通过分析供应商来防止供应链攻击

简介

随着SolarWinds Orion的妥协，供应链攻击再次成为人们关注的焦点MeDoc等产品．对公司来说，他们仍然是一个持续的威胁，因为对第三方供应商的固有信任通常是实现业务目标所需的，而且摩擦较小。正如许多拥护者所知，在与供应商进行集成时，速度和方便往往比安全性更重要。此外，我们常常不知道供应商的产品是如何运行的，或者他们的基础结构是什么样子的。

然而，这并不意味着捍卫者应该保持休眠和不好奇。在本文中，我们将讨论您的团队可以采取的主动防御措施，以发现针对您的组织的供应链攻击。简单地分析您所介绍的产品背后的基础结构可以提高您对它们的熟悉程度，帮助提高安全性，并加速您的团队在事件期间的响应。事实上，防御者用来分析对手和开发妥协指标的许多日常技术可以反过来，直接应用于发现我们的合作伙伴，改善我们的安全态势，并最终提高我们在与我们网络中的供应商集成时的信任。乐动首页

分析你的供应商

在一个完美的世界中，我们可以询问供应链中的每个供应商对他们的软件有什么期望，并收到一套防火墙规则集，我们可以直接插入到我们的网络中已经存在的设备中。我们实际生活的世界显然与捍卫者的乌托邦相去甚远。如果我们研究SolarWinds Orion的折中方案，可以发现几个对手拥有的C2域的使用可以追溯到2019年8月。到这些域的异常通信可能会被一些安全产品发现，但对于其中的许多安全产品来说，流量仍然不被注意到，或至少没有采取行动。

虽然有许多其他关于异常检测和应用程序分析的文章，但很少有人提到预先分析供应商的属性。这是至关重要的，因为它使防御者能够快速确定一个被软件访问的新域或IP地址是属于供应商的，由于更新而被访问，还是这是第三方窃取您的数据。在本例中，我们将使用太阳风，因为它们仍然是最相关的。

如果我们看看SolarWinds.com虹膜通过检查可以清楚地看到，有许多潜在的支点可以找到属于公司的其他网络基础设施。乐动体育官网下载SolarWinds全球有限责任公司的注册组织是一个有前途的支点，拥有394个域，以及SOA(权威开始)电子邮件hostmaster@solarwinds[。com扩展到437个域。浏览域名列表，你可以在webadmin@solarwinds[上进一步扩展。com，总共有653个域名。然而，在虹膜中滚动这些很明显，其中一些是过期的和不活跃的域名不再被公司使用。乐动体育官网下载我建议不要包括这是一个ioc的列表，因为对手经常会找到一个公司放弃的域名重新注册，以显示合法。乐动体育官网下载除去非活动的域，我们将总集合减少到316个域。

这就是我们作为分析师的力量必须发挥人类洞察力的地方。有了这组域，我们应该应用我们在发现妥协的指标时使用的同样的技术来分析对手。也许在这种情况下，我们可以说IoC代表的是合作的指标。在任何情况下，Iris中的统计面板为我们提供了许多快速取胜的见解，例如应该信任SolarWinds这样的供应商。

例如，在上面的截图中可以清楚地看到，他们的绝大多数域名指向AS20251，这属于太阳风，他们的域名服务器要么指向太阳风[。com域或到Akamai名称服务器进行内容传递。通过检查其他IP范围，很明显，它们是第三产品，很可能是SolarWinds在业务过程中收购的公司，人们不会期望从Orion客户那里获得任何流量。此外，尽管ASN和名称服务器之外存在其他潜在指标，但根据我们作为分析师所获得的数据，这两个指标似乎是我们最可靠的选择。通常，分析师在这里寻找的东西并不代表快速变化，因为他们不希望这成为我们必须不断监测的规则。asn当然也属于这一类，名称服务器也是如此，但名称服务器的变化取决于公司。乐动体育官网下载不管怎样，这里的更改会提醒您供应商正在进行更改，并让您了解他们的定位和基础设施选择。

由此，防御者可以制作一个快速战斗卡，以便在异常发生时由其他分析人员快速引用，或者如果您正在过滤出口流量，这也是一个编写适用于此应用程序的规则的机会。

在SolarWinds Orion应用程序发现异常的情况下，分析人员将能够看到恶意acsvmcloud背后的IP地址[。com域属于AS8075，它在应用程序以前的作用域配置文件之外。因为研究已经注意到SolarWinds没有使用微软的Azure，这将是一个立即的危险信号，表明需要联系客户代表。

结论

通过使用我们作为防御者已经拥有的工具来跟踪对手的基础设施，防御者可以快速地在我们自己的网络中分析供应商的产品，从而创建信息更灵通的分析师和规则。在一个完美的世界里，分析师应该从我们公司使用的软件中获得更多的透明度，但这种透明度并不总是如此。分析您的供应商可以帮助您赶在任何可能威胁您的组织的潜在供应链攻击之前。