了解 SolarWinds 供应链攻击

理解SolarWinds供应链攻击 当公众在2020年12月意识到一种先进的持续威胁(APT)导致SolarWidsOrio软件供应链受损时，专家们很快警告说，可能需要几年——也许几十年——才能完全解释后果。然而，我们对这次袭击了解得越多，我们似乎就越不知道它的全部损害程度。随着猜测的不断出现，2021年2月23日参议院情报选择委员会提交的证人证词提供了一些重要的见解。 这是一种高度复杂的基于身份的供应链攻击，通过“后门”进入SolarWinds更新服务器，可能通过密码喷洒来帮助。 攻击者能够绕过多因素身份验证，并在网络中横向移动，冒充普通用户。 从这些系统中窃取的信息和黑客留下的恶意软件可能会被用于后续攻击，包括帐户接管。 鉴于这种攻击的针对性，手术性，没有单一的安全解决方案可以阻止它。然而，参议院听证会上的证人证词强调了身份和密码安全的重要性。使用这些证词，SpyClod能够将我们的解决方案映射到主要攻击阶段-妥协，分发和后果-以显示我们如何以及在哪里可以提供帮助。 时间线的攻击 1.妥协 虽然攻击者用来在SolarWinds网络中站稳脚跟的初始入口点仍在调查中，但媒体和安全专家推测，它可能是暴露的服务器、未打补丁的软件或甚至使用密码喷洒或被盗凭据进行简单的帐户接管。一旦进入，攻击者就能够修改 构建过程，并将恶意代码注入到2020年3月至6月发布的SolarWindsOrion软件平台版本中。 2.Distribution 超过18,000个组织下载了恶意更新，导致至少9个联邦机构和100多个私营部门组织的已知妥协。攻击者使用了他们的访问权限窃取身份和令牌来冒充真实用户，回避多因素身份验证，并在受影响的网络中扩展他们的立足点。 授予访问权限 07623 3.Aftermath 参议院证词强调，随着时间的推移，将出现更多的受害者和后续攻击。此外，攻击者收集的大量身份数据意味着现在可以加载到其他密码喷洒和凭证填充工具中，以针对个人和服务，例如未来的工资单服务和代码存储库。 “我们相信Orion平台是这个民族国家专门针对的，目的是在[我们]选择的客户的IT环境中创建后门。威胁行为者通过将恶意代码（我们称为SUNBURST）添加到2020年3月至6月之间发布的版本来做到这一点。因此，三个月的窗口是部署恶意SUNBURST代码的时间。” -SudhakarRamakrishna，SolarWinds总裁兼首席执行官 1妥协 “这是我们所见过的规模最大，最复杂的操作。” ——布拉德·史密斯，微软总裁 参议院情报证词选择委员会明确表示，调查人员仍在努力了解这次攻击的细节，包括攻击者最初是如何入侵SolarWinds的。但是，参议院听证会上的专家证人以及网络安全和基础设施安全局（CISA）都指出，弱密码可能是一个入口点。 根据CISA的警报，“事件响应调查发现，在某些情况下，初始访问是通过密码猜测，密码喷洒和通过外部远程访问服务访问的不适当安全的管理凭据获得的。 密码喷射是一种蛮力攻击，其中网络犯罪分子使用用户名和常见密码列表，例如“password1234”，试图访问特定站点。一旦匹配，犯罪分子可能会针对尽可能多的帐户测试相同的用户名和密码组合。 “如果我要回到我来自威斯康星州格林贝附近的地方，我有1000个来自人们的电子邮件地址，我刚刚应用了密码‘gopackgo’，我会打赌美元到甜甜圈，有一个绿湾包装工球迷使用这个密码。” -布拉德·史密斯，微软 正如布拉德·史密斯的“gopackgo”例子所表明的那样，人类倾向于懒惰密码；我们不仅使用易于猜测的明显密码，而且还在多个帐户中使用它们。攻击者通常会利用用户的不良密码卫生来非法访问其个人或公司帐户。 1 在SolarWinds黑客的情况下，据广泛报道，攻击者成功使用密码“solarwind123”访问软件构建服务器。 这是否是黑客使用的主要途径尚不清楚。但这是一个事实上，密码早在2017年就被使用了。 最终，威胁行为者能够利用他们的访问权限将恶意软件引入SolarWinds签名的CI/CD平台，从而影响SolarWindsOrion软件平台的特定版本，该平台是用于管理网络，端点和 IT基础设施。 SpyCloud可以帮助 使用SpyCloud，您可以通过防止用户设置弱密码或泄露密码来打击密码喷洒。当第三方入侵暴露您用户的凭据时，SpyCloud将自动强制暴露的用户更改其密码，然后犯罪分子才能利用您的员工的暴露 。 仅在2020年，SpyCloud就恢复了近15亿个被盗凭证，并将其运营起来，以保护数百家企业和超过20亿消费者免受账户收购和在线欺诈。 g0packg0 Gopackgo! g0packg0! gopackgo g0p4ckg0 g0p4ckg0!! “gopackgo”在SpyCloud恢复的泄露数据中出现了多少次？ 9,610精确匹配 18,566模糊变化 公司名称更常见： 6出来的顶部10在第三方违规中发现的航空航天和国防员工密码包括公司名称。* 2 Distribution SolarWindsOrion软件更新向超过 18000个客户，包括主要企业和政府机构。立即，攻击者开始收获客户的身份和令牌，允许他们 绕过多因素身份验证，并扩大他们在受害者网络中的覆盖范围。 违反PII可以帮助攻击者绕过MFA 仅在2020年，SpyCloud就收集了： 4.6BPII资产，包括： 1.2B电话资产 70M秘密答案 “攻击者通过SolarWinds植入物进入他们做的第一件事就是去拿你的钥匙，你的代币。基本上，他们窃取了你的身份架构，这样他们就可以像你的人一样访问你的网络。这就是为什么这次攻击很难找到；这些攻击者从第一天起就有一个后门，一个秘密的门，通向你的房子，一旦进去，你所有的钥匙都放在那里。他们抓住了它们，现在他们可以像你的人一样打开你房子里的任何锁。” -KevinMandia，FireEye首席执行官 这些攻击者用来绕过多因素身份验证的策略很复杂。但是，犯罪分子有许多方法可以避开MFA，包括SIM交换，社交工程，使用暴露的PII回答安全问题以及搜索其他被盗帐户以获取TOTP种子。 MFA是一层保护——这是重要的第一步——但是需要额外的层来保护登录到您系统的员工 、消费者和供应商的身份。如果用户使用有效的凭据登录（也称为帐户接管），则组织无法确定该用户是否是罪犯，因为登录不会“触发传感器”。 “SolarWindsOrion软件更新是许多此类攻击的主要初始载体，但它并不是进入这些房屋的唯一入口。在某些情况下，我们看到，俄罗斯演员使用积极的密码喷雾攻击获得访问权限 。密码喷射是指攻击者尝试使用各种 针对许多目标的常见或相对简单的密码，知道组织中的某人很可能将其中一个作为其密码 o” -布拉德·史密斯，微软 参议院的证词还显示，一些客户未能遵循基本的网络安全措施，这使得攻击者很容易扩展其覆盖范围。 2 并非这种供应链攻击的所有受害者都通过SolarWindsOrion软件直接受到损害。再次，弱密码和受损密码发挥了重要作用，占影响公司的下一个最普遍的入口点。 “我们正在为客户进行第二阶段调查，并且我们看到这些攻击者闯入的另一种方式是所谓的密码喷洒。[...]我们在FireEye拥有3,300名员工。我必须相信，他们中的一些人使用fireeye.com电子邮件访问了数十个甚至更多的互联网应用程序。如果任何供应商受到损害，并且他们在amazon.com上使用与fireeye.com相同的密码，我们可能会遇到问题。” -凯文·曼迪亚，火眼 SpyCloud可以帮助 SpyClod使您能够在漏洞生命周期的早期检测和重置受损密码-在犯罪分子有机会通过密码喷洒和上述所有形式的MFA绕过来利用它们之前-以及对这些暴露的凭据进行自动修复（使其减轻您保护用户安全的负担）。您不仅可以监控您的员工和消费者，还可以监控第三方，其密码安全性差可能会使您的企业面临风险。 “SUNSPOT通过许多软件开发公司带来了自动化供应链攻击的严重风险，因为SolarWinds使用的软件流程在整个行业都很常见。 -SudhakarRamakrishna,SolarWinds 3Aftermath 有超过18,000个潜在受影响的客户，SolarWinds攻击的范围是前所未有的。参议院证词强调，随着时间的推移，会出现更多的受害者，我们可以期待看到后续攻击。其他威胁行为者可能会利用相同的注入工具SUNSPOT来破坏未来的软件开发过程。 57%根据SpyCloud的数据，人们在多个帐户中重复使用密码 有针对性的攻击帐户10% ATO攻击和80%的损失 根据从受害者那里获取的信息，现在负责的威胁行为者在受影响的客户组织中拥有一个庞大的个人数据库，他们可以随着时间的推移将其作为目标，这对这些个人及其雇主构成了重大威胁。攻击者可以将此信息加载到密码喷洒和凭据填充工具中，并尝试一次破坏数千个帐户。 对于拥有宝贵资产、访问权限或影响力的个人，有动机的攻击者可能会在有针对性的攻击中投入更多的时间和创造力。不良行为者可能会追查受害者的个人账户，测试他们是否在主要银行、加密货币交易所和信用卡公司重复使用了他们的公司密码。与工作相关的帐户也面临风险；即使受影响的公司重置了公司管理的密码，员工也可能重复使用这些凭据来保护用于软件开发、云托管、人力资源、客户关系管理等的第三方帐户。 SpyCloud可以帮助 有针对性的攻击的风险在入侵发生后的18-24个月内最高，而对被盗数据的访问仅限于犯罪分子。由于SpyCloud在入侵事件发生后的几天或几周内尽早恢复并运营数据，因此我们能够帮助企业迅速识别被盗信息，并保护易受攻击的用户免受有针对性的帐户接管攻击。对于 针对高风险员工、董事会成员和投资者，SpyCloud提供了将企业级保护扩展到高管个人账户的选项。 Conclusion SolarWinds供应链攻击造成的全部损害将需要数年时间才能解决。同时，该事件突显了弱密码和暴露密码在企业安全中的重要作用。 忙碌的高管通常会选择简单的密码或重复使用旧的收藏夹，以记住他们的登录信息，这是一个非常熟悉的做法。 为了信任其消费者、员工和第三方的身份，企业必须在其网络安全策略中早期检测和补救暴露的凭证。 SpyCloud的差异 SpyCloud是一家符合SOC2标准的公司，可采取一切预防措施来保护您的数据安全。我们的代码在每个主要版本中都经过内部和第三方安全审查，并且我们的数据始终在传输和静止状态下进行加密。使用适当的身份和访问管理解决方案严格控制对敏感数据的访问。 SpyCloud的解决方案得到了全球最大的被盗凭证和PII存储库的支持，使企业能够在犯罪分子有机会使用密码之前，通过及早检测和自动重置受损密码来保持帐户接管的领先地位。 我们的客户继续告诉我们，他们防止账户接管的能力取决于对相关数据(包括业内最明文的密码)的访问，以及能够通过自动化使这些数据在操作上具有可操作性。 员工ATO预防 保护您的组织免受密码重复使用造成的破坏和BEC。 了解更多 VIP卫士 保护风险最高的高管免受目标账户收购。 了解更多 ActiveDirectoryGuardian 自动检测和重置暴露的Windows帐户 。 了解更多 第三方洞察 监控第三方风险并共享数据以帮助进行补救。 消费者ATO预防 从帐户保护您的用户 收购欺诈和未经授权的购买。 了解更多 了解更多 查看您的帐户接管风险了解我们与您的电子邮件地址和您的整个域关联了多少次违规记录。 SPYCLOUD.COM N的最佳做法OTIFYINGCONSUMEeRSOFATHIRDc-PARTYBREcACH|