當前位置:聯升科技 > 技術資訊 > 應用(yòng)安全 >

應對(duì)SolarWinds黑(hēi)客攻擊的(de)10個(gè)網絡安全技巧

2021-01-25    作者:鄒铮編譯    來(lái)源:TechTarget中國    閱讀:
網絡安全專家稱,SolarWinds Orion網絡管理(lǐ)平台遭受的(de)攻擊是針對(duì)美(měi)國政府網絡和(hé)很多(duō)大(dà)型公司數據基礎架構的(de)最嚴重黑(hēi)客攻擊之一。該攻擊于2020年12月(yuè)發現,在該攻擊發生後,網絡專業人(rén)員(yuán)們都在努力緩解此次廣泛數據洩露事故的(de)影(yǐng)響。
該供應鏈攻擊影(yǐng)響著(zhe)多(duō)個(gè)美(měi)國聯邦政府機構,包括商務部、能源部和(hé)國土安全部門。此次攻擊的(de)消息迫使思科和(hé)微軟等大(dà)型上市公司加強網絡分(fēn)析活動,以便及時(shí)識别和(hé)緩解異常情況,避免中斷運營。
在此次攻擊曝光(guāng)後,SolarWinds宣布對(duì)其Orion平台進行更新,攻擊該平台等惡意軟件名爲Supernova。根據SolarWinds的(de)調查,攻擊者通(tōng)過利用(yòng)Orion平台中的(de)漏洞來(lái)部署惡意軟件,大(dà)約有18,000個(gè)客戶受此攻擊影(yǐng)響。爲了(le)應對(duì)SolarWinds的(de)黑(hēi)客攻擊,這(zhè)些公司需要部署Orion更新,并仔細檢查其網絡的(de)各個(gè)方面,以識别惡意軟件在何處啓動。
Supernova惡意軟件
根據SolarWinds安全公告顯示,“SUPERNOVA不是惡意代碼……它是單獨放置在服務器的(de)惡意軟件,需要未經授權訪問客戶網絡,該惡意軟件被設計爲冒充SolarWinds産品的(de)一部分(fēn)。”
該供應商指出,該惡意軟件具有兩個(gè)組件,“第一個(gè)是惡意的(de)未簽名的(de)webshel​​l .dll‘app_web_logoimagehandler.ashx.b6031896.dll’,專門編寫用(yòng)于SolarWinds Orion平台。第二個(gè)是利用(yòng)Orion平台中的(de)漏洞,以部署該惡意代碼。”

調查人(rén)員(yuán)在研究該惡意軟件攻擊時(shí),發現稱爲Sunburst的(de)後門程序,該後門程序使黑(hēi)客能夠接收有關受感染計算(suàn)機的(de)報告。然後,黑(hēi)客利用(yòng)這(zhè)些數據來(lái)确定要進一步利用(yòng)的(de)系統。
調查人(rén)員(yuán)發現,這(zhè)個(gè)後門代碼類似于另一種廣泛使用(yòng)的(de)黑(hēi)客工具Kazuar。他(tā)們推測,Kazuar曾被用(yòng)于針對(duì)公共和(hé)私營組織的(de)很多(duō)攻擊中,并且,它可(kě)能是觸發因素,以啓動駐留在目标系統中的(de)先前處于休眠狀态的(de)惡意軟件。
經驗教訓和(hé)接下(xià)來(lái)的(de)措施
Orion平台在全球範圍内都很流行,并被廣泛使用(yòng),它是經驗豐富的(de)黑(hēi)客的(de)目标。我們可(kě)以從SolarWinds黑(hēi)客攻擊中學到的(de)教訓之一是,安全軟件并不完善,應被視爲潛在的(de)網絡攻擊切入點。
另一個(gè)教訓是,謹慎對(duì)待網絡基礎架構的(de)所有元素,尤其是外圍設備。企業必須購(gòu)買和(hé)使用(yòng)功能強大(dà)的(de)異常檢測軟件,這(zhè)是一項明(míng)智的(de)投資。
那麽,網絡和(hé)安全團隊現在和(hé)将來(lái)還(hái)可(kě)以做(zuò)什(shén)麽來(lái)應對(duì)SolarWinds的(de)黑(hēi)客攻擊?這(zhè)兩個(gè)團隊都需要了(le)解此事件,并爲其他(tā)事件做(zuò)好準備,下(xià)面讓我們看看應該怎樣做(zuò),毫無疑問,這(zhè)兩個(gè)團隊需要協作才能防止和(hé)緩解未來(lái)的(de)攻擊。
1. 計算(suàn)機容易受到攻擊。無論采取何種積極措施來(lái)識别、預防和(hé)緩解網絡攻擊,IT基礎架構仍然面臨風險。最佳的(de)網絡和(hé)安全狀态假定會發生攻擊,并将盡一切可(kě)能的(de)努力來(lái)防止發生攻擊。
2. 安全是企業文化(huà)的(de)基石。網絡和(hé)信息系統的(de)安全性從領導層開始,高(gāo)層管理(lǐ)人(rén)員(yuán)必須了(le)解信息安全的(de)重要性,認可(kě)和(hé)支持信息安全,并在整個(gè)組織中傳達該信息。
3. 确定企業的(de)所有切入點,并建立足夠的(de)安全性。經驗豐富且積極進取的(de)黑(hēi)客可(kě)以利用(yòng)很多(duō)訪問點(AP)。在當前疫情期間,對(duì)遠(yuǎn)程訪問的(de)使用(yòng)給企業的(de)網絡和(hé)信息資源創建更多(duō)其他(tā)入口點。請确保識别所有可(kě)能的(de)和(hé)不太可(kě)能的(de)AP,适當保護并定期監控可(kě)疑活動。
4. 網絡外圍必須得(de)到積極保護。請利用(yòng)防火牆、入侵檢測和(hé)防禦系統,以及很多(duō)其他(tā)服務來(lái)消除企業和(hé)個(gè)人(rén)網絡中的(de)任何縫隙。更重要的(de)是,定期更新這(zhè)些專用(yòng)系統的(de)規則和(hé)其他(tā)參數,以确保它們發揮最佳功能。
5. 定期修複,并确保按規定修複補丁。例如,SolarWinds向Orion平台發布多(duō)個(gè)更新,以供用(yòng)戶修補。有效的(de)補丁程序管理(lǐ)流程至關重要,可(kě)保持領先于惡意行爲者。
6. 同時(shí)提高(gāo)網絡安全與物(wù)理(lǐ)安全。網絡安全和(hé)物(wù)理(lǐ)安全相輔相成,因此不應放在單獨的(de)孤島中。例如,惡意員(yuán)工未經授權對(duì)數據中心進行的(de)物(wù)理(lǐ)訪問,可(kě)能與惡意軟件攻擊一樣具有破壞性。
7. 事件響應計劃和(hé)協議(yì)必須部署到位。這(zhè)些策略可(kě)控制企業如何響應網絡安全異常的(de)最初發現。應該對(duì)它們進行記錄、定期檢查和(hé)測試,以确保它們在需要時(shí)可(kě)以工作。
8. 維護網絡安全和(hé)網絡安全策略和(hé)程序。網絡安全策略确定“什(shén)麽”-安全活動有關的(de)内容,而程序則明(míng)确“如何”-企業在大(dà)多(duō)數事件中采取的(de)特定措施。至少每年檢查一次并更新這(zhè)些策略和(hé)程序,特别是在部署任何新網絡或安全技術時(shí)。
9. 非技術計劃納入安全策略。網絡安全保險是非技術資源的(de)一個(gè)示例,以應對(duì)攻擊事件。勒索軟件攻擊可(kě)以多(duō)種方式影(yǐng)響企業(例如财務損失),并損害公司的(de)競争地位和(hé)聲譽。
10. 确保所有安全和(hé)網絡保護計劃都是最新,定期執行并定期審核。僅僅制定緊急計劃是不夠的(de),例如技術災難恢複和(hé)網絡安全計劃。這(zhè)些重要的(de)舉措及其相關文檔必須至少每年進行一次定期檢查,更新、測試和(hé)審核。
在本文中,我們研究了(le)最近的(de)惡意軟件攻擊及其持續影(yǐng)響。更重要的(de)是,我們討(tǎo)論了(le)企業必須采取的(de)措施,以确保網絡外圍安全、信息系統和(hé)數據安全,并且,企業應将網絡保護和(hé)網絡安全視爲關鍵任務。


相關文章(zhāng)

我們很樂(yuè)意傾聽(tīng)您的(de)聲音(yīn)!
即刻與我們取得(de)聯絡
成爲日後肩并肩合作的(de)夥伴。

行業資訊

聯系我們

13387904606

地址:新餘市仙女(nǚ)湖區(qū)仙女(nǚ)湖大(dà)道萬商紅A2棟

手機:13755589003
QQ:122322500
微信号:13755589003

江西新餘網站設計_小程序制作_OA系統開發_企業ERP管理(lǐ)系統_app開發-新餘蘇翊網絡科技有限公司 京ICP證000000号   贛公網安備 36050202000267号   

微信二維碼