公司首席执行官在2021年RSA会议上阐明了备受瞩目的漏洞
太阳能背后的民族国家攻击者供应链攻击本可以在此前报道之前九个月才能获得该公司的访问权。
根据公司首席执行官的说法,该公司昨晚(5月19日)揭示了备受瞩目的事情攻击。
今年早些时候,头条新闻主导了IT管理和监视平台分发的软件更新中的后门,以访问Solarwinds的客户。
其Orion软件中的漏洞使攻击者能够妥协包括微软在内的客户,许多美国政府机构和网络安全公司FireEye。
Solarwinds首席执行官Sudhakar Ramakrishna在2021年RSA会议上的炉边聊天中发表讲话说,新的证据表明,恶意演员早在2019年1月就首先针对该软件。
早期访问
官方声明到目前为止指出,攻击者最早在2019年9月获得了Solarwinds系统的访问权限,但是Ramakrishna解释说,早在当年年初就有“早期侦察活动”的证据。
Ramakrishna在聊天期间告诉Forrester Research,Ramakrishna告诉劳拉·科茨勒(Laura Koetzle),“我们最近发现的是,攻击者可能早在2019年1月就已经进入了我们的环境。”
拉马克里希纳(Ramakrishna)于2021年1月接管该职位,他说他首先意识到后门2020年12月,即加入公司的一个月。
背景高调供应链攻击仅几周后,在Solarwinds软件中发现了多个新缺陷
FireEye是第一个公开报告攻击的人,他说,威胁参与者通过注入软件更新中的特洛伊木马访问了Orion用户的网络。
不知名的演员从Solarwinds及其客户持续了几个月,他能够窃取文件和数据来自受害者,包括从微软获取的源代码。
拉玛克里希纳(Ramakrishna)将攻击描述为“做得非常出色,非常精致,他们在这里尽了一切可能掩盖了朴素的视线”。
首席执行官补充说:“我们正在寻找所有通常的线索。”“当您进行调查时,您会有一个清单,您有一组假设,尝试绘制内容。
“在这种特殊情况下,鉴于他们花费的时间,并鉴于他们在努力方面的故意,他们能够在每一步的每一步中遮盖指纹,遮盖轨道。”
罗马克里希纳说,这一事件变得更加困难,“鉴于一个民族国家的资源” - 在这种情况下,袭击归咎于APT29或“舒适的熊”,这是由威胁英特尔专家联系起来的团体俄罗斯的外国情报服务(SVR)。
Solarwinds最终能够通过评估数百个数据和数千个构建系统来准确地指出攻击者所取得的成就。
Laura Koetzle采访Solarwinds首席执行官Sudhakar Ramakrishna关于高调攻击
'所有的手放在桌上'
拉马克里希纳(Ramakrishna)解释说,甚至在剥削后门之前就已经建立了一个安全事件响应小组,但事件“升级了该团队的意义”,并要求该公司采取“全力以赴”的方法。
这甚至要求首席执行官与客户交谈并找出他们的担忧,拉马克里希纳说,这主要是如何影响他们的。
“What started off as a reactive measure, we [then] started learning about the incident, we started addressing issues, and one of the foundations of what we’ve been trying to do is transparency as we enhance the trust that we have with our customers.
“具体来说,我们还与全球合作伙伴合作,并创建了一个名为Orion Assistant计划的计划。”
由Solarwinds资助的免费淘汰成本计划背后的想法是为一些客户提供额外的帮助,这些客户可能由于财务限制或技术知识等问题而无法轻松升级。
阅读更多Microsoft在承认SolarWinds攻击者访问源代码后轻描淡写威胁
事后看来,当他会做些不同的事情时,拉马克里希纳回答“有更强的媒体反应”。
“ Solarwinds从历史上一直保持着自己的关注,专注于客户,内部专注于自己,并且从未尝试引起注意。
“在这种特殊情况下,注意力引起了我们的注意。而且,如果我想到一个我们没有充分准备的领域……我们没有为媒体的回应做好准备。”
回顾过去,拉玛克里希纳(Ramakrishna)说,他希望自己拥有“更多的资源,更积极的宣传”,他说该公司通过扩大沟通团队的了解,从而向其他实例做好了准备并可以帮助他人。
他总结说:“尽管我不希望这样的人发生这样的事情。”
