近日,国际网络安全界雷声不断,先是爆出全球最大的网络安全公司之一FireEye(火眼)被黑事件,攻击者窃取了其用于测试防御措施的渗透测试工具库。在攻击FireEye后不到一周时间,包括美国财政部和商务部在内的多个政府机构又宣称遭到网络攻击和入侵。
本周日,国际著名网络运维和安全企业SolarWinds发布安全声明,声明中表示:
“根据监测,今年3月和6月发布的Orion产品可能已经被秘密地安装在大量高度复杂的、有针对性的目标中。”
此次SolarWinds供应链攻击会对软件使用者植入代码,实现信息收集、执行指令命令、读写删除文件等恶意功能,对企业和用户系统安全造成严重威胁。一旦中招,会使企业相关业务停滞,对用户数据造成泄露、破坏等危害,更严重的是会摧毁用户对企业的信任。由于SolarWinds相关软件用户群体庞大,供应链攻击扩散属性强并可长期潜伏于目标系统,科来建议企业和个人通过网络全流量安全分析工具进行全面排查。
在向美国证券交易委员会提交的文件中,SolarWinds表示:
“大约有18,000个客户下载了木马化的SolarWinds Orion版本。”
SolarWinds产品在全球超过300,000个组织中使用,涉及众多政府部门和关键基础设施。在地域上,受攻击影响的用户不仅限于美国,国内也有部分用户,也包括欧洲、亚洲、中东等其他广大地区的用户。
本次供应链攻击事件中攻击者通过攻击SolarWinds厂商,使攻击者的流量通信使用了SolarWinds厂商的签名证书,从而加密了其攻击通信流量,绕过了各安全厂商的攻击检测。
供应链攻击,已经成为APT攻击中的常用攻击手段,该攻击方法攻击隐蔽,检测困难,且危害极大。本次通过SolarWinds供应链攻击的事件跟上周曝光的FireEye被黑客入侵并被曝光武器库的事件是否存在一定的关联目前还不得而知,科来也将持续关注事态的进一步发展。
此次事件影响面极大,各安全厂商已推出IOC更新库,帮助用户对未来风险进行防范,用户可使用IOC匹配方式对未来可能的攻击进行监测。
但攻击者是否已经攻击进来,是否已经达成攻击目标并潜伏下来,甚至是否已经擦除攻击痕迹,也应该是用户需要关注的重点。科来网络全流量分析系统为用户提供全流量回溯,只需三步,即可回溯历史上相关IOC通信情况,帮助用户排除风险。
科来全流量产品可以全面采集、分析及处理网络中的流量,找出问题所在,看清全部真相,让网络威胁无处遁形。
