在本周之前,您可能没有听说过SolarWinds,这是网络性能和系统监视软件供应商,现在已经以其有记录以来的最大间谍活动而闻名,并且还提供了以下示例:a)为什么您不信任您的供应链; b)为什么我们需要提高供应商安全性的标准。

具有讽刺意味的是,SolarWinds帮助组织识别并解决了关键的网络问题,并以“使补丁管理变得轻而易举”而自豪。但是,恶意代码已放入其网络监控工具Orion的软件更新中,该更新于今年3月及之后分发。大约在那时安装Orion补丁程序的任何人都植入了后门特洛伊木马程序,称为Sunburst。

BlueVoyant International董事长,GCHQ的前董事Robert Hannigan在英国《金融时报》上写道,这次袭击可能是历史上最严重的民族国家间谍活动。

安全公司FireEye于12月13日首次披露了该攻击的详细信息,该公司于12月初披露,该攻击已被“一个民族国家的对手”破坏。

如果您想准确地描述攻击的工作原理, 查看Symantec威胁猎人团队的文章

安装恶意软件电话后,黑客(似乎与国家黑客组织Cozy Bear相关的一个组织)将可以采取进一步行动。

就像在2017年导致DLA Piper瘫痪的美国国家NotPetya攻击一样,供应链攻击的目的是不加选择地进行大规模攻击,而SolarWinds黑客的全部影响仍然未知,微软和VMware就是其中之一。确认其系统已被破坏。 《边缘报道》报道美国财政,商务,州,能源和国土安全部门受到影响,《华尔街日报》报道思科,英特尔,英伟达和贝尔金都在其网络上都感染了该恶意软件。估计有多少组织受到影响,总数达到成千上万,其中大多数只是附带损害。

具有讽刺意味的是,几年前DLA Piper为SolarWinds在纽约证券交易所的上市提供了建议,尽管没有迹象表明该公司已受到最新攻击的影响。

对于法律领域,SolarWinds黑客事件给律师事务所和供应商带来了许多问题和挑战。首先,许多律师事务所对SolarWinds进行了大量投资,而SolarWinds如今面临着众多诉讼和不确定的未来。

我们之前曾来过这里:木马伪装成特权流量,对于网络监控来说是正常的,并且,与Legal IT Insider交谈时,美国顶级律师事务所的一位CIO表示:“如果您拥有适当的控件,则不会执行激活。就像勒索软件一样,它会旋转出去,他们等待它进行通信。一旦激活,它就可以抓取并发送文件,移动到其他控制点,并为actor提供另一个执行任务,以执行该木马可用的命令。”

在那家公司中,正是Crowdstrike检测到了该恶意软件,CIO补充道:“来自DLA,Seyfarth和其他机构的足够信息–您必须专注于确保发现并阻止看起来正常的行为类型。”

首席信息官补充说:“如果不是那样,我们将不得不回到三月,看看它是否回了家。”

Fyi的Crowdstrike是一种SaaS解决方案,可预防恶意软件以及不使用恶意软件的高级针对性攻击。它使用机器学习进行预执行预防,分析数百万个文件特征,以确定它们是否有害,并使其能够阻止已知威胁和未知威胁。

法律服务组织和供应商都已经收到有关是否暴露于SolarWinds的紧张问题。但是,尘埃落定之后,还有一些更大的问题要问,现在需要做的是:a)呼吁有特权访问核心系统的供应商采取行动,以像他们关心核心产品一样关注安全性;以及b)法律公司要确保他们具有适当审核其供应链所需的专业知识。

Prosperoware创始人Keith Lipman在向Legal IT Insider讲话时说:“我们非常关心安全性,因此我们已经接受了ISO 27001和SOC 2:这并不便宜,但是认证都是为了实施正确的安全控制和流程。这是您和您的组织如何进行审计以及审计是由会计师完成的过程成熟度。”他补充说:“ SolarWinds攻击是最清楚的证明,您应该在安全性上投入大量资金并增加更多资源。”

汉尼根在《金融时报》中表示:“每次在政府和公司的供应链中发现这些入侵时,我们通常将它们描述为“极其复杂”,表示“民族国家的能力”。这掩盖了我们的集体尴尬,意味着我们无能为力。但这不是事实。事实是,无论这些恶意网络参与者多么专业,他们都在利用我们继续容忍的弱点。”

他补充说:“从技术上讲,恶意软件隐藏,传播和通信的方式可能令人眼花。乱。但是,这些攻击往往是通过利用非常基本的安全漏洞首先实现的。”在NotPetya之后,一项调查发现乌克兰软件公司已经对其服务器进行了多年修补。 Cloud Hopper通过鱼叉式网络钓鱼获得了访问权限。汉尼根说:“内部控制使攻击者能够四处走动并徘徊。我们尚不知道SolarWinds是如何受到危害的,但是有可能通过一个众所周知的漏洞来实现。

如果说老实话,许多律师事务所仍然无法在所需范围内审核其供应链。每个人都有责任提高自己的比赛。 2020年是持续付出的一年,但是削减安全性成本最终可能会花费更多。

Prevalent为您提供了一系列有用的问题,可以询问您的供应商有关此违规行为的响应。 在他们的博客上查看.

有趣的文章

如果您尚未将SolarWinded淘汰,则可能需要检查以下内容:

微软总裁布拉德·史密斯(Brad Smith)撰写的此博客呼吁对全球网络安全做出强烈回应,值得一读

正常情况下,《连线》收录了年底的最大网络安全故事,但今年却说只有一件事:俄罗斯如何摆脱有记录以来最大的间谍活动, 看这里.

//blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/