Недавняя атака на цепочку поставок SolarWinds оставалась незамеченной в течение нескольких месяцев. Самая ранняя подозрительная активность была обнаружена в сентябре 2019 года, 12 декабря заинтересованные стороны были уведомлены, и было начато официальное расследование со стороны правоохранительных органов, разведывательных групп и отделений правительства США.
После атаки, объявления и расследования многим командам по кибербезопасности, было предложено более внимательно изучить свои внутренние системы безопасности, приложения и инфраструктуру в целом, чтобы уменьшить области уязвимости. Атака SolarWinds предоставила множество уроков.
Ори Арбель, технический директор Cyrebro (онлайн-платформа SOC), сказал, что компании должны признать и понять, что никто не застрахован от кибератак, даже правительство США и корпорации безопасности. Арбель считает, что более быстрое реагирование может сэкономить компаниям миллионы. Даже самые изощренные атаки выполняются с помощью хотя бы одного из готовых инструментов, например, загрузчика кобальта.
По его словам, оценка сторонних поставщиков имеет решающее значение. Твердая позиция организации в области безопасности не поможет, если сторонний поставщик подвергся атаке. Нужно создать процессы проверки безопасности исправлений. Арбель делится этими ключевыми уроками безопасности, которые могли бы уменьшить уязвимости.
- Программное обеспечение с цифровой подписью снова подвело нас. Новые двоичные файлы должны проверятся более тщательно, даже после того, как они подписаны.
- Аудит, мониторинг облачных сред и максимальное разделение учетных записей приложений и служб могут остановить атаку или помочь определить ее местонахождение в режиме реального времени.
- Процесс безопасного жизненного цикла разработки системы (SDLC) может помочь поймать злоумышленников в реальном времени и предотвратить нанесение ущерба.
- Имеет смысл в использовании более надежных паролей на платформах управления кодом.
Как атака SolarWinds может помочь компаниям лучше подготовиться к дальнейшему развитию?
Подобно WannaCry или NotPetya, атаку на SolarWinds следует рассматривать как массовую.
Не думайте, что вы в безопасности, если у вас нет продукта Solarwinds, как говорится, профилактика лучше, чем лечение - для предотвращения будущих крупномасштабных атак, таких как SolarWinds, необходимо учиться на прошлых ошибках.