近期「SolarWinds 駭客攻擊事件」正設法滲透入侵大量的組織單位,除了美國政府之外,範圍更擴及全球企業,評估並清除其損害的時間可能將耗費數年,被稱為史上最大的國家級資安威脅之一。網路資安廠商 Fortinet 就呼籲企業積極採取主動偵測防禦的解決方案,防止惡意程式入侵。
近來頻頻傳出有特定國家的駭客組織藉由滲透美國政府最大的軟體供應商 SolarWinds 旗下的 SolarWinds Orion 平台,入侵採用該平台的企業及組織,使許多單位遭遇極大的資安威脅,包含多個美國政府機構。
駭客於該平台產品植入 Sunburst 木馬程式,並偽裝成更新檔,在成功進駐受害系統之後,再進行一系列的檢查,以確保能在攻擊目標的系統上運作,進而發動供應鏈攻擊,損害 SolarWinds 的 Orion IT監視和管理軟體更新系統以竊取機密資料。根據 SolarWinds 的資料顯示,有 3 萬 3 千個組織使用了 Orion 的軟體,判斷可能已有 1 萬 8 千家客戶下載了這支程式。
對此,Fortinet 指出,正積極與客戶合作,降低遭惡意軟體感染的風險。FortiGuard 實驗室也於事件發生後不斷分析更多攻擊的細節,多方蒐集資料並研究本次入侵 SolarWinds 的 「Sunburst」/UNC2452 木馬程式威脅數據,Fortinet 還主動掃描了 FortiEDR 雲端數據湖以查找相關指標,藉以確定客戶是否遭到惡意入侵,並聯繫可能受到影響的客戶。
Fortinet 指出,目前已全面展開對 SolarWinds 攻擊事件的部署,包括強化解決方案更新、偵測、防護以及回應等,以防護功能協助客戶抵禦惡意程式入侵。Fortinet 也提出了三種主動資安防護措施來確保資訊安全無虞:
偵測入侵
所有已發佈和後續的 IOCs 都立即新增到 Fortinet 的雲端智慧和特徵碼資料庫中,確保 Fortinet 的安全解決方案(包括 FortiGate、FortiSIEM、FortiSandbox、FortiEDR、FortiAnalyzer 和 FortiClient)都能成功檢測到惡意程式。若發現新的 IOCs ,它們也將立即被新增到我們的資料庫中。
防護和回應
負責異常行為偵測與阻擋的 FortiEDR 透過非特徵碼的行為學習能力,偵測惡意程式感染,記錄攻擊事件軌跡,可主動減少攻擊面並提供調查與回應能力,幫助企業組織達到高效自動化的進階威脅防禦。在任何運行 FortiEDR 的系統上,客戶無須更新就可以免受此次駭客攻擊。FortiGuard 實驗室則持續關注情報更新,協助客戶在 Fortinet 安全網路中進行檢測並遏止入侵。協助網路安全記錄的 FortiSIEM、FortiAnalyzer 開發人員已設立特殊的查詢報告和事件關聯規則,識別命令與控制的惡意中繼網站,幫助客戶釐清 SolarWinds 相關的問題。
自動化回應
FortiSIEM、FortiSOAR 可建立跨組織的資安事故回應協作流程,與其他資安通訊系統連動,達到回應處理自動化。FortiSOAR 亦設有特定的劇本(Playbooks),方便客戶針對此次 SolarWinds 駭客攻擊事件進行鑑識與回應。
(首圖來源:pixabay)
