SolarWinds: caça às ameaças para conter e erradicar

SolarWinds: caça às ameaças para conter e erradicar

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br


À medida que a história do ciberataque continua a se desenrolar em torno do malware SUNBURST e SUPERNOVA distribuído por meio de uma atualização de software comprometida da SolarWinds, mais organizações dos setores público e privado de todo o mundo estão se apresentando para divulgar como foram afetadas pela violação. Em resposta, os especialistas em segurança cibernética estão simplesmente recomendando que todos os clientes da SolarWinds presumam que foram violados e iniciem uma busca por ameaças para conter e erradicar.

Em 13 de dezembroº, A FireEye divulgou informações sobre um ataque à cadeia de suprimentos usando um Orion trojanizado, um software de monitoramento e gerenciamento de TI da Solarwinds. O malware foi entregue por meio de atualizações ao SSolarWinds.Orion.Core.BusinessLayer.dll nas versões 2019.4 a 2020.2, um componente assinado digitalmente do software e rastreado pela FireEye como SUNBURST. O ataque pode ter começado já na primavera de 2020.

E, durante o feriado, um novo malware SUPERNOVA foi descoberto sendo distribuído por meio da mesma plataforma de software, outro backdoor provavelmente de um segundo ator de ameaça.

Boletins recentes da Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA sugerem que os invasores podem estar usando vários vetores de ataque para se infiltrar nas redes visadas. A CISA orientou as agências federais a isolar (ou simplesmente desligar, após ter feito imagens forenses da memória do sistema e dos sistemas operacionais host) dos servidores SolarWinds e iniciar uma investigação sobre comprometimentos em sua rede.

O SANS Institute recomenda Threat Hunts em sua rede, priorizando o Discovery COA (olhando para trás).

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br

Por que uma caça às ameaças?

Ao responder a uma violação, as melhores práticas indicam que você deve preservar as evidências digitais e conduzir uma investigação completa. Responder ao comprometimento não é tão simples quanto remover os malwares Sunburst e SUPERNOVA. Com qualquer Ameaça Persistente Avançada (APT), os invasores podem estar em sua rede obtendo permissões administrativas ou forjando tokens SAML para se passar por qualquer usuário. Os invasores irão reequipar e preparar o terreno para novos compromissos. SUPERNOVA demonstra o risco desses vetores de ataque adicionais. As táticas ofensivas, presumindo que um invasor esteja dentro de sua organização, são a melhor maneira de conter e erradicar.

Uma caça a ameaças envolve o uso proativo de técnicas manuais ou assistidas por máquina por um analista de segurança cibernética, geralmente parte de uma Equipe de Resposta a Incidentes, para detectar violações de segurança que podem escapar do alcance de sistemas automatizados como antivírus, firewalls, scanners, etc. O analista passa pela inteligência coletada de servidores e redes para procurar atividades ameaçadoras e identificar problemas de segurança para remediar ataques cibernéticos.

Assistência para sua resposta

A OpenText emitiu um aviso ao cliente fornecendo EnCaseTM Clientes do Endpoint Security com regras de detecção para SUNBURST. Eles podem ser baixados do portal MySupport.

Para obter conselhos, orientações e assistência com o seu compromisso com a SolarWinds, nossa equipe de serviços profissionais está disponível para:

  • Conduza uma busca avançada de ameaças em busca da infecção SUNBURST
  • Pesquise na rede o Indicador de Compromisso (IoC) em execução no seu ambiente
  • Perícia digital e resposta a incidentes dos sistemas infectados
  • Desenvolver medidas preventivas de ataque cibernético para alertar sobre IoC e Táticas, Técnicas e Procedimentos (TTPs)

Para saber mais sobre nossos serviços de segurança, visite nosso site. Para solicitar seu Threat Hunt ou obter assistência com uma Resposta a Incidentes com urgência, envie um e-mail para [email protected]

cupom com desconto - o melhor site de cupom de desconto cupomcomdesconto.com.br
Luiz Presso
Luiz Presso