SolarWinds响应团队讲述供应链攻击的早期阶段

在发现SolarWinds数据泄露事故后,大家都很混乱、困惑。

成都创新互联公司拥有十多年成都网站建设工作经验,为各大企业提供成都网站建设、成都网站制作服务,对于网页设计、PC网站建设(电脑版网站建设)、重庆APP开发公司、wap网站建设(手机版网站建设)、程序开发、网站优化(SEO优化)、微网站、域名注册等,凭借多年来在互联网的打拼,我们在互联网网站建设行业积累了很多网站制作、网站设计、网络营销经验,集策划、开发、设计、营销、管理等网站化运作于一体,具备承接各种规模类型的网站建设项目的能力。

在上周四的RSA网络会议中,CrowdStrike、毕马威、DLA Piper以及SolarWinds公司的高管们谈到了他们对这家大型IT软件供应商2020年供应链攻击事件的早期响应工作。这些人是最早出现在攻击现场的人,原本该攻击可能成为影响数万家公司的历史性攻击系列事件。

安全供应商FireEye公司最早发现民族国家攻击者已经破坏其网络并访问敏感信息,包括红队工具。该公司于12月9日披露了该数据泄露事故,随后追踪到SolarWinds的Orion软件中的后门漏洞。

FireEye于12月12日将其发现告知SolarWinds。SolarWinds公司安全副总裁Timothy Brown表示,最初的几个小时进展迅速,因为FireEye向SolarWinds提供了攻击的初步证据,并且该供应商很快确认其Orion监控软件的副本中被植入恶意代码,允许攻击者监视用户。

Brown说:“我们不需要做很多侧面研究来确定这是否发生。然后我们做了一些分析以确定它何时发生,我们发现三个版本受到影响。那时,我们知道,由于这是内部发生的事情,我们真的必须聚集正确的人以进行调查。”

DLA Piper律师事务所合伙人Ronald Plesco是SolarWinds的数据泄露事故指导,他必须迅速组建事件响应专家团队。他表示,除了需要快速响应并确定数据泄露事故来源外,事件响应团队还有另一个“计时时钟”,因为FireEye想在周日公开披露他们的调查结果。Plesco称:“让所有这些团队就位,分工合作,以及从项目管理的角度来看,谁将在早期做关键的事情。”

在CrowdStrike和毕马威加入之后,事件响应团队试图确定被称为“Sunburst”后门程序如何最终进入Orion。毕马威董事总经理David Cowen表示,这次攻击的第一批罪魁祸首之一是放置在奇怪位置的虚拟机 (VM)。在仔细研究开发和编排服务器后,一位目光敏锐的开发人员注意到了该VM中的一些奇怪之处。

Cowen称:“随着我们继续深入堆栈,其中一位开发人员说我们发现了这个关机的虚拟机,我们在那里发现了编译好的恶意代码。”

即使在发现罪魁祸首之后,要掌握插入的代码以及谁将其放在那里也并非易事。

CrowdStrike公司情报部门高级副总裁dam Meyers说:“对手在其中投入了很多循环和技巧,使其难以理解。”

攻击者使用的技巧之一就是简单地掩盖他们的母语。调查人员通常能够归因攻击的方法是分析代码中的简单语言线索,例如使用西里尔文或中文进行评论引用。

然而,在这种情况下,SolarWinds入侵者没有留下这样的线索。调查人员发现,插入Orion的源代码已经删除了任何会泄露作者身份的本地化内容。

Meyers称:“这有效地清洗了代码。那时我突然意识到这是下一个级别操作安全性。”

最后,调查人员仔细研究了大约100 TB的数据,以生成有关攻击的报告。

Brown指出:“这个攻击有很多活动部件和很多零件。你意识到你需要让团队专注于正确的地方,执行独立但相关的行动。这种混乱得到控制,但有合适的人参与,你可以推动前行。”

标题名称:SolarWinds响应团队讲述供应链攻击的早期阶段
网站路径:https://www.cdcxhl.com/article20/idsgco.html

成都网站建设公司_创新互联,为您提供微信小程序静态网站搜索引擎优化营销型网站建设品牌网站制作网站制作

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

成都app开发公司