在服務(wù)器的惡意軟件,需要未經(jīng)授權(quán)訪問客戶網(wǎng)絡(luò),該惡意軟件被設(shè)計為冒充SolarWinds產(chǎn)品的一部分。”
該供應(yīng)商指出,該惡意軟件具有兩個組件,“第一個是惡意的未簽名的webshel??l .dll‘app_web_logoimagehandler.ashx.b6031896.dll’,專門編寫用于SolarWinds Orion平臺。第二個是利用Orion平臺中的漏洞,以部署該惡意代碼。”

調(diào)查人員在研究該惡意軟件攻擊時,發(fā)現(xiàn)稱為Sunburst的后門程序,該后門程序使黑客能夠接收有關(guān)受感染計算機(jī)的報告。然后,黑客利用這些數(shù)據(jù)來確定要進(jìn)一步利用的系統(tǒng)。
調(diào)查人員發(fā)現(xiàn),這個后門代碼類似于另一種廣泛使用的黑客工具Kazuar。他們推測,Kazuar曾被用于針對公共和私營組織的很多攻擊中,并且,它可能是觸發(fā)因素,以啟動駐留在目標(biāo)系統(tǒng)中的先前處于休眠狀態(tài)的惡意軟件。
經(jīng)驗教訓(xùn)和接下來的措施
Orion平臺在全球范圍內(nèi)都很流行,并被廣泛使用,它是經(jīng)驗豐富的黑客的目標(biāo)。我們可以從SolarWinds黑客攻擊中學(xué)到的教訓(xùn)之一是,安全軟件并不完善,應(yīng)被視為潛在的網(wǎng)絡(luò)攻擊切入點。
另一個教訓(xùn)是,謹(jǐn)慎對待網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的所有元素,尤其是外圍設(shè)備。企業(yè)必須購買和使用功能強(qiáng)大的異常檢測軟件,這是一項明智的投資。
那么,網(wǎng)絡(luò)和安全團(tuán)隊現(xiàn)在和將來還可以做什么來應(yīng)對SolarWinds的黑客攻擊?這兩個團(tuán)隊都需要了解此事件,并為其他事件做好準(zhǔn)備,下面讓我們看看應(yīng)該怎樣做,毫無疑問,這兩個團(tuán)隊需要協(xié)作才能防止和緩解未來的攻擊。
1. 計算機(jī)容易受到攻擊。無論采取何種積極措施來識別、預(yù)防和緩解網(wǎng)絡(luò)攻擊,IT基礎(chǔ)架構(gòu)仍然面臨風(fēng)險。最佳的網(wǎng)絡(luò)和安全狀態(tài)假定會發(fā)生攻擊,并將盡一切可能的努力來防止發(fā)生攻擊。
2. 安全是企業(yè)文化的基石。網(wǎng)絡(luò)和信息系統(tǒng)的安全性從領(lǐng)導(dǎo)層開始,高層管理人員必須了解信息安全的重要性,認(rèn)可和支持信息安全,并在整個組織中傳達(dá)該信息。
3. 確定企業(yè)的所有切入點,并建立足夠的安全性。經(jīng)驗豐富且積極進(jìn)取的黑客可以利用很多訪問點(AP)。在當(dāng)前疫情期間,對遠(yuǎn)程訪問的使用給企業(yè)的網(wǎng)絡(luò)和信息資源創(chuàng)建更多其他入口點。請確保識別所有可能的和不太可能的AP,適當(dāng)保護(hù)并定期監(jiān)控可疑活動。
4. 網(wǎng)絡(luò)外圍必須得到積極保護(hù)。請利用防火墻、入侵檢測和防御系統(tǒng),以及很多其他服務(wù)來消除企業(yè)和個人網(wǎng)絡(luò)中的任何縫隙。更重要的是,定期更新這些專用系統(tǒng)的規(guī)則和其他參數(shù),以確保它們發(fā)揮最佳功能。
5. 定期修復(fù),并確保按規(guī)定修復(fù)補(bǔ)丁。例如,SolarWinds向Orion平臺發(fā)布多個更新,以供用戶修補(bǔ)。有效的補(bǔ)丁程序管理流程至關(guān)重要,可保持領(lǐng)先于惡意行為者。
6. 同時提高網(wǎng)絡(luò)安全與物理安全。網(wǎng)絡(luò)安全和物理安全相輔相成,因此不應(yīng)放在單獨(dú)的孤島中。例如,惡意員工未經(jīng)授權(quán)對數(shù)據(jù)中心進(jìn)行的物理訪問,可能與惡意軟件攻擊一樣具有破壞性。
7. 事件響應(yīng)計劃和協(xié)議必須部署到位。這些策略可控制企業(yè)如何響應(yīng)網(wǎng)絡(luò)安全異常的最初發(fā)現(xiàn)。應(yīng)該對它們進(jìn)行記錄、定期檢查和測試,以確保它們在需要時可以工作。
8. 維護(hù)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全策略和程序。網(wǎng)絡(luò)安全策略確定“什么”-安全活動有關(guān)的內(nèi)容,而程序則明確“如何”-企業(yè)在大多數(shù)事件中采取的特定措施。至少每年檢查一次并更新這些策略和程序,特別是在部署任何新網(wǎng)絡(luò)或安全技術(shù)時。
9. 非技術(shù)計劃納入安全策略。網(wǎng)絡(luò)安全保險是非技術(shù)資源的一個示例,以應(yīng)對攻擊事件。勒索軟件攻擊可以多種方式影響企業(yè)(例如財務(wù)損失),并損害公司的競爭地位和聲譽(yù)。
10. 確保所有安全和網(wǎng)絡(luò)保護(hù)計劃都是最新,定期執(zhí)行并定期審核。僅僅制定緊急計劃是不夠的,例如技術(shù)災(zāi)難恢復(fù)和網(wǎng)絡(luò)安全計劃。這些重要的舉措及其相關(guān)文檔必須至少每年進(jìn)行一次定期檢查,更新、測試和審核。
在本文中,我們研究了最近的惡意軟件攻擊及其持續(xù)影響。更重要的是,我們討論了企業(yè)必須采取的措施,以確保網(wǎng)絡(luò)外圍安全、信息系統(tǒng)和數(shù)據(jù)安全,并且,企業(yè)應(yīng)將網(wǎng)絡(luò)保護(hù)和網(wǎng)絡(luò)安全視為關(guān)鍵任務(wù)。


相關(guān)文章

我們很樂意傾聽您的聲音!
即刻與我們?nèi)〉寐?lián)絡(luò)
成為日后肩并肩合作的伙伴。

行業(yè)資訊

聯(lián)系我們

13387904606

地址:新余市仙女湖區(qū)仙女湖大道萬商紅A2棟

手機(jī):13755589003
QQ:122322500
微信號:13755589003

江西新余網(wǎng)站設(shè)計_小程序制作_OA系統(tǒng)開發(fā)_企業(yè)ERP管理系統(tǒng)_app開發(fā)-新余聯(lián)升網(wǎng)絡(luò)科技有限公司 贛ICP備19013599號-1   贛公網(wǎng)安備 36050202000267號   

微信二維碼