從SolarWinds供應鏈攻擊事件所學到的五個啟示—— Demi Ben-Ari,以色列Panorays 公司技術長/共同創辦人

Posted on

從SolarWinds供應鏈攻擊事件所學到的五個啟示  —— Demi Ben-Ari,以色列Panorays 公司技術長/共同創辦人

多數人可能已經知道由於IT管理解決方案公司SolarWinds 安全問題而引發的供應鏈(合作廠商)攻擊事件;駭客將惡意程式植入其Orion 網路管理產品,受感染的檔案隨著產品更新一併派送到用戶端,導致將近18,000家企業用戶可能因為安裝該程式而受到損害,其中包括美國財政部、美國國土安全部和網路安全公司FireEye。

而SolarWinds 的事件也影響了微軟,由於微軟廣泛使用SolarWinds 的管理軟體,導致系統不但被駭客攻擊,而且駭客還可能修改了微軟的軟體並將惡意檔案發送給客戶。這篇報告的發布,讓微軟股價下跌了約0.7%。

除了微軟本身外,負責提供微軟雲端服務的經銷商至少也有一家被駭客攻擊,且駭客試圖透過此管道進而取得資安廠商CrowdStrike 電子郵件的訪問權限。僅僅微軟在此事件中涉及的就至少有微軟,微軟經銷商,微軟雲客戶,這更凸顯了供應鏈安全的處處危機。

這是一件值得我們所有人深切省思的嚴重事件,因為:任何機構的資安防線都有可能因為第三方的因素而遭到突破,只是遲早問題而已。企業要如何應變與強化自身的資安體質才是因應類似事件的真正重點。

從這次的資安攻擊以及SolarWinds 公司的事件處理過程中,我們可以學到下面五件事:

  1. 瞭解您的第三方/第四方合作廠商

很多時候企業連第三方合作廠商是誰都不見得清楚,更別說是合作廠商的合作廠商(第四方)了。在資料外洩事件的當下,企業必須要能夠快速掌握與所有夥伴之間的合作模式與關係,以控制損害的範圍。

 

  1. 充分掌握聯絡窗口

非常重要但常常被忽視的一件小事:確保您知道如何聯繫合作夥伴,知道誰才是對的聯絡窗口。對於企業及其合作廠商而言,隨時更新的聯絡資訊對於事件發生時能否快速溝通至為重要。聯絡資訊的檢核與更新是第三方風險管理 (Third Party Risk Management, TPRM) 過程中的一部分,除了直接接觸的承辦窗口外,也需更全面的了解合作部門及其相關的業務關係。

 

  1. 緊急開關 (Kill-Switch) 的設置

發現SolarWinds 漏洞後,FireEye,GoDaddy 和Microsoft 快速啟動了緊急阻絕措施,從而減輕了網路攻擊的影響;同樣的,企業也該為每一家合作廠商設立類似的緊急開關 (Kill-Switch) 策略,該策略應基於與各廠商間的業務關係與合作模式而訂定,包括相關文件與執行步驟。

 

  1. 通報系統的自動化

當企業需要告知成千上百家合作廠商一件可能發生的資安風險時,成敗的關鍵因素在於通報的速度。只有使用自動化系統的企業才能將事件訊息,補強措施與建議迅速傳遞予所有第三方甚至第四方的合作夥伴。簡單說:如果 貴公司的第三方風險方案全得靠人工來執行,那麼;You have a problem

 

  1. 持續性不中斷的監控

隨著網路威脅的不斷變化、以及企業與合作廠商數位資產的快速成長,駭客透過第三方發動間接攻擊的事件層出不窮。因此,任何第三方風險的管控都不是做過一次就可高枕無憂的,必須持續性的監控與評估才能發揮效用。

述策略皆為企業第三方資安風險管控 (Third Party Risk Management, TPRM) 計劃的重點,儘管我們尚未看到SolarWinds 資安事件最後會發展到什麼地步,但所有組織與企業絕對都能夠透過對第三方資安風險計畫的重新審視,進而強化企業的資安體質以及對於類似事件的抵抗力。

 

SolarWinds以外,我們在此也與大家分享另外兩起透過供應廠商間接攻擊企業的事件:

  • 2020年底,美國安泰保險(Aetna)的眼科醫療服務商EyeMed遭駭客透過釣魚信件感染其服務系統,進而導致安泰客戶個資外洩,包括全名、住家地址、電話、眼科保險帳號及ID、健康保險方案帳號及ID、美國醫療保險Medicaid或Medicare編號、駕駛執照及其他身份字號資料等;有些資料還包含完整的社會安全號碼、財務資料等,波及人數49萬餘人。
  • 同樣是醫療相關產業發生的事件,提供美國320家牙科診所及醫院服務的牙科照護聯盟(Dental Care Alliance)也傳出被駭,間接造成病患個資外流。根據美國衛生與公共服務部(HHS)的官方資料統計,受影響人數超過100萬人,其中約10%的客戶銀行帳戶也受到影響。

 

參考資料

  1. Demi Ben-Ari , 5 Important Takeaways from the SolarWinds Supply Chain Attack
  2. Robert McMillan , Microso! Hacked in Russia-Linked SolarWinds Cyberattack
  3. ETtoday財經雲 , 駭客入侵微軟產品Office 365 影響恐及美國國防部
  4. Lawrence Abrams , Microsoft confirms breach in SolarWinds hack, denies infecting others

 

如有相關更進一步的資安需求,歡迎洽詢數位資安,將有專人為您服務。

www.iSecurity.com.tw   |   (02) 7702-1088  | 數位資安系統股份有限公司

Posted in 新聞, 產品新知 and tagged , , , , .