SolarWinds漏洞事件后应如何保护自己 安全公司给出这些建议

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:10个月前
此前安全公司FireEye遭遇入侵一事闹得沸沸扬扬,据路透社报道,由于此次入侵,黑客得以监控美国财政部和商务部的内部电子邮件流量。FireEye表示,受害者还包括政府、咨询公司、技术公司和电信公司,以及北美、欧洲、亚洲和中东的其他实体。

不过,根据TechRepublic报道,受该事件影响的组织数量可能比报道的要多,因为SolarWinds Orion是政府机构和财富500强公司们所热衷于使用的产品。

据SolarWinds公开内容显示,该缺陷影响了Orion Platform 2019.4 HF 5、2020.2和2020.2 HF 1。如果被利用,该漏洞可能会令攻击者的行为危及运行Orion产品的服务器。

针对这些问题,SolarWinds也给出了一份建议:

使用Orion Platform版本为2020.2且未安装补丁包或版本为2020.2 HF 1的客户尽快升级到2020.2.1 HF 2,该版本可以在SolarWinds网站上获得。

使用Orion Platform版本为2019.4 HF 5的用户务必尽快升级到2019.4 HF 6。

SolarWinds建议所有客户更新到2020.2.1 HF 2版本,因为这个版本替换了受损的组件,并提升了安全性。

此外,专注于面向企业客户的安全公司Cycode也给出了一份包含五个步骤的建议:

1、对基础设施资产进行编目。
2、确保所有的pipeline services都不能公开访问。
3、审计所有系统并删除那些默认凭证。
4、要求所有用户使用多因素认证。
5、在整个过程中执行最小特权策略。

对于提高安全性的防御措施方面,安全公司Tempered Networks给出的建议是采用零信任的方法。

Skene是Tempered Networks的CTO,他表示:“企业或组织应该积极地向零信任、积极的安全模型过渡,明确规定哪些用户和主机之间的流量可以被允许,减少对使用固定规则去屏蔽所谓特殊流量这种方式的依赖。同时,在网络设计上也需要更细的粒度,采用可以大规模实施的微隔离技术。当攻击者在网络中获得立足点时,微隔离和零信任安全实现限制内部损害,防止恶意代码的横向传播。”同时,Skene认为应对此类攻击的最大障碍或许是现有的网络安全基础设施的复杂性和规模,建议根据不同的层级使用不同的安全策略和安全服务的供应商。

FireEye也没闲着,正在积极的寻找并应用补救措施,试图阻止利用SolarWinds Orion漏洞的恶意软件继续肆意横行。FireEye的一名发言人表示,他们能够找到一个“Kill Switch”(死亡开关),用以阻止恶意软件继续运行。

FireEye与GoDaddy和微软合作,使用“Kill Switch”来关闭和禁用以前及当前所使用的Sunburst恶意软件,避免持续感染和新的部署。不过,FireEye也承认,攻击者能够通过其他途径进入Sunburst后门之外的受害者的网络。因此,“Kill Switch”不会将彻底的将该恶意软件从网络中移除,但会使攻击者们更难利用之前发布的Sunburst版本。