شماره تلفن : 13486085502
December 30, 2020
نگران کننده تر برای کسانی که مسئول امنیت سایبری در مراکز داده سازمانی هستند ، فروشندگان فناوری هستند که اجازه می دهند نرم افزار SolarWinds Orion به خطر بیافتد در محیط خود قرار گیرد.آن فروشندگان ، تا آنجا که ما می دانیم ، اکنون شامل مایکروسافت ، اینتل ، سیسکو ، انویدیا ، VMware ، بلکین و شرکت امنیت سایبری FireEye هستند که برای اولین بار حمله را کشف کرد.
گرگ توهیل ، که به عنوان رئیس CISO فدرال ایالات متحده در زمان رئیس جمهور باراک اوباما خدمت می کرد و اکنون رئیس جمهور در گروه فدرال اپگیت است ، گفت: "من فکر می کنم این تعداد [فروشندگان در معرض خطر] افزایش خواهد یافت.""من فکر می کنم ، همانطور که گره ای از این مسئله باز می کنیم ، خواهیم فهمید که SolarWinds تنها قربانی نبوده و FireEye تنها قربانی فضای خود نبود."
به گفته SolarWinds ، در مجموع ، حداکثر 18000 سازمان ممکن است Trojan را بارگیری کنند.در حال حاضر تعداد سازمانهایی که برای حملاتی که به دنبال نقض SolarWinds انجام می شود هدف قرار گرفته اند مشخص نیست.مایکروسافتگفتبیش از 40 سازمان را در آن گروه آخر شناسایی كرده است.نامی از هیچ یک از آنها نبود اما گفته شد که 44 درصد شرکت های فناوری هستند
محققان دیگر در حال بررسی جزئیات فنی بدافزار برای شناسایی بیشتر قربانیان مرتبه دوم هستند.
آ لیست منتشر شده توسط شرکت امنیت سایبری TrueSec شامل سیسکو ، دلویت ، بیمارستان کوه سینا و چندین بیمارستان دیگر ، سازمانهای پزشکی از انواع دیگر ، دولت های محلی ، م institutionsسسات آموزشی ، شرکت های برق و م powerسسات مالی است.
Cisco و Deloitte نیز در لیستی هستند که توسط محققان امنیت سایبری در Prevasio گردآوری شده است.علاوه بر این،لیست آنها شامل Ciena ، Belkin ، Nvidia ، NCR ، SAP ، Intel و Digital Sense است.
تمرکز مهاجمان بر فروشندگان IT سازمانی به ویژه نگران کننده است زیرا این می تواند به این معنی باشد که نقض SolarWinds فقط یکی از بسیاری از این موارد است ، زیرا سایر فروشندگان فناوری به همان شیوه SolarWinds به خطر افتاده اند.حتی می توان وکتورهای حمله زنجیره تأمین کانال پشتی بیشتری را نیز یافت که دفاع در برابر آنها دشوار است.
آژانس امنیت سایبری و زیرساخت های ایالات متحده این کشور را دارد هشدار داد که ممکن است مهاجمان علاوه بر SolarWinds از نقاط دسترسی اولیه دیگری نیز استفاده کرده باشند.
به عنوان مثال ، مهاجمان از یک آسیب پذیری صفر روزه در دسترسی به محصولات VMware و محصولات مدیریت هویت برای حمله به سیستم های دولتی استفاده می کنند ، NSA.VMwareتایید شدهکه توسط NSA از آسیب پذیری مطلع شده و در اوایل این ماه وصله ای را منتشر کرد.VMware نیز تایید کردموارد یافت شده از نرم افزار SolarWinds به خطر افتاده در محیط خود ، اما گفت که هیچ شواهدی دیگر از بهره برداری نمی بیند.
حمله VMware یک مورد مشترک دیگر با SolarWinds داشت.مهاجمان از کانالهای ارتباطی نرم افزار خود برای فرار از شناسایی استفاده کردند.طبق NSA ، فعالیت های بهره برداری در یک تونل رمزگذاری شده با TLS در ارتباط با رابط مدیریت مبتنی بر وب نرم افزار صورت گرفت.
سیسکو نیز دارد تایید شدهکه نمونه هایی از محصول SolarWinds Orion به خطر افتاده را در محیط خود پیدا کرده است.این شرکت گفت: "در حال حاضر ، هیچ تاثیری در محصولات ، خدمات یا داده های شرکت سیسکو وجود ندارد" و شبکه های IT زنجیره تامین آن هیچ مدرکی برای مصالحه نشان نداده است.
اما این بدان معنا نیست که در زنجیره ای مشکلی وجود ندارد.
این شرکت گفت: "اگر تولیدکنندگان شخص ثالث سیسکو شبکه های فناوری اطلاعاتی نداشته باشند که با مشاغل سیسکو ارتباط نداشته باشند ، سیسکو از دید آن شبکه ها برخوردار نیست.""سیسکو به طور فعال با فروشندگان درگیر می شود تا تأثیرات احتمالی بر تجارت آنها را ارزیابی کند."
بسیاری از بالاترین حملات امسال ، مانند حملات ثبت رکورد موج باج افزار، از تمایل کاربران برای کلیک بر روی پیوندها در ایمیل های فیشینگ یا استفاده از اعتبار سرقت شده برای ورود به سیستم سو into استفاده کرد.
کانال حمله SolarWinds هیچ کاربر خطرناکی را برای بدست آوردن جایگاه اولیه درگیر نکرده است.در عوض ، این حمله به طور کامل در قسمت عقب رخ داد ، از طریق یک فرایند به روزرسانی نرم افزار.یک مرکز داده که به دنبال شاخص های سازش در رفتارهای مشکوک کاربر ، بارگیری بدافزار در دستگاه های کاربر یا فعالیت غیرمعمول شبکه است ، چیزی برای یافتن نخواهد داشت - حتی زمانی که مهاجمان از پلت فرم SolarWinds Orion برای کشف محیط استفاده می کردند.
در حقیقت ، FireEye تنها زمانی این نقض را کشف کرد که مهاجمی سعی در استفاده از اعتبارنامه های سرقت شده برای ثبت دستگاه جدید برای احراز هویت چند عاملی داشت.
لیز میلر ، معاون اصلی و تحلیلگر اصلی در تحقیق فلکی ، گفت: "اگر وزارت امور خارجه آن را گیر نیافته بود ، اگر کارمند گواهینامه سرقت شده را گزارش نمی کرد ، این کشف نمی شد.""این هنوز درهای باز را برای همه و همه فراهم می کند."
Appgate's Touhill توصیه می کند مراکز داده ای که از محصولات SolarWinds ، Cisco ، VMware یا سایر شرکت های بالقوه خطرناک استفاده می کنند باید نگاهی بیندازند که در معرض خطر بالقوه آنها قرار دارد.
وی به DCK گفت: "نگاهی به فروشندگانی بیندازید كه به آنها اعتماد دارید.""شما باید با تهیه کنندگان خود در مکالمه باشید و ببینید آیا آنها بهترین روش ها را دنبال می کنند ، مانند بررسی یکپارچگی کد خود و بررسی سیستم های خود به طور مکرر برای هر گونه نشانه مصالحه."
وی افزود: و این یک مکالمه یک بار نیست."انجام یک کار انجام شده به اندازه کافی خوب نخواهد بود."
پس از نقض SolarWinds برای مدیران امنیتی مرکز داده مفید است میزان توجهی که محققان امنیتی به آن داشته اند.
ایلیا کولوچنکو ، مدیر عامل شرکت ایمونونی وب ، یک شرکت امنیت سایبری ، گفت: "ما می دانیم که چگونه آن را به خطر انداخته و به دنبال چه چیزی بگردیم.""اما من اطمینان دارم که SolarWinds سهل انگارترین شرکت در سراسر جهان نیست. این فرضیه منطقی است که آنها تنها قربانی نیستند."
تفاوت در این است که هیچ کس نمی داند دیگر فروشندگان فناوری اطلاعات چه هک شده اند و این شاخص های سازش چیست.
ImmuniWeb اخیراً در مورد 400 شرکت بزرگ امنیت سایبری تحقیق کرده و دریافته است که 97 درصد از آنها نشت داده یا سایر موارد امنیتی را در وب تاریک نشان می دهند - همچنین 91 شرکت با آسیب پذیری های امنیتی وب سایت قابل بهره برداری.از سپتامبر ، وقتی که آن استگزارش منتشر شد ، 26 درصد از آنها هنوز رفع نشده بودند.
محققان همچنین بیش از 100000 حادثه پرخطر مانند اطلاعات ورود به سیستم را در وب تاریک یافتند.کولوچنکو به DCK گفت: "SolarWinds احتمالاً فقط نوک کوه یخی برای مصالحه شرکت های فناوری در سراسر جهان است."
هولگر مولر ، یک تحلیلگر در تحقیق فلکی ، گفت: "شما نمی توانید به کسی ، حتی به فروشنده امنیتی خود اعتماد کنید."تنها راه حل بررسی کد است."اما چه کسی می تواند و می خواهد کد منبع فروشندگان امنیتی را بررسی کند؟"
وی گفت که آنچه در پاسخ ممکن است ظاهر شود ، نوع جدیدی از فروشندگان است - ابزارهایی که نرم افزار امنیتی را برای بررسی بدافزار بررسی می کند.
نقض SolarWinds یکی دیگر از مشکلات موجود در مورد امنیت IT مرکز داده را نشان می دهد - این که نیاز به همکاری نزدیکتر با تیم های گسترده فناوری اطلاعات دارد.
با توجه به اخیر نظر سنجیتوسط موسسه Ponemon به نمایندگی از Devo ، عدم دید در زیرساخت های امنیتی IT مهمترین مانع در برابر اثربخشی مراکز عملیاتی امنیتی است که توسط 70 درصد متخصصان IT و امنیت به عنوان یک مشکل شناخته شده است.و 64 درصد می گویند که مشکلات چمن و عملیات سیلینگ مانع اصلی در برابر اثربخشی است.
میلر از ستارگان گفت: "این حمله باید واقعاً یک زنگ هشدار گسترده برای تیمهای امنیتی و IT باشد تا بسیار هماهنگ تر باشند."
عدم دید ، تشخیص و پاسخ به تهدیدها را دشوار می کند.طبق نظرسنجی Ponemon ، 39 درصد از سازمان ها گفتند که پاسخگویی به یک حادثه امنیتی به طور متوسط "ماهها یا حتی سالها" طول کشیده است.
میلر به DCK گفت: "این دقیقاً هرج و مرج و رفتارهای نامناسب است که مهاجمان ، به ویژه رفتارهای پیچیده ، بر آن تکیه می کنند."
نقض SolarWinds بار دیگر ثابت می کند که هرکسی می تواند هک شود ، از امنیتی ترین سازمان های دولتی گرفته تا امنیتی ترین فروشندگان امنیت سایبری.
برای مهاجمان پیچیده ماندن در زیر رادار نسبتاً آسان است.
دیوید ولپوف ، مدیر CTO و بنیانگذار شرکت Randori ، که می گوید: "هنگامی که من کار تیم قرمز را انجام داده ام ، فکر نمی کنم هرگز گرفتار شده باشم تا اینکه بخواهم اقدام واضحی انجام دهم یا سر و صدایی ایجاد کنم." برای امرار معاش به شبکه های شرکت ها نفوذ می کند.
این بدان معنا نیست که مدیران امنیتی سعی نکنند موارد نقض را کشف کنند.
وولفوف گفت: "البته ، ما در امان نیستیم.""ما هرگز در امان نخواهیم بود. اما ما همیشه در زندگی این معاملات را انجام می دهیم و فضای سایبری تفاوتی ندارد. چقدر می خواهید ریسک را از شرکا و فروشندگان خود بپذیرید؟ و اگر مشکلی پیش آمد ، شما چه مشکلی دارید؟ ناکام می ماند؟ "
به عنوان مثال ، وی گفت ، هر متخصص امنیتی كه با او صحبت می كند می گوید كه آنها به فرض مصالحه و دفاع عمیق اعتقاد دارند."اما پس از آن هیچ کس نمی رود و آن اقدامات را انجام نمی دهد."
چندین متخصص گفتند كه مراكز داده ای كه هنوز به مدل امنیتی با اعتماد صفر نرسیده اند باید شروع به برنامه ریزی كنند.
Appgate's Touhill گفت: "صادقانه بگویم ، من فکر می کنم بسیاری از شرکت ها در اجرای اعتماد صفر تأخیر دارند و من فکر می کنم این از اولین قدم ها باشد."
میلر گفت: "اگر قبلاً در شبکه های مرکز داده خود حالت اعتماد صفر را اتخاذ نکرده اید ، اکنون زمان استثنایی برای تحقق این امر خواهد بود."
قوانین بازی تغییر کرده است ، مایک لوید ، CTO در RedSeal ، یک شرکت امنیت سایبری گفت.
در گذشته سوالی که مدیران امنیتی مرکز داده از خود می پرسیدند این بود: "چگونه فضای تاریکی را که نمی توانم ببینم کاهش دهم؟"حالا ، آنها باید از خود بپرسند ، "چگونه می توانم خسارت ناشی از چیزهایی را که برای دیدن شبکه خودم استفاده می کنم ، مهار کنم؟"
لوید گفت: "این یک دیدگاه القا کننده سرگیجه است.""اگر نمی توانید به نرم افزار نظارت خود اعتماد کنید ، چگونه چیزی را نظارت می کنید؟"
