SolarWinds事件频传,安全厂出解决方案

近期“SolarWinds黑客攻击事件”正设法渗透入侵大量的组织单位,除了美国政府之外,范围更波及全球企业,评估并清除其损害的时间可能将耗费数年,被称为史上最大的国家级安全威胁之一。网络安全厂商Fortinet就呼吁企业积极采取主动侦测防御的解决方案,防止恶意程序入侵。

近来频频传出有特定国家的黑客组织借由渗透美国政府最大的软件供应商SolarWinds旗下的SolarWinds Orion平台,入侵采用该平台的企业及组织,使许多单位遭遇极大的安全威胁,包含多个美国政府机构。

黑客于该平台产品植入Sunburst木马程序,并伪装成更新文件,在成功进驻受害系统之后,再进行一系列的检查,以确保能在攻击目标的系统上运行,进而发动供应链攻击,损害SolarWinds的Orion IT监视和管理软件更新系统以窃取机密资料。根据SolarWinds的资料显示,有3万3千个组织使用了Orion的软件,判断可能已有1万8千家客户下载了该程序。

对此,Fortinet指出,正积极与客户合作,降低遭恶意软件感染的风险。FortiGuard实验室也于事件发生后不断分析更多攻击的细节,多方搜集资料并研究本次入侵SolarWinds的“Sunburst”/UNC2452木马程序威胁数据,Fortinet还主动扫描了FortiEDR云计算数据湖以查找相关指标,借以确定客户是否遭到恶意入侵,并联系可能受到影响的客户。

Fortinet指出,目前已全面展开对SolarWinds攻击事件的部署,包括强化解决方案更新、侦测、防护以及回应等,以防护功能协助客户抵御恶意程序入侵。Fortinet也提出了三种主动安全防护措施来确保信息安全无虞:

侦测入侵

所有已发布和后续的IOCs都立即添加到Fortinet的云计算智能和特征码数据库中,确保Fortinet的安全解决方案(包括FortiGate、FortiSIEM、FortiSandbox、FortiEDR、FortiAnalyzer和FortiClient)都能成功检测到恶意程序。若发现新的IOCs,它们也将立即被添加到我们的数据库中。

防护和回应

负责异常行为侦测与阻挡的FortiEDR通过非特征码的行为学习能力,侦测恶意程序感染,记录攻击事件轨迹,可主动减少攻击面并提供调查与回应能力,帮助企业组织达到高效自动化的高端威胁防御。在任何运行FortiEDR的系统上,客户无需更新就可以免受此次黑客攻击。FortiGuard实验室则持续关注情报更新,协助客户在Fortinet安全网络中进行检测并遏止入侵。协助网络安全记录的FortiSIEM、FortiAnalyzer开发人员已设立特殊的查询报告和事件关联规则,识别命令与控制的恶意中继网站,帮助客户厘清SolarWinds相关的问题。

自动化回应

FortiSIEM、FortiSOAR可创建跨组织的安全事故回应协作流程,与其他安全通信系统联动,达到回应处理自动化。FortiSOAR也设有特定的剧本(Playbooks),方便客户针对此次SolarWinds黑客攻击事件进行鉴识与回应。

(首图来源:pixabay)