「SolarWinds 駭客攻擊事件」正設法滲透入侵大量的組織單位,除了美國政府之外,範圍更擴及全球企業,評估並清除其損害的時間可能將耗費數年,被稱為史上最大的國家級資安威脅之一。Fortinet呼籲企業積極採取主動偵測防禦的解決方案,防止惡意程式入侵。
近期媒體指出,有特定國家的駭客組織藉由滲透美國政府最大的軟體供應商SolarWinds旗下的SolarWinds Orion平台,入侵採用該平台的企業及組織,使許多單位遭遇極大的資安威脅,包含多個美國政府機構。駭客於該平台產品植入Sunburst木馬程式,並偽裝成更新檔,在成功進駐受害系統之後,再進行一系列的檢查,以確保能在攻擊目標的系統上運作,進而發動供應鏈攻擊,損害SolarWinds的Orion IT監視和管理軟體更新系統以竊取機密資料。根據 SolarWinds 的資料指出,有3萬3千個組織使用Orion的軟體,判斷可能已有1萬8千家客戶下載了這支程式。
對此,Fortinet也正積極與客戶合作,降低遭惡意軟體感染的風險。FortiGuard實驗室也於事件發生後不斷分析更多攻擊的細節,多方蒐集資料並研究本次入侵SolarWinds的「Sunburst」/UNC2452木馬程式威脅數據,Fortinet還主動掃描FortiEDR雲端數據湖以查找相關指標,藉以確定客戶是否遭到惡意入侵,並聯繫可能受到影響的客戶。
Fortinet北亞區總經理陳鴻翔表示, Fortinet並未使用SolarWinds Orion系統,因此沒有受到此威脅事件影響。Fortinet相關產品經美國國防部安全驗證資安無疑慮、亦獲得經濟部工業局與投審會確認在台灣合法銷售非陸資且非陸製的產品。
Fortinet已全面展開對SolarWinds攻擊事件的部署,包括強化解決方案更新、偵測、防護以及回應等,以全方位防護功能協助客戶抵禦惡意程式入侵,FortiGuard實驗室更在部落格中分享此次攻擊的進一步細節,並告知客戶應如何透過Fortinet現有的產品與解決方案加強防護,以及如何更進一步借助 FortiEDR 平台採取的主動資安防護措施來確保資訊安全無虞:
- 偵測入侵:所有已發佈和後續的IOCs都立即新增到Fortinet的雲端智慧和特徵碼資料庫中,確保Fortinet的安全解決方案(包括FortiGate、FortiSIEM、FortiSandbox、FortiEDR、FortiAnalyzer和FortiClient)都能成功檢測到惡意程式。若發現新的IOCs,也將立即被新增到資料庫中。
- 防護和回應:負責異常行為偵測與阻擋的FortiEDR透過非特徵碼的行為學習能力,偵測惡意程式感染,記錄攻擊事件軌跡,可主動減少攻擊面並提供調查與回應能力,幫助企業組織達到高效自動化的進階威脅防禦。
- 自動化回應:FortiSIEM、FortiSOAR可建立跨組織的資安事故回應協作流程,與其他資安通訊系統連動,達到回應處理自動化。FortiSOAR亦設有特定的劇本(Playbooks),方便客戶針對此次 SolarWinds 駭客攻擊事件進行鑑識與回應。