SolarWinds: Chasse aux menaces pour contenir et éradiquer

NRZ.Digital
0 0

Alors que l’histoire de la cyberattaque continue de se dérouler autour des logiciels malveillants SUNBURST et SUPERNOVA distribués via une mise à jour logicielle SolarWinds compromise, de plus en plus d’organisations des secteurs privé et public du monde entier se manifestent pour révéler comment elles ont été affectées par la violation. En réponse, les experts en cybersécurité recommandent simplement à tous les clients de SolarWinds de présumer qu’ils ont été violés et de lancer une chasse aux menaces pour contenir et éradiquer.

Le 13 décembree, FireEye a publié des informations sur une attaque de la chaîne d’approvisionnement à l’aide d’un cheval de Troie Orion, un logiciel de surveillance et de gestion informatique de Solarwinds. Le logiciel malveillant a été fourni via des mises à jour de SSolarWinds.Orion.Core.BusinessLayer.dll dans les versions 2019.4 à 2020.2, un composant signé numériquement du logiciel et suivi par FireEye comme SUNBURST. L’attaque aurait pu commencer dès le printemps 2020.

Et, pendant les vacances, un nouveau malware SUPERNOVA a été découvert en train d’être distribué via la même plate-forme logicielle, une autre porte dérobée qui provient probablement d’un deuxième acteur de la menace.

Des bulletins récents de la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis suggèrent que les attaquants peuvent utiliser plusieurs vecteurs d’attaque pour infiltrer les réseaux ciblés. CISA a ordonné aux agences fédérales d’isoler (ou simplement de mettre hors tension, après avoir fait une image scientifique de la mémoire système et des systèmes d’exploitation hôtes) des serveurs SolarWinds, et de lancer une enquête sur les compromis sur leur réseau.

Institut SANS recommande Threat Hunts dans votre réseau en donnant la priorité à Discovery COA (en regardant en arrière).

Pourquoi une chasse aux menaces?

Lorsque vous répondez à une violation, les meilleures pratiques indiquent que vous devez conserver les preuves numériques et mener une enquête complète. Répondre au compromis n’est pas aussi simple que de supprimer les logiciels malveillants Sunburst et SUPERNOVA. Avec n’importe quelle menace persistante avancée (APT), les attaquants peuvent avoir été dans votre réseau pour obtenir des autorisations administratives ou forger des jetons SAML pour se faire passer pour des utilisateurs. Les attaquants réorganiseront et prépareront le terrain pour de nouveaux compromis. SUPERNOVA démontre le risque de ces vecteurs d’attaque supplémentaires. Les tactiques offensives en supposant qu’un attaquant se trouve à l’intérieur de votre organisation sont le meilleur moyen de contenir et d’éradiquer.

Une chasse aux menaces implique une utilisation proactive de techniques manuelles ou assistées par machine par un analyste en cybersécurité, souvent membre d’une équipe de réponse aux incidents, pour détecter les failles de sécurité qui peuvent échapper à la maîtrise des systèmes automatisés comme les antivirus, les pare-feu, les scanners, etc. parcourt les informations collectées sur les serveurs et les réseaux pour rechercher des activités menaçantes et identifier les problèmes de sécurité pour remédier aux cyberattaques.

Assistance pour votre réponse

OpenText a publié un avis client fournissant EnfermerTM Sécurité des terminaux clients avec des règles de détection pour SUNBURST. Ceux-ci peuvent être téléchargés sur Mon support portail.

Pour obtenir des conseils, des conseils et une assistance concernant votre compromis SolarWinds, notre équipe de services professionnels est disponible pour:

  • Effectuer une avancée chasse aux menaces à la recherche de l’infection SUNBURST
  • Recherchez l’indicateur de compromis (IoC) sur le réseau en cours d’exécution dans votre environnement
  • Digital Forensics et réponse aux incidents des systèmes infectés
  • Développer des mesures préventives contre les cyberattaques pour alerter sur l’IoC et les tactiques, techniques et procédures (TTP)

Pour en savoir plus sur nos services de sécurité, visitez notre site Internet. Pour demander votre Threat Hunt ou obtenir de l’aide pour une réponse à un incident de toute urgence, envoyez un e-mail à securityservices@opentext.com.


Happy
Happy
0
Sad
Sad
0
Excited
Excited
0
Sleepy
Sleepy
0
Angry
Angry
0
Surprise
Surprise
0

Average Rating

5 Star
0%
4 Star
0%
3 Star
0%
2 Star
0%
1 Star
0%

Laisser un commentaire

Next Post

Les dispositifs thermoélectriques flexibles permettent de récupérer l'énergie de la peau humaine

Illustration conceptuelle d’un TEG conforme avec électrodes souples et conducteurs de chaleur souples (s-HC) pour les applications de circuits auto-alimentés. L’encart gauche est une photographie des pattes thermoélectriques (TE) à base de tellurure de bismuth (Bi2Te3) et l’encart droit est une image optique d’une coupe transversale du TEG conforme. Barres […]

Abonnez-vous maintenant