国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

雖然SolarWinds惡意軟件實施的規(guī)�？涨暗木W(wǎng)絡攻擊范圍尚待確定，但它使網(wǎng)絡攻擊者得以訪問某些最敏感的系統(tǒng)和數(shù)據(jù)。

在全球廣泛應用的網(wǎng)絡監(jiān)控工具SolarWinds Orion已經(jīng)受到威脅和破壞。去年3月，在所謂的“供應鏈攻擊”中，網(wǎng)絡攻擊者在更新代碼中注入了惡意軟件，其用戶每次運行更新時都會安裝木馬程序。

美國網(wǎng)絡安全聯(lián)盟執(zhí)行董事Kelvin Coleman說：“供應鏈攻擊是一種低成本、高影響的威脅。這顯然對攻擊者來說很具吸引力，因為他們可以同時實現(xiàn)許多目標。通過SolarWinds Orion引入的帶有惡意軟件的更新，對于那些認為他們只是安裝或更新已驗證軟件的公司來說已經(jīng)成為了破壞點�！�

SolarWinds公司在日前提交給美國網(wǎng)絡安全聯(lián)盟的一份調查文件中表示，多達18,000個機構和組織受到影響。該公司擁有30萬家客戶，其中包括美國十大電信公司、美國軍方的所有五個分支機構、美國名列前五的會計師事務所、美國白宮、五角大樓、美國國務院、美國國家安全局、美國司法部等重要政府部門。

SolarWinds公司還表示，美國財富500強企業(yè)中有425家公司是該公司的用戶，其中包括福特、柯達、思科、萬事達、微軟。

網(wǎng)絡安全服務商RedSeal公司首席技術官Mike Lloyd說，SolarWinds Orion的IT監(jiān)控服務廣泛用于數(shù)據(jù)中心。他說：“基本上，在云平臺或物理數(shù)據(jù)中心運行的任何東西都需要被監(jiān)控，以跟蹤正常運行時間、性能和服務可用性。這些監(jiān)視工具往往是為了關注最關鍵的資產而設置的。這就是為什么SolarWinds Orion成為網(wǎng)絡攻擊者重要目標的原因。如果看到它所看到的內容，則可以有效地看到所有重要內容�！�

在安裝木馬程序之后，網(wǎng)絡攻擊者使用它來入侵受害者的某些網(wǎng)絡并泄露敏感數(shù)據(jù)和電子郵件。已經(jīng)確認的案例包括對美國商務部、美國財政部以及著名的網(wǎng)絡安全機構FireEye公司的攻擊。

然而，網(wǎng)絡攻擊者對FireEye公司的攻擊功虧一簣。FireEye公司發(fā)現(xiàn)了攻擊行為，并有效阻止了其攻擊行為。FireEye公司隨后展開攻勢，以確定網(wǎng)絡攻擊如何發(fā)生，以及哪些組織受到影響。

FireEye公司表示，它檢測到網(wǎng)絡攻擊者對全球各地機構和組織的攻擊，其中包括北美、歐洲、亞洲和中東的政府部門、咨詢機構、技術部門、電信和礦業(yè)公司。

該公司表示：“我們預計其他國家和垂直行業(yè)還會有更多受害者。我們已經(jīng)通知受到所有影響的實體。”

這并不是首次使用具有破壞性結果的供應鏈攻擊。2017年，NotPetya惡意軟件在全球范圍內進行攻擊，造成將近100億美元的損失。

當用戶下載更新時，對SolarWinds的漏洞進行網(wǎng)絡攻擊(微軟公司稱其為Solorigate，F(xiàn)ireEye公司稱為Sunburst)就會開始。

事實證明，SolarWinds公司建議其用戶從反惡意軟件檢查中排除此更新過程。SolarWinds Orion工具幫助用戶監(jiān)控他們的網(wǎng)絡。該系統(tǒng)的一個缺陷使攻擊者能夠訪問整個網(wǎng)絡基礎設施。

該惡意軟件通過使用網(wǎng)絡攻擊者購買的合法域建立的通信服務器與其制造商進行通信，這些合法域已經(jīng)存在了一段時間。這樣一來，它就可以逃避安全防護系統(tǒng)，以尋找已知惡意站點或全新域的可疑流量。

FireEye公司在其調查報告中指出：“經(jīng)過最初長達兩周的休眠期之后，它會檢索并執(zhí)行命令，其中包括傳輸文件和執(zhí)行文件，對系統(tǒng)進行配置文件，重新啟動計算機以及禁用系統(tǒng)服務的功能。”

該惡意軟件將其活動偽裝為合法的Orion改進程序流量，并將其偵察結果存儲在合法的插件配置文件中。它還使用模糊的黑名單來識別反病毒和其他安全工具。

然后，網(wǎng)絡攻擊者偽造身份安全令牌，使他們能夠冒充任何用戶或帳戶，包括特權帳戶，這使他們能夠繞過Office 365等服務的多因素身份驗證，從供應商那里進入內部部署和云端的電子郵件帳戶。

FireEye公司首席執(zhí)行官Kevin Mandia在一份聲明中說：“他們在運營安全方面接受過嚴格的培訓，并具有紀律性和專注力。他們秘密地進行操作，使用了應對安全工具和法醫(yī)檢查的方法。他們采用了一種新穎的技術組合，我們過去從未見過這種組合。”

此外，網(wǎng)絡攻擊者使用其訪問權限滲透現(xiàn)有用戶帳戶或創(chuàng)建新帳戶，以訪問更多系統(tǒng)。

截至公布之日，已知受害者包括美國智庫FireEye、美國財政部、美國商務部、國家衛(wèi)生研究院、美國網(wǎng)絡安全和基礎設施局、美國國土安全部和美國國務院。

RedSeal公司的Lloyd表示：“這是一個令人沮喪但重要的認識，用戶可能無法分辨出自己是否真正受到了傷害，如果有可能的話，最好假設它確實發(fā)生了。”

到目前為止，網(wǎng)絡攻擊者的目標似乎在不進行破壞的情況下獲得信息，而且沒有受害者報告過對其系統(tǒng)的損害。然而，對于擁有敏感信息的政府機構、承包商和其他組織來說，敏感信息的丟失可能是災難性的打擊。

因此，美國國土安全部的網(wǎng)絡安全和基礎設施安全局日前發(fā)布了一項罕見的緊急指令，命令美國聯(lián)邦機構立即關閉所有SolarWinds Orion工具，并檢查網(wǎng)絡是否存在危害跡象。

美國網(wǎng)絡安全聯(lián)盟代理總監(jiān)Brandon Wales在一份聲明中說：“ SolarWinds Orion網(wǎng)絡管理產品的漏洞給美國聯(lián)邦網(wǎng)絡的安全帶來了不可接受的風險。”

451 Research公司分析師Scott Crawford表示，但這并不意味著其他類型的組織應該感到安全。

他指出，美國卷入了一場類似的網(wǎng)絡戰(zhàn)爭，持續(xù)不斷受到網(wǎng)絡攻擊，這對任何組織都可能造成附帶損害。

Crawford說：“有時，威脅參與者之間的界限有時是模糊的。如果他們有共同的目標，他們就有充分的理由合作。”

任何組織的安全部門負責人都應采取的第一步是確定其基礎設施受到何種程度的影響。SolarWinds公司發(fā)布了有關確定數(shù)據(jù)中心可能運行的Orion產品版本的說明。

美國網(wǎng)絡安全聯(lián)盟建議，針對正在運行易受攻擊的SolarWinds產品的每種情況保存操作系統(tǒng)和系統(tǒng)內存的映像，以分析新的用戶或服務帳戶，并檢查存儲的網(wǎng)絡流量是否存在危害指標。

FireEye公司還發(fā)布了危害指標列表，并共享了免費對策的GitHub存儲庫。

下一步措施是移除、升級或隔離受影響的SolarWinds Orion系統(tǒng)。美國網(wǎng)絡安全聯(lián)盟建議完全刪除，而SolarWinds公司建議升級和修補。

在無法立即進行升級或修補的情況下，SolarWinds建議盡可能隔離系統(tǒng)。并建議在防火墻后運行Orion，禁用其互聯(lián)網(wǎng)訪問，將端口和連接限制為絕對必要的端口和連接。接下來，用戶需要刪除所有受損的用戶帳戶和通信通道，包括關閉對已知受損域和IP地址的所有訪問。

用戶還應該重置SolarWinds系統(tǒng)可以訪問的所有憑據(jù)，以及所有特權帳戶，身份驗證密鑰和令牌。

Sophos公司為此推出了一份極其詳細的事故應對行動手冊，并在獲得新信息后不斷對其進行更新。在清理完成后，用戶可以將系統(tǒng)還原到最后一個良好狀態(tài)，也可以從受信任的來源重新安裝。

微軟公司還發(fā)布了詳細的SolarWinds響應公告。

研究法規(guī)、風險和合規(guī)性問題的全球性咨詢機構StoneTurn公司的合伙人Luke Tenery說，SolarWinds黑客事件是一個“分水嶺事件”。

他說，“這個事件表明即使是最先進的組織，即使可能采取某種程度的安全預防措施，也無法在可信的第三方受到威脅時檢測到高度先進的網(wǎng)絡攻擊�！�

在這個事件中，行業(yè)領先的安全機構 以及美國政府中一些最關注安全的部門成為受害者。他表示，這是供應鏈攻擊的最大危險。因為很多組織信任他們的IT供應商。

他說，“解決方案是加強供應商風險管理。但是，即使是美國最著名的技術提供商，也要監(jiān)視系統(tǒng)的完整性和預期行為�！�