Razlike

Slijede razlike između dviju inačica stranice.

--- racfor_wiki:seminari:solarwinds_cyber_napad [2023/01/12 18:03]
mh51669 [Kako se SolarWinds napad dogodio]
+++ racfor_wiki:seminari:solarwinds_cyber_napad [2024/12/05 12:24] (trenutno)
@@ Redak 5: / Redak 5: @@
 ===== Uvod =====
-SolarWinds je velika softverska tvrtka sa sjedištem u Tulsi u Oklahomi, SAD-u, koja pruža alate za upravljanje sustavom za nadzor mreže i infrastrukture te druge tehničke usluge stotinama tisuća organizacija širom svijeta. Među proizvodima tvrtke nalazi se i sustav za praćenje IT performansi pod nazivom Orion.
+SolarWinds je velika softverska tvrtka sa sjedištem u Tulsi u Oklahomi, SAD-u, koja pruža alate za upravljanje sustavom za nadzor mreže i infrastrukture te druge tehničke usluge stotinama tisuća organizacija širom svijeta. Među proizvodima tvrtke nalazi se i platforma SolarWinds Orion [Slika 1]. SolarWinds Orion je IT platforma za nadzor i upravljanje koja korisnicima pruža vidljivost i kontrolu nad njihovom IT infrastrukturom. Uključuje značajke kao što su praćenje u stvarnom vremenu, analitika, upozoravanje, izvješćivanje, automatizacija i upravljanje zakrpama. SolarWinds Orion koriste mnoge organizacije za upravljanje svojim mrežama i sustavima, a platformi vjeruju mnoge vodeće svjetske tvrtke.
 Platformu Orion koristili su kupci diljem svijeta. Kako bi poboljšao svoju učinkovitost, Orion ima pristup zapisima i podacima o performansama sustava korisnika, što ga čini unosnom metom za hakere. Ova je platforma bila žrtva napada na opskrbni lanac koji je utjecao na tisuće sustava i kupaca na globalnoj razini.
-{{:racfor_wiki:seminari:solarwinds_orion_features.jpg?600|}}
+{{ :racfor_wiki:seminari:orion-platform-products.png?600 |}}
+Slika 1: Funkcionalnosti SolarWinds Orion platforme
 ===== Kako se SolarWinds napad dogodio =====
-Napad SolarWinds bio je sofisticirani napad koji je koristio više tehnika za pristup sustavima žrtava. Napadači su koristili tehniku poznatu kao kompromitiranje opskrbnog lanca, koja je uključivala umetanje zlonamjernog koda u legitimna ažuriranja proizvoda za IT nadzor i upravljanje SolarWinds Orion. Nakon što je zlonamjerni kod instaliran, stvorio je stražnja vrata koja su napadačima omogućila pristup sustavima i krađu podataka. Nakon što su napadači dobili pristup sustavima, koristili su različite tehnike za kretanje kroz mreže žrtava, poput iskorištavanja poznatih ranjivosti i instaliranja dodatnog zlonamjernog softvera na sustave.
+SolarWinds napad bio je sofisticirani napad koji je koristio više tehnika za pristup sustavima žrtava. Napadači su koristili tehniku poznatu kao kompromitiranje opskrbnog lanca, koja je uključivala umetanje zlonamjernog koda u legitimna ažuriranja proizvoda za IT nadzor i upravljanje SolarWinds Orion. Nakon što je zlonamjerni kod instaliran, stvorio je //backdoor// koji je napadačima omogućio pristup sustavima i krađu podataka. Nakon što su napadači dobili pristup sustavima, koristili su različite tehnike za kretanje kroz mreže žrtava, poput iskorištavanja poznatih ranjivosti i instaliranja dodatnog zlonamjernog softvera na sustave.
+Vjeruje se da su napadači uspjeli umetnuti zlonamjerni kod na poslužitelje za ažuriranja tako što su uspjeli doći do podataka za autentifikaciju potrebnih za izmjenu sadržaja na spomenutim poslužiteljima. Do podataka su mogli doći preko javno dostupnog GitHub repozitorija jednog od neopreznog zaposlenika, a taj repozitorij je u sebi uključivao potrebne podatke za autentifikaciju, ukljućujući lozinku koja je bila 'solarwinds123'.
 Napad je bio posebno podmukao jer je maliciozni kod dizajniran da ostane neotkriven i mogao je zaobići tradicionalne sigurnosne mjere. Osim toga, napadači su koristili razne tehnike kako bi prikrili svoju prisutnost, poput brisanja zapisa i onemogućavanja sigurnosnih alata.
@@ Redak 18: / Redak 21: @@
 SolarWinds je bio obećavajuća meta za ovu vrstu napada na opskrbni lanac. Budući da mnoge multinacionalne tvrtke i vladine agencije koriste svoj softver Orion, sve što su hakeri trebali bilo je instalirati trojanac koji će omogućiti hakerima nesmetan pristup povjerljivim informacijama nakon što je server za ažuriranje SolarWinds distribuirao zlonamjerni kod.
-Do kraja 2019. zlonamjerni su akteri već probili mrežu SolarWindsa. Ažuriranje koje je sadržavalo //backdoor// bio je trojanac za daljinski pristup (//Remote Access Trojan// - RAT). Ovo zlonamjerno ažuriranje nazvano je Sunburst ažuriranje. Došlo je proljeće 2020., a ovo štetno ažuriranje već je objavljeno korisnicima. Kupci nisu imali razloga sumnjati u ažuriranje s obzirom da je došlo izravno sa SolarWinds poslužitelja.
+Do kraja 2019. zlonamjerni su akteri već probili mrežu SolarWindsa. Ažuriranje je sadržavalo //backdoor// za neautorizirani pristup zaraženom sustavu poznatiji kao trojanac za daljinski pristup (//Remote Access Trojan// - RAT). Ovo zlonamjerno ažuriranje nazvano je Sunburst ažuriranje. Do proljeća 2020. ovo štetno ažuriranje već je bilo objavljeno korisnicima. Kupci nisu imali razloga sumnjati u ažuriranje s obzirom da je došlo izravno sa SolarWinds poslužitelja.
@@ Redak 46: / Redak 49: @@
-===== Tko je bio žrtva napada =====
+===== Tko je bio žrtva napada i pokušaji obrane =====
 Više od 18.000 korisnika SolarWindsa instaliralo je zlonamjerna ažuriranja, a zlonamjerni se softver širio neotkriveno. Putem ovog koda hakeri su pristupili informacijskim sustavima korisnika SolarWindsa, koje su zatim mogli koristiti za instaliranje još više zlonamjernog softvera za špijuniranje drugih tvrtki i organizacija.
@@ Redak 60: / Redak 63: @@
 ===== Cilj napada =====
-Cilj napada ostaje uglavnom nepoznat. Ipak, postoje mnogi razlozi zbog kojih bi hakeri željeli ući u sustav organizacije, uključujući pristup budućim planovima proizvoda ili podacima o zaposlenicima i klijentima koji se mogu čuvati radi otkupnine. Također još nije jasno koje su podatke, ako ih je bilo, hakeri ukrali od vladinih agencija.
+Cilj napada ostaje uglavnom nepoznat. Ipak, postoje mnogi razlozi zbog kojih bi hakeri željeli ući u sustav organizacije, uključujući pristup budućim planovima proizvoda ili podacima o zaposlenicima i klijentima koji se mogu čuvati radi kasnijeg iznuđivanja otkupnine. Također još nije jasno koje su podatke, ako ih je bilo, hakeri ukrali od vladinih agencija.
 Postoje nagađanja da bi mnoga poduzeća mogla biti kolateralne žrtve, budući da su glavni fokus napada bile vladine agencije koje koriste SolarWinds IT sustave upravljanja.
@@ Redak 79: / Redak 82: @@
 ===== Značaj napada =====
-Napad na opskrbni lanac SolarWinds je globalni napad, jer su akteri prijetnje pretvorili softver Orion u oružje koje je dobilo pristup nekoliko vladinih sustava i tisućama privatnih sustava širom svijeta. Zbog prirode softvera -- i proširenjem zlonamjernog softvera Sunburst -- koji ima pristup cijelim mrežama, mnoge vladine i poslovne mreže i sustavi suočavaju se s rizikom značajnih proboja.
+Napad na opskrbni lanac SolarWinds je globalni napad, jer su akteri pretvorili softver Orion u oružje koje je dobilo pristup u nekoliko vladinih sustava i tisuće privatnih sustava širom svijeta. Zbog prirode softvera i širenja zlonamjernog softvera Sunburst, koji ima pristup cijelim mrežama, mnoge vladine i poslovne mreže i sustavi suočavaju se s rizikom proboja.
-Hakiranje bi također moglo biti katalizator brzih, širokih promjena u industriji kibernetičke sigurnosti. Mnoge tvrtke i vladine agencije sada su u procesu osmišljavanja novih metoda za reagiranje na ove vrste napada prije nego što se dogode. Vlade i organizacije uče da nije dovoljno izgraditi vatrozid i nadati se da će ih zaštititi. Moraju aktivno tražiti ranjivosti u svojim sustavima i ili ih poduprijeti ili pretvoriti u zamke protiv ovakvih vrsta napada.
+Hakiranje bi također moglo biti pokretač velikih promjena u industriji kibernetičke sigurnosti. Mnoge tvrtke i vladine agencije sada su u procesu osmišljavanja novih metoda za obranu od ovih vrsta napada prije nego što se dogode. Vlade i organizacije su iskusile da nije dovoljno izgraditi vatrozid i nadati se da će ih zaštititi. Moraju aktivno tražiti ranjivosti u svojim sustavima i ukoliniti ih ili pretvoriti u zamke protiv ovakvih vrsta napada.
-Otkako je napad otkriven, SolarWinds je preporučio korisnicima da ažuriraju svoju postojeću Orion platformu. Tvrtka je izdala zakrpe za zlonamjerni softver i druge potencijalne ranjivosti otkrivene od početnog napada Oriona. SolarWinds također preporučuje korisnicima da ne mogu ažurirati Orion izolirane SolarWinds poslužitelje i/ili promijeniti lozinke za račune koji imaju pristup tim poslužiteljima.
+Otkako je napad otkriven, SolarWinds je preporučio korisnicima da ažuriraju svoju postojeću Orion platformu. Tvrtka je izdala zakrpe za zlonamjerni softver i druge potencijalne ranjivosti otkrivene od početnog napada Oriona. SolarWinds također preporučuje korisnicima koji ne mogu ažurirati SolarWinds Orion poslužitelje da promijene lozinke za račune koji imaju pristup tim poslužiteljima.
 Veći fokus Bijele kuće na kibernetičku sigurnost bit će ključan, rekli su neki stručnjaci iz industrije. Ali organizacije bi trebale razmotriti usvajanje modernih alata softvera kao usluge za nadzor i suradnju. Dok je industrija kibernetičke sigurnosti značajno napredovala u posljednjem desetljeću, ove vrste napada pokazuju da je još dug put do stvarno sigurnih sustava.
@@ Redak 90: / Redak 93: @@
 ===== Kako izbjeći ovakav napad =====
-  * Pokretati bilo koji softver kao obični korisnik bez administrativnih povlastica kako biste smanjili utjecaj   napada.
+  * Pokretati bilo koji softver kao obični korisnik bez administrativnih ovlasti kako biste smanjili utjecaj   napada
-  * Podignuti svijest kako korisnici ne bi posjećivali nepouzdana mjesta ili klikali na poveznice iz nepoznatog ili nepouzdanog izvora.
+  * Podignuti svijest kako korisnici ne bi posjećivali nepouzdana mjesta ili klikali na poveznice iz nepoznatog ili nepouzdanog izvora
-  * Educirati korisnike o rizicima vezanim uz hipertekstualne veze ili privitke e-pošte koje pruža nepouzdan izvor.
+  * Educirati korisnike o rizicima vezanim uz hipertekstualne veze ili privitke e-pošte koje pruža nepouzdan izvor
-  * Primijeniti strategiju najmanjih privilegija na svoje sustave i usluge.
+  * Primijeniti strategiju najmanjih privilegija na svoje sustave i usluge
+  * Korištenje višefaktorske autentifikacije
+  * Ažuriranje antivirusih programa
 ===== Zaključak =====
-Potpuni opseg štete od napada na opskrbni lanac SolarWinds trebat će godine da se otkrije. U međuvremenu, incident je istaknuo značajnu ulogu slabe i izložene lozinke u sigurnosti poduzeća. Zaposleni rukovoditelji obično biraju jednostavne lozinke ili ponovno koriste stare favorite kako bi zapamtili svoje prijave, što je praksa prijetnje s kojom su akteri dobro upoznati. Kako bi vjerovale identitetima svojih potrošača, zaposlenika i trećih strana, poduzeća moraju ugraditi rano otkrivanje i popravak izloženih vjerodajnica u svoje strategije kibernetičke sigurnosti.
+SolarWinds napad je bio sofisticiran i podmukao napad koji je iskorištavao više tehnika, kao što je kompromitacija opskrbnog lanca i kretanje u mreži, kako bi se dobio pristup sustavima žrtava. Napad je mogao ostati neotkriven dulje vrijeme, što je napadačima omogućilo krađu podataka iz više vladinih agencija i privatnih tvrtki u SAD-u, kao i mnogih drugih organizacija diljem svijeta. Od veljače 2021. američka vlada pripisala je napad skupini za koju se vjeruje da je povezana s ruskom vladom.
+Napad je podsjetnik na potrebu da organizacije ostanu na oprezu i da zaštite svoje sustave od složenih prijetnji koje se stalno razvijaju. Organizacije bi trebale osigurati da imaju odgovarajuće sigurnosne mjere, kao što su redovito krpanje sustava, korištenje višefaktorske provjere autentičnosti i korištenje ažuriranog antivirusnog softvera.
 ===== Literatura =====

racfor_wiki/seminari/solarwinds_cyber_napad.1673546593.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)