Одна из самых неприятных атак уходящего года – атака на ИТ-компанию SolarWinds. 13 декабря появились сообщения о взломе SolarWinds и компрометации распространяемого им обновления для ПО Orion (билд 2019.4 HF 5, 2020.2 with no hotfix installed и 2020.2 HF 1).
По информации SolarWinds, метод внедрения вредоносного кода указывает на целевой характер киберинцидента. Это сценарий атаки на цепочку поставок. Коварство его заключается в том, что вредоносное ПО получает широкое распространение за счет компрометации доверенного поставщика. Среди уже пострадавших от атаки – FireEye, Microsoft, Министерство финансов и торговли США. Последствия будут продолжать проявляться, ведь, по данным SolarWinds, вредоносное обновление загрузили 18 тысяч пользователей Orion.
Для защиты своих цифровых активов эксперты SolarWinds предлагают выполнить следующие действия (помимо непосредственной изоляции системы, где работают версии 2019.4 HF 5 по 2020.2.1 платформы Orion):
-
Сканировать ИТ-системы для поиска любых бэкдоров и эксплоит, в частности Backdoor.Sunburst и Backdoor.WebShell.
-
Сканировать данные SIEM-системы и другие данные телеметрии на индикаторы компрометации.
-
Выполнить комплексную проверку безопасности и усиление ИБ-систем, включая облачную инфраструктуру.
«Также рекомендуется установить NGFW и IPS с обновленными базами сигнатур и списками вредоносных доменов. Это, в том числе, позволит блокировать доступ к домену avsvmcloud[.]сom и другим подозрительным доменам, при обращении на которые происходит активация вредоносного кода», – комментирует Роман Сычев, руководитель отдела сетевых технологий группы компаний Angara.
Данные шаги являются рекомендацией для снижения рисков любой потенциальной атаки. В портфеле группы компаний Angara существует несколько направлений услуг, покрывающих эти задачи:
-
Класс услуг управления событиями и инцидентами, включая создание и развитие процессов мониторинга и реагирования, обогащения данных сторонней аналитикой и данными Threat Intelligence.
-
Услуги анализа используемых средств защиты разного уровня (сетевые, узловые, итд) и усиления защищенности как на текущем составе СЗИ (Hardering), так и внедрением дополнительных.
-
Услуги анализа защищенности инфраструктуры с разной степенью проникновения: от тестирования внешнего периметра, до внутреннего тестирования и выявления ненадежных паролей в домене.
«Наше подразделение имеет в своем портфеле услугу анализа средств защиты на полноту и эффективность политик и настроек, по результатам которой возможно повысить защищенность внутренней инфраструктуры даже без добавления дополнительных узлов защиты», – заключает Роман Сычев.
