[ad_1]

با افزایش مقیاس سازش پلت فرم Orion SolarWinds – که تاکنون شناخته شده است که چندین بخش دولتی ایالات متحده و شرکت امنیت سایبری FireEye را تحت تأثیر قرار داده است – تیم های امنیتی هزاران مشتری دیگر SolarWinds همچنان در حال آماده باش هستند.

حمله زنجیره تأمین که Sunburst نامیده می شود ، شامل قرار دادن کد مخرب در Orion بود ، به مهاجم جای پایینی در شبکه می داد که از آنها برای به دست آوردن اعتبار بالاتر استفاده می کنند ، که به نوبه خود به این معنی است که آنها می توانند به داده های بیشتری دسترسی پیدا کنند و تا حد زیادی مطابق میل خود عمل می کنند. . به نظر می رسد درپشتی اولیه از طریق سیستم عامل های بروزرسانی خودکار قانونی از مارس 2020 توزیع شده است.

در زمان نوشتن این مقاله ، بر روی ساخت نرم افزار SolarWinds ‘Orion Platform برای نسخه های 2019.4 HF 5 و 2020.2 بدون رفع مشکل ، یا 2020.2 HF 1 تأثیر می گذارد و از این رو تعدادی از محصولات نظارت بر شبکه SolarWinds به آنها وابسته است – لیست کاملی از SolarWinds در دسترس است ، در حالی که مایکروسافت راهنمای گسترده ای نیز منتشر کرده است.

اگرچه انتساب در بهترین زمانها علمی غیرقطعی است ، اما بر اساس اطلاعات فعلی ، مصالحه احتمالاً توسط گروه APT29 تحت حمایت دولت روسیه انجام شده است ، یا همان خرس دنج ، که یک کار جاسوسی سایبری طولانی مدت علیه اهداف غربی را انجام داده است از جمله ، شاید مشهورترین آنها ، کمیته ملی دموکراتیک (DNC).

کیم پرتی ، دادستان سابق وزارت دادگستری ایالات متحده (DoJ) و هم اکنون رئیس تیم آماده سازی و واکنش به امنیت سایبری و تیم امنیت ملی و جرایم دیجیتال در شرکت حقوقی Alston & Bird ، حمله را بدون موازی بودن در امنیت سایبری توصیف کرد تاریخ.

وی گفت: “ما فقط در مراحل ابتدایی درک تأثیر این حمله هستیم و ممکن است حتی برای ماههای طولانی تأثیر واقعی آن را ندانیم.” “با توجه به زمان معاصر بروزرسانی های مخرب با شروع محدودیت های Covid-19 در ایالات متحده ، زمان مناسبی برای یک طوفان عالی بود.

“دشمنان برای دستیابی به دسترسی و حفظ پایداری در محیط قربانیان ، از مخفیانه ترین اقدامات فنی – مانند خواب دو هفته ای ، استگانوگرافی ، نقاب زدن به عنوان فعالیت قانونی ، به حداقل رساندن استفاده از بدافزار – استفاده کردند. این حمله شامل یک بازی A-Plus بود که ماهیتی واقعا بی سابقه داشت. “

“سرد ، منطقی ، منطقی”

دولت مبتنی بر این حمله ممکن است مقداری آرامش را برای کاربران SolarWinds در سازمانهایی که احتمال کمتری خود را در میان ژئوپلیتیک بین المللی قرار می دهند فراهم کند ، اما با این وجود ، با بیش از 18000 قربانی بالقوه ، بسیاری از آنها سازمانهای Fortune 500 هستند ، دامنه گسترده ای برای نقض وجود دارد ، و تقریباً قطعاً چنین خواهد شد. بنابراین چگونه باید واکنش نشان دهید؟

سام کاری ، افسر ارشد امنیتی در Cybereason ، گفت: مقیاس گسترده این حادثه ، که قبلاً در بعضی از مناطق با حوادث WannaCry 2017 مقایسه شده است ، خواستار پاسخ “سرد ، منطقی ، منطقی” است.

کاری گفت: “به طور کلی ، اکنون زمان ترس و وحشت کارشناسان امنیتی نیست.” “یک پاسخ عملی و سنجیده توصیه می شود. اگر از SolarWinds در سازمان شما استفاده می شود ، وضعیت امنیتی خود را به شرح زیر تقویت کنید:

”ماشین های دارای سیستم عامل SolarWinds را جدا کنید تا زمانی که تحقیقات بیشتر در دسترس است اطلاعات بیشتری در دسترس قرار دهید. reimage ماشینهای تحت تأثیر؛ اعتبار کاربری حساب هایی را که به دستگاه های SolarWinds دسترسی دارند ، تنظیم مجدد کنید. و در اسرع وقت به Orion Platform نسخه 2020.2.1 HF 1 ارتقا دهید.

“علاوه بر این ، یک گروه ویژه ایجاد کنید تا همه گزارش های داده را بررسی کند ، بهداشت سیستم ها را بررسی کند و مطمئن شود همه افراد برای حملات آینده در حالت آماده باش هستند. اطمینان حاصل کنید که شرکت شما همیشه در جستجوی دشمنان است. هرچه زودتر این کارها را انجام دهید ، زودتر می توانید تصور کنید هیچ کس در حالت سکوت در شبکه شما کمین نکرده است. “

جو اسلوویک ، محقق ارشد امنیت در DomainTools ، گفت که این کمپین یک نفوذ “منحصر به فرد ناراحت کننده” است و پیامدهای آن برای چندین عمودی است.

“فراگیر شدن SolarWinds در شبکه های بزرگ ، همراه با مدت زمان طولانی نفوذ ناشی از این مصالحه ، به این معنی است که قربانیان این کمپین نه تنها نیاز به بازیابی نمونه SolarWinds خود دارند ، بلکه ممکن است نیاز به بازنشانی رمز عبور گسترده ، بازیابی دستگاه و موارد مشابه داشته باشند. فعالیت ترمیم برای تخلیه کامل یک متجاوز ، “او گفت.

“اگرچه این برای شرایط موجود نگران کننده و تأسف آور است ، حملات زنجیره تأمین در آینده – از آنجا که این آخرین حادثه ای نخواهد بود که بر مدافعان شبکه و اپراتورها تأثیر می گذارد – می تواند با NSM مهاجم و دید ارتباطی مواجه شود و شناسایی شود.”

اسلوویک اضافه کرد: “تا زمانی که حتی پیچیده ترین درب پشتی یا کاشت نیاز به برقراری ارتباط با یک نهاد کنترل کننده یا دستورالعمل آن داشته باشد ، مدافعان فرصت دارند عملیات را شناسایی و مختل کنند. از طریق نظارت مداوم بر ترافیک شبکه و درک آنچه میزبان ها با یکدیگر ارتباط برقرار می کنند ، مدافعان می توانند از نقاط ضعف و وابستگی های مهاجم استفاده کنند تا از این چالش های غیرقابل ترس آور عبور کنند. “

خطر شخص ثالث: ارزیابی سخت است ، اما غیرممکن نیست

متأسفانه برای تیم های امنیتی در کاربران SolarWinds ، ماهیت یک حمله زنجیره تأمین به معنی فقدان کنترلی است که شما واقعاً بر امنیت سازمانی دارید و بسیار آسان است که قربانی یک حادثه شوید ، با تمام آمادگی و دقت شما. همانطور که پیرس ویلسون ، رئیس مدیریت محصول در متخصص هانتسمن امنیت SIEM استرالیا ، اشاره کرد ، توجه به جزئیات ، شما نمی توانید از آن اجتناب کنید – فقط به این دلیل که اجرای امنیت در SolarWinds در هدیه شما نیست.

وی گفت: “بسیاری از سازمان ها دفاع امنیتی سایبری خود را تقویت كرده اند ، اما همانطور كه ​​مشاهده كردیم ، یك شركت یا یك شركت تخلف می تواند اقدامات مثبتی را كه قبلاً انجام شده است تضعیف كند.” “این واقعیت که یک منبع تامین کننده با موفقیت موفقیت شکسته و سازمانهای اصلی دولت ایالات متحده را در معرض خطر قرار داده است ، اهمیت بسیار زیاد یک زنجیره تامین امن را برجسته می کند.”

ویلسون طرفداری کرد که مدافعان باید رویکرد “جامع” در قبال امنیت اتخاذ کنند ، صرفاً به این دلیل که داشتن جدیدترین و بهترین راه حل ها تنها در صورت عدم موفقیت تأمین کنندگان ، دفاع جزئی است.

وی گفت: “مشاغل معمولاً دقت لازم را در مورد دوام اقتصادی شرکای اصلی انجام می دهند تا اطمینان حاصل کنند که خطری ندارند.” “این امر برای امنیت سایبری نیز باید صادق باشد. ارزیابی منظم یا نظارت بر رویه های امنیت سایبری همه شرکا و تأمین کنندگان باید در کنار یک برنامه قوی امنیت سایبری برای کاهش خطر قربانی شدن در حملات مشابه به امری عادی تبدیل شود. “

دیو استپلتون ، CyberGRX CISO گفت: “این حملات مداوم نیاز شرکت ها برای ترکیب مسئولیت اجتماعی را با روش های مدیریت ریسک افزایش می دهد. این را در نظر بگیرید: ممکن است هیچ یک از فروشندگان مستقیم شما از SolarWinds استفاده نکنند ، اما کاملاً محتمل است که یکی از اشخاص ثالث مهم آنها این کار را انجام دهد ، که این امر همچنان شرکت شما را در معرض خطر قطع یا مصالحه قرار می دهد.

“بسیار آسان است که یک قربانی شرایط شود. آسان است که توسط اشخاص ثالث غرق شوید و نتوانید از چگونگی مدیریت و محافظت از شبکه های خود یا حتی نحوه مشخص کردن خطرات خود پیگیری کنید – همه این کار را متفاوت انجام می دهند و معیارهای اندازه گیری متفاوتی دارند. همچنین ، فناوری فقط با استفاده از ابر و تحول دیجیتال که به تازگی تسریع شده است ، مشکل را تشدید کرده است.

اکثر اشخاص ثالث تلاش می کنند تا آنچه را که در مورد شبکه های خود می دانند به شرکای سازمانی بزرگتر خود گزارش دهند ، اما خلا gap دانش ، کمبود توانایی نظارت یا کمبود در به روزرسانی زیرساخت ها و ردیابی فرآیند ، اغلب منجر به ایجاد آسیب پذیری می شود.

وی گفت: “به نظر می رسد که برای اطمینان از اینکه اقدامات اشتباهی انجام نداده اند ، باید مراحل گزارش دهی را طی کنند. این قابل تحقق است ، اما نیاز به ارزیابی مبتنی بر چندین تکنیک ، از جمله ارزیابی خود ، اسکن خارجی ، پرسشنامه های هدایت شده توسط فناوری ، نظارت بر تغذیه تهدید و موارد دیگر دارد. “

[ad_2]

منبع: tadrisriazi-news.ir