科技安全初创公司努力应对SolarWinds的影响

啊，假期前的一周。艰难的一年后，这是一个喘息的好时机，早退，去网上购物，与家人共度时光。

不在企业安全技术领域中-至少不是在本周，也许不是一段时间。

总部位于华盛顿州Bellevue的安全技术公司Polyverse的创始人兼首席执行官Alex Gounares说：“本周确实爆发了。”“很难夸大SolarWinds违规的影响。关于直接影响的文章很多，但更令人担忧的是即将发生的破坏。攻击者几个月来一直不受限制地访问SolarWinds客户-他们还做什么?这些组织现在又种植了多少后门?”

这些只是SolarWinds漏洞的一些未解决的问题和深远的影响，在这些漏洞中，黑客被认为是通过将恶意软件非法插入软件更新中的，从而侵入了公司和美国政府机构的计算机系统，从而为广泛使用的IT服务。基础架构管理产品。

据美国网络安全与基础设施安全局称，该攻击于12月8日发现，自3月以来一直在雷达之下进行。

西雅图初创企业CI Security的联合创始人兼首席信息安全官Michael Hamilton说，这种攻击的规模和复杂程度“令人惊讶”。“我了解到，民族国家行为者所使用的策略现在已在政府和企业界广泛部署，而且手套确实脱落了。”

位于得克萨斯州奥斯丁的SolarWinds表示，大约有18,000个客户已经安装了受感染的软件。

认证技术公司Auth0的首席执行官兼联合创始人Eugenio Pace说：“ SolarWinds所发生的事情表明，复杂的网络攻击已经变得非常难以置信，一旦渗透到一个系统中，其后果将产生多么深远的影响。“不幸的是，我们可能暂时不会了解全部损失。这种类型的攻击只是证明，总是存在一定程度的复杂性和广度，甚至会影响到准备最充分的公司。”

Pace指出，Auth0本身不是SolarWinds客户，但它仍在采取预防措施，并代表其客户积极监视威胁。

安全初创公司一直在努力工作，以帮助其业务客户检测其系统中是否存在恶意代码。

“这种特殊的恶意软件很难检测到。它长期处于休眠状态。”位于西雅图的网络安全公司ExtraHop的联合创始人兼首席技术官Jesse Rothstein说。“它不会产生很多活动。……这就是我担心我们才刚刚开始了解这种攻击的含义的原因之一。”

另一个挑战是后门攻击的秘密性质。

Rothstein说：“我可以毫无疑问地告诉您，这个后门已经安装了，并且在许多组织中都是敞开的。”“很难说的是，有人进过那个后门吗?还有没有人带着贵重物品离开后门?……而且我们不知道他们是否打开了其他大门，还是通过其他机制建立了持久性。”

云端复杂化

公司内部云计算和软件即服务应用程序的加速使攻击检测过程更加复杂。

Rothstein说：“随着一切都在打电话，并利用云计算，要确定这是否是预期的行为，还是某种恶意或邪恶行为，就变得更加困难。”“将数据上传到您的SaaS托管的商业智能平台与将敏感数据泄露给攻击者之间有一条很好的界限。”

挑战更加严峻，恶意代码被插入到经过数字签名的SolarWinds软件更新中，Rothstein在周三表示，这表明用于构建更新的服务器已受到威胁。随后通过ReversingLabs的分析证实了这一点。

“这非常令人担忧，”罗斯斯坦说。“作为我们自己的软件供应商和供应商，我将告诉您，我最偏执的一件事是构建系统的完整性和供应链的完整性。”

在上周末爆发了SolarWinds攻击的消息之后，ExtraHop通过其威胁情报源发布了更新，以帮助客户检测其网络上可能与攻击有关的活动。此外，其研究团队分析了据信已在攻击中使用的域的初始列表，并使用其专有工具和开放源代码情报，确定了更大的列表，约有550个唯一IP地址。

微软本周对其中一个关键领域采取了行动。但是，Polyverse首席执行官古纳雷斯(本人是雷德蒙德公司的资深人士)本人也以另一个类比的观点将其视为现实。他说：“微软的快速反应应该受到赞扬，但这就像是家中的一根冰冻的管道破裂。”“是的，打上管道是至关重要的(感谢微软!)，但是墙壁和地板以及其他看不见的地方遭受的所有水污染怎么办?”

对安全技术的“巨大”需求

尽管技术安全初创公司小心谨慎，不要被视为利用事件，但在许多情况下，情况表明他们需要提供所提供的技术和服务类型。

例如，ExtraHop的Rothstein指出，由于恶意代码处于休眠状态，网络检测是ExtraHop的专长，是侦听黑客入侵迹象的最佳方法之一。在这一领域的进步是面对新威胁(例如SolarWinds漏洞)最终使他感到乐观的事情之一。数据科学和机器学习在分析大型数据集和网络流量中是否存在可疑行为方面的应用“是一项巨大的进步，并且确实获得了非常非常大的回报。”

古纳雷斯指出，企业必须完全控制其软件堆栈(这是Polyverse旗舰产品的重点)，以抵御通过软件供应链传入的攻击(如SolarWinds骇客一样)的重要性。

Wedbush分析师Dan Ives在周四的研究报告中说，这些攻击凸显了网络安全的“庞大”总体可寻址市场。“我们相信，对于那些拥有解决方案集来保护关键云部署并通过内部无缝处理本地和公共/混合工作负载的解决方案的供应商，未来五年云安全将有2000亿美元的增长机会”统一而深入的解决方案集，”艾夫斯写道。

西雅图地区的企业技术公司的聚集，以及云巨头Amazon Web Services和Microsoft Azure的出现，也使该地区的技术社区成为网络安全初创公司的温床。

超越SolarWinds

一个关键的结论是，攻击标志着一个新时代，而这仅仅是开始。

CI Security的汉密尔顿说：“对IT安全的更大影响是，这一事件正在从间谍活动转向犯罪活动。”“在某些国家，国家与犯罪行为者之间没有清晰的界线，使用SolarWinds的网络中获得的持久性可能会转变为有组织犯罪。翻译：受影响的公司可能很快会使用勒索软件勒索。”

古纳雷斯说，不仅当前的袭击还没有结束，而且肯定不是最后一次袭击。

“我们正在寻找下一次袭击。古拉雷斯说：“ SolarWinds”漏洞背后的攻击者绝对是世界一流的尖端技术，但是当您深入研究技术细节时，真正的技术机制就变得如此容易了。”

他说：“我认为在未来的几个月和几年中，将会有很多模仿式的攻击。”“其他有能力的民族组织将受到这次攻击的鼓舞，并决定自己做，其他不良行为者将研究技术细节，并意识到他们也可以做到。”