SolarWindsサイバー攻撃の仕組み
SolarWindsに対するサイバー攻撃(Solorigate、または単にSolarWindsハッキングとも呼ばれます)では、SolarWinds Orionソフトウェアの脆弱性を悪用してサプライチェーン攻撃が行われました。デジタル署名付きソフトウェアにマルウェアが仕掛けられ、結果として多くの組織が侵害を受けました。被害の内容と範囲については解明が進んでいるところですが、少なくともSunburstとSupernovaという2種類のマルウェアが見つかっています。
Tech Talks | Splunk Enterprise SecurityによるSolarWindsサイバー攻撃の検出
Splunkを活用する方法
Splunkに取り込んでいるログタイプを見直し、DNS、ネットワーク、ホストのトラフィックログを調査して、Sunburstマルウェアのアクティビティの痕跡がないか確認します。
脆弱性スキャン、ハッシュ、プロキシのログを調査して、Supernovaウェブシェルの痕跡がないか確認します。
ディレクトリプロバイダーや認証プロバイダーによる通常と異なるアクティビティを検索し、後続攻撃の兆候がないか確認します。
侵害されたホストによるラテラルムーブメント(横展開)の兆候が他にないか探します。
ITインフラとSDLC(ソフトウェア開発ライフサイクル)全体に監視を拡大します。
Splunkのセキュリティ、IT、DevOpsソリューション

セキュリティチーム
環境内の兆候を検出
オンボーディングプロセスを合理化し、環境内の脅威の兆候を検索します。

ITチーム
失われたITインフラの可視性を回復
SolarWinds Orionソフトウェアがなければ可視性が失われますが、Splunkを使用すれば可視性を回復し、ITインフラの健全性と運用を監視できます。

DevOpsチーム
アプリケーション開発リソースを保護
コードリポジトリから、シークレット管理、Infrastructure-as-Code、CI/CD自動化などに至るまで、ソフトウェアデリバリーチェーン全体に対する可視性を取得すれば、本番環境のアプリケーションに対する不正な変更を検出したり、顧客を保護することができます。
Splunkはセキュリティ、IT、DevOpsの対応をお手伝いします。