Самое востребованное направление в программировании

Обновлено 15 апреля 2021 года: Правительство США приписывает эту деятельность Российской службе внешней разведки (СВР). Дополнительную информацию можно найти в заявлении Белого дома. Для получения дополнительной информации о деятельности. Связанной с SolarWinds. Перейдите по ссылке https://us-cert.cisa.gov/remediating-apt-compromised-networks и https://www.cisa.gov/supply-chain-compromise. См. Обновленное дополнительное направление для последнего.

13 декабря 2020 года

Смягчить SolarWinds Орион Код Компромисс

Эта страница содержит веб-версию Экстренной директивы Агентства по кибербезопасности и инфраструктурной безопасности 21-01

Смягчение компрометации кода SolarWinds Orion”.

Раздел 3553(h) раздела 44, США. Кодекс уполномочивает Министра внутренней безопасности в ответ на известную или обоснованно подозреваемую угрозу информационной безопасности. Уязвимость или инцидент. Представляющий существенную угрозу информационной безопасности агентства. “издать чрезвычайную директиву руководителю агентства о принятии любых законных мер в отношении функционирования информационной системы. Включая такие системы. Используемые или эксплуатируемые другим субъектом от имени агентства. Который собирает. Обрабатывает. Хранит, передает. Распространяет или иным образом поддерживает информацию агентства

с целью защиты информационной системы от угрозы информационной безопасности или смягчения ее последствий.” 44 U. S. C. § 3553(h)(1)–(2)

Раздел 2205(3) Закона о национальной безопасности 2002 года с внесенными в него поправками делегирует эти полномочия директору Агентства по кибербезопасности и инфраструктурной безопасности. 6 U. S. C. § 655(3).

Федеральные агентства обязаны выполнять эти директивы. 44 U. S. C. § 3554 (a)(1)(B)(v)

Эти директивы не применяются ни к законодательно определенным “системам национальной безопасности”. Ни к системам. Управляемым Министерством обороны или разведывательным сообществом.

44 U. S. C. § 3553(d), (e)(2), (e)(3), (h)(1)(B).


Фон

Продукты SolarWinds Orion (уязвимые версии-2019.4-2020.2.1 HF1) в настоящее время эксплуатируются злоумышленниками. Эта тактика позволяет злоумышленнику получить доступ к системам управления сетевым трафиком. Отключение затронутых устройств, как описано ниже в Требуемом действии 2, является единственной известной мерой смягчения последствий. Доступной в настоящее время.

CISA установила. Что такая эксплуатация продуктов SolarWinds представляет неприемлемый риск для федеральных гражданских органов исполнительной власти и требует принятия чрезвычайных мер.

Это определение основано на:

  • Текущая эксплуатация затронутых продуктов и их широкое использование для мониторинга трафика в крупных федеральных сетевых системах;

  • Высокий потенциал компрометации информационных систем агентства;

  • Серьезные последствия успешного компромисса.

CISA понимает. Что поставщик работает над предоставлением обновленных программных патчей. Тем не менее. Агентства должны подождать. Пока CISA предоставит дальнейшие рекомендации. Прежде чем использовать любые предстоящие патчи для переустановки программного обеспечения SolarWinds Orion на своем предприятии.

Пожалуйста, обратитесь к системе MITRE ATT&CK framework для получения информации о возможных тактиках. Используемых субъектами угроз для поддержания постоянства в окружающей среде.

Необходимые Действия

Эта чрезвычайная директива требует следующих действий:

  1. Учреждения, обладающие опытом для немедленного принятия следующих мер. Должны сделать это до того. Как приступить к Действию 2. Учреждения. Не обладающие такими возможностями. Должны приступить к Действию 2.

    а) Судебно-медицинский образ системной памяти и/или хост-операционных систем. В которых размещаются все экземпляры SolarWinds Orion версий 2019.4-2020.2.1 HF1]. Анализируйте наличие новых учетных записей пользователей или служб. Привилегированных или иных.

    б) Проанализируйте сохраненный сетевой трафик на предмет признаков компрометации, включая новые внешние DNS-домены. К которым было подключено небольшое число хостов агентства (например. Системы SolarWinds).

  1. Пострадавшие агентства должны немедленно отключить или отключить питание продуктов SolarWinds Orion версий 2019.4 — 2020.2.1 HF1 от своей сети

    . До тех пор. Пока CISA не поручит затронутым организациям перестроить операционную систему Windows и переустановить программный пакет SolarWinds, агентствам запрещается (повторно)присоединять хост-ОС Windows к корпоративному домену. Затронутые организации должны ожидать дальнейших сообщений от CISA и ждать указаний. Прежде чем восстанавливать данные из надежных источников с использованием последней доступной версии продукта. Дополнительно:

    а) Блокировать весь трафик на хосты и с хостов. Внешних по отношению к предприятию. Где установлена любая версия программного обеспечения SolarWinds Orion.

    b. Идентифицировать и удалить все учетные записи. Контролируемые субъектами угроз. И выявленные механизмы сохранения.

  1. К 12 часам дня по восточному стандартному времени в понедельник 14 декабря 2020 года агентства должны сообщить об инциденте в CISA (at https://us-cert.cisa.gov/report) существование любого из следующих:

    а. [Солнечные ветры.Orion.Core.BusinessLayer.dll] с хэшем файла [b91ce2fa41029f6955bff20079468448]

    б. [C:\WINDOWS\SysWOW64\netsetupsvc.dll]

    c. Другие показатели. Связанные с этим вопросом. Которые должны быть разделены CISA

  1. После (и только после) удаления всех контролируемых акторами угроз учетных записей и идентифицированных механизмов персистентности:

    а) Рассматривайте все хосты. Контролируемые программным обеспечением мониторинга SolarWinds Orion. Как скомпрометированные субъектами угроз и предполагайте. Что были развернуты дополнительные механизмы персистентности.

    б. Перестройте хосты. Контролируемые программным обеспечением SolarWinds Orion monitoring software. С использованием надежных источников.

    c. Сбросьте все учетные данные. Используемые или хранящиеся в программном обеспечении SolarWinds.

    Такие учетные данные следует считать скомпрометированными.

    d. Принять меры по исправлению kerberoasting, включая. При необходимости или необходимости. Взаимодействие с третьей стороной. Имеющей опыт искоренения APT из корпоративных сетей. Для сред Windows обратитесь к следующим:

  2. К 12 часам дня по восточному стандартному времени в понедельник, 14 декабря 2020 года, отправьте отчет в CISA, используя предоставленный шаблон. Руководители информационных служб на уровне департаментов (ИТ-директора) или их эквиваленты должны представить в CISA отчеты о завершении работы. Подтверждающие. Что затронутые устройства были либо отключены. Либо выключены.

Эти требования применимы к любой агентской сети. Использующей продукт SolarWinds Orion. Это включает в себя любую информационную систему. Используемую или управляемую другим субъектом от имени агентства. Которая собирает. Обрабатывает. Хранит, передает. Распространяет или иным образом поддерживает информацию агентства.

Действия CISA

  • CISA будет продолжать работать с нашими партнерами для мониторинга активной эксплуатации. Связанной с этой уязвимостью. CISA опубликует дополнительные индикаторы компрометации по мере их появления.

  • CISA будет предоставлять дополнительные рекомендации агентствам через веб-сайт CISA. Через координационный звонок по вопросам выдачи чрезвычайных директив и через индивидуальные задания по запросу (через CyberDirectives@cisa.dhs.gov).

Продолжительность

Эта чрезвычайная директива остается в силе до тех пор. Пока все агентства не применят предстоящее исправление или директива не будет прекращена в результате других соответствующих действий.

дополнительная информация

Вопросы и ответы

Ответы на распространенные вопросы приведены ниже.

Что означает директива под “экспертизой”?

Под “экспертизой” мы подразумеваем. Что у вас есть сотрудники или вспомогательный персонал. Которые должным образом обучены принимать судебно-медицинское изображение системной памяти и имеют инструменты. Доступные для немедленного выполнения этой задачи.

Что означает дополнительное руководство под “отключенным”?

Под “отключенным” мы подразумеваем отключенный от сети и включенный, если агентство имеет возможность — или ищет способного поставщика услуг — собирать криминалистические изображения (системную память. Хранилище хоста. Сеть) с хоста или виртуальной машины. Или отключенный от сети и выключенный, если такой возможности нет.


Дополнительное руководство v3

6 января 2021 года

Это руководство заменяет собой Чрезвычайную директиву (ED) 21-01 Дополнительное руководство v1, выпущенную 18 декабря 2020 года, и ED 21-01 Дополнительное руководство v2, выпущенное 30 декабря 2020 года.

Эта версия также заменяет Требуемое действие 4 ИЗД 21-01. Все остальные положения ЭД 21-01 остаются в силе.

Для справки см. Более старую Директиву по чрезвычайным ситуациям 21-01 дополнительное руководство.

Резюме необходимых действий

Это дополнительное руководство v3 требует. Чтобы (1) агентства. Которые запускали затронутые версии. Проводили судебно-медицинский анализ. (2) агентства. Которые принимают на себя риск запуска SolarWinds Orion, соблюдали определенные требования к ужесточению и (3) отчитывались агентством от главных информационных директоров департаментов (ИТ-директоров) ко вторнику, 19 января, и понедельнику, 25 января 2021 года.

Таблица Обобщающих условий эксплуатации SolarWinds Orion

Версия платформы SolarWinds OrionДальнейшее использование SolarWinds Orion разрешеноТребуется закалкаПерестроить или обновитьПри перестройке или продолжении использования SolarWinds конфигурации могут быть восстановлены из резервных копий

Затронутые версии: 2019.4 HF5, 2020.2 RC1, 2020.2 RC2, 2020.2, 2020.2 HF1Да, если сеть попадает в категорию 1 или 2. Если сеть относится к категории 3, проконсультируйтесь с CISA перед продолжением использованияДа (кроме проверки подлинности на основе SAML в MS AD FS)Полная перестройка инфраструктуры SolarWinds Orion и сброс всех учетных записей, которые в настоящее время—или были—использованы системойДа, но только после SolarWinds восстановить руководство

Без изменений версии: Все другие версииДАДа–может потребоваться перестроение или переустановка компонентов SolarWinds Обновление до последней версии SolarWinds Orion (по крайней мере. Версии 2020.2.1HF2) и хост-ОС (Windows Server 2016 или более поздней версии)ДА

Фон

Этот документ содержит дополнительное руководство v3 по реализации Директивы CISA Emergency Directive (ED) 21-01, включающее обновленную информацию о затронутых версиях; руководство по обеспечению того. Чтобы все федеральные агентства. Работающие на незатронутых платформах. Использовали по крайней мере платформу SolarWinds Orion версии 2020.2.1HF2; руководство для агентств. Использующих сторонних поставщиков услуг; и дополнительную ясность в отношении необходимых действий.

CISA предоставляет это руководство в качестве минимально необходимого руководства для федеральных органов исполнительной власти. Подпадающих под действие полномочий CISA по чрезвычайным директивам.

Это дополнительное руководство v3, которое заменяет как v1, так и v2 дополнительного руководства и Необходимое действие 4 из ED 21-01, предоставляется в соответствии с ED 21-01. Все другие положения, указанные в ED 21-01, остаются в силе.

ED 21-01 предписал агентствам немедленно отключить или отключить некоторые версии платформы SolarWinds Orion от своей сети. Основываясь на развивающейся информации, 18 декабря 2020 года CISA предоставила дополнительное руководство. Перечисляющее подмножество версий. Которые были идентифицированы как содержащие вредоносный бэкдор. Известный как TEARDROP или SUNBURST (“уязвимые версии”). Все остальные версии платформ SolarWinds Orion, независимо от того, включены ли они в исходный диапазон, указанный в ED 21-01, были идентифицированы как не содержащие этого вредоносного бэкдора (“незатронутые версии”).

Затронутые Версии

Следующие версии программного обеспечения SolarWinds Orion считаются уязвимыми версиями:

  • Orion Platform 2019.4 HF5, DLL версия 2019.4.5200.9083
  • Orion Platform 2020.2 RC1, DLL версия 2020.2.100.12219
  • Orion Platform 2020.2 RC2, DLL версия 2020.2.5200.12394
  • Платформа Orion 2020.2, DLL версия 2020.2.5300.12432
  • Orion Platform 2020.2 HF1, DLL версия 2020.2.5300.12432

Сетевая Категоризация

Что касается деятельности. Связанной с ED 21-01, федеральные сети относятся к одной из трех категорий. Определенных в Предупреждении о деятельности AA20-352A и кратко переформулированных здесь для удобства.

  • Категория 1 – Сети. Которые не используют и никогда не использовали затронутые версии SolarWinds Orion.
  • Категория 2 – Сети. Которые используют или использовали пораженные версии SolarWinds Orion. Но доказали, что. По крайней мере. Произошла только начальная активность маячка. И субъект угрозы не проводил никакой последующей деятельности.
  • Категория 3 – Сети. Которые использовали затронутые версии SolarWinds Orion и имеют доказательства последующей активности субъектов угроз.

Для целей ED 21-01 и связанного с ним дополнительного руководства сеть определяется как любая компьютерная сеть с хостами. Которые совместно используют либо логическое доверие. Либо любые учетные данные учетной записи с SolarWinds Orion.

Сети с уязвимыми версиями (Категории 2 и 3)

Агентства. Которые использовали затронутые версии в любое время до выпуска ED 21-01, должны соблюдать следующие требования:

  1. Для сетей категории 3 агентства должны держать хосты, на которых запущены затронутые версии, отключенными, как это требуется ED 21-01, и не перестраивать или переоснащать затронутые платформы и хост-операционные системы (ОС) до консультации с CISA. Это направление. Чтобы держать такие хосты отключенными. Также запрещает (повторно)присоединять хост-ОС к корпоративному домену. Одобрение CISA внедрения SolarWinds Orion может быть обусловлено соблюдением агентствами мер предосторожности. Специально адаптированных к уникальной архитектуре/профилю угроз сети агентства. CISA предоставит дополнительные инструкции по смягчению последствий агентствам этой категории.

  2. Для сетей категорий 2 и 3 следует принимать соответствующие меры (например. Маркировать и изолировать. А также сохранять в соответствии с применимыми требованиями к хранению записей/с другими записями кибер-расследований) с резервными копиями затронутых версий для предотвращения случайного повторного внедрения вредоносного кода в производственную среду.

  3. Для сетей категорий 2 и 3 проведите судебно — медицинский анализ. Как описано в Приложении А-Необходимые судебно-следственные действия.

  4. Для сетей категории 2 предоставьте CISA обновленную информацию об инциденте. Прежде чем возвращать затронутые версии SolarWinds Orion в сервис. Восстановление SolarWinds Orion должно происходить только после того. Как будет проведено тщательное судебно-медицинское расследование и агентство подтвердит отсутствие наблюдаемой активности противника или вторичных действий по целям (AoOs) подтверждение только деятельности категории 2. В обновлении к CISA перечисляются механизмы, используемые для проверки отсутствия деятельности за пределами категории 2, и рекомендуется. Чтобы билет был помечен для закрытия. При возобновлении использования SolarWinds Orion в окружающей среде после выполнения этих требований следуйте “Условиям эксплуатации SolarWinds Orion” ниже (включая Приложение B).

Условия эксплуатации SolarWinds Orion

Все учреждения , принимающие риск управлением компании SolarWinds Orion в их объединения (независимо от того. Были ли они необходимы. Чтобы отсоединить их экземпляра(ов) в соответствии с ЭД 21-01 и вне зависимости от “категории”) должен запускаться. По крайней мере. Версия 2020.2.1 ВЧ2 и удовлетворения дополнительных условий. Изложенных в приложении B — особые условия для действующих Ардуино Орион. Агентство национальной безопасности (АНБ) изучило эту версию и убедилось. Что она устраняет ранее выявленный вредоносный код. Эта версия также включает обновления для исправления уязвимостей. Не связанных с этим вредоносным кодом. Включая уязвимости. Которые SolarWinds публично раскрыла.

Эксплуатация даже версии 2020.2.1 HF2 платформы SolarWinds Orion все еще может нести некоторый риск. Противник пользовался давним. Скрытым доступом к процессу сборки. Который SolarWinds использует для Orion. В том числе к коду. Лежащему в основе платформы Orion. В то время как непосредственным известным следствием этого доступа была вставка вредоносного кода в затронутые версии SolarWinds Orion. Могут быть и другие неизвестные последствия. Можно предположить. Что противник знаком по крайней мере с некоторыми аспектами практики разработки и кодирования SolarWinds. А также с самим кодом SolarWinds Orion (CISA не в состоянии оценить уровень доступа противника к другому коду SolarWinds [non-Orion]). Следовательно. Вполне вероятно. Что противник находится в сильной позиции для выявления любых потенциальных (и пока неизвестных) уязвимостей в коде SolarWinds Orion. Которые не связаны со вставленным вредоносным кодом и поэтому могут пережить его удаление. Этот противник продемонстрировал способность и готовность использовать SolarWinds Orion для компрометации правительственных учреждений США. Объектов критической инфраструктуры и частных организаций. Агентства, рассматривающие использование платформы SolarWinds Orion. Должны сбалансировать эти риски с преимуществами использования этих продуктов для поддержки видимости агентской сети.

Как отмечалось в предупреждении CISA об активности AA20-352A, у CISA есть доказательства того. Что субъект угрозы. Вставивший бэкдор SolarWinds. Также использовал исходные векторы доступа. Не связанные с платформой SolarWinds Orion. Поэтому агентства должны также охотиться за тактикой. Методами и процедурами (TTPS). А также индикаторами компромисса (IOC). Связанными с этой деятельностью. Опубликованными в Activity Alert AA20-352A. Агентства также должны консультироваться с любыми дополнительными руководящими указаниями. Связанными с этой деятельностью. Опубликованными CISA или предоставленными сообществом информационной безопасности. После выполнения требований ED 21-01 и этого дополнительного руководства агентства должны сосредоточиться на выявлении потенциальных злоупотреблений доступом к учетным записям. А также олицетворения личности. Как описано в Activity Alert AA20-352.

Статус Агентства по отчетности

По каждому учреждению главные информационные сотрудники на уровне департаментов (CIO) или их эквиваленты должны представить два дополнительных отчета о состоянии в CISA с использованием предоставленного шаблона к вторнику, 19 января, и понедельнику, 25 января 2021 года. Учитывая заинтересованность субъекта угрозы в компрометации личности. CISA требует от агентств предоставить дополнительные сведения. Чтобы составить карту возможного пространства угроз. На которое было оказано влияние в рамках компромисса.

Федеральные информационные системы,размещенные в сторонних средах (например. Облачных)

CISA тесно сотрудничает с FedRAMP в координации реагирования на ED 21-01 с уполномоченными поставщиками облачных услуг FedRAMP (CSPS). Уполномоченные ЦСП FedRAMP были проинформированы о необходимости координации действий со своими клиентами-агентствами. CISA также осведомлена о третьих лицах, предоставляющих услуги для федеральных информационных систем в соответствии с ED 21-01, которые могут не подпадать под действие разрешения FedRAMP.

Каждое агентство несет ответственность за инвентаризацию всех своих информационных систем, размещенных в сторонних средах (разрешенных FedRAMP или иным образом), и непосредственное обращение к поставщикам услуг за статусом, относящимся к ED 21-01, а также за обеспечение его соответствия. Если экземпляры затронутых версий были обнаружены в среде третьей стороны. Обязательства по представлению отчетности будут варьироваться в зависимости от того. Является ли поставщик другим федеральным агентством или коммерческим поставщиком.

  • Если пострадавший сторонний поставщик услуг является другим федеральным субъектом: агентство-поставщик само несет ответственность за сообщение об инцидентах в CISA. И агентству-клиенту не нужно сообщать что-либо еще в CISA.

  • Если пострадавший сторонний поставщик услуг является коммерческим поставщиком (уполномоченным FedRAMP или иным образом): Если поставщик подтверждает наличие затронутых версий (перечисленных выше). Это инцидент кибербезопасности по 44 U. S. C. § 3552(b)(2); агентство клиента несет ответственность за отчетность в CISA через https://us-cert.cisa.gov/report.

Отчеты об инцидентах должны идентифицировать:

а) Категория. В соответствии с разделом Смягчения последствий Предупреждения о деятельности CISA AA20-352A;

б) Название затронутого стороннего сервиса (авторизованный FedRAMP или иной);

c) Название(названия) затрагиваемых информационных систем FISMA; и

d) Дополнительные сведения о том. Какие данные были предоставлены стороннему поставщику услуг.

Все другие положения, указанные в РЕД 21-01, остаются в силе.

Действия CISA

  • CISA продолжит работу с нашими партнерами по реагированию на эту деятельность. CISA выпустит дополнительные МОК по мере их появления.
  • CISA будет предоставлять дополнительные рекомендации агентствам через веб-сайт CISA. Через координационный призыв к выдаче чрезвычайных директив и через индивидуальные обязательства по запросу (через CyberDirectives@cisa.dhs.gov).

дополнительная информация


Дополнительное направление v4

22 апреля 2021
года (Публично выпущен 14 мая 2021 года)

Этот документ содержит дополнительное руководство по реализации Чрезвычайной директивы CISA (ED) 21-01, выпущенной 13 декабря 2020 года, и Дополнительное руководство v3, выпущенное 3 января 2021 года. Все остальные положения ED 21-01 и Дополнительных Руководящих указаний v1-v3, в той мере. В какой они ранее не были заменены. Остаются в силе. Это направление предоставляет агентствам конкретные инструкции по сортировке инцидентов и устранению последствий.

В частности. Этот документ содержит дополнительные необходимые действия для агентств с сетями. Которые использовали затронутые версии SolarWinds Orion и имеют доказательства последующей активности субъектов угроз. CISA обеспечивает это направление как минимум дополнительными необходимыми действиями для федеральных органов исполнительной власти. Подпадающих под действие полномочий CISA по чрезвычайным директивам.

Фон

ED 21-01 и Дополнительное руководство v1-v3 предписывали агентствам немедленно отключить или отключить некоторые версии платформы SolarWinds Orion от своей сети. Провести судебно-медицинское расследование и для всех платформ SolarWinds Orion. Которые остались в эксплуатации. Обновить версию и внедрить требования к упрочнению.

Для целей ED 21-01 и связанного с ним дополнительного направления сеть определяется как любая компьютерная сеть с хостами. Которые разделяют либо логическое доверие. Либо любые учетные данные учетной записи с SolarWinds Orion. Например. Системы в пределах общей границы идентичности находятся в одной и той же “сети

Необходимые Действия

Агентства. Которые имеют или имели сети. Которые использовали затронутые версии SolarWinds Orion и имеют доказательства последующей активности субъектов угроз. Такие как двоичное маячение на avsvmcloud[.]com и вторичное действие C2 на отдельный домен или IP-адрес (обычно. Но не исключительно возвращаемые в ответах avsvmcloud[.]com CNAME). Включая сети. Размещенные третьими лицами от имени федеральных агентств. Должны соответствовать приведенным ниже применимым требованиям для каждой сети. Отвечающей этим условиям.

Агентства должны завершить эти действия к полудню по восточному дневному времени в пятницу, 16 июля 2021 года. Или в течение 90 дней с момента любого будущего обнаружения последующей деятельности субъекта угрозы.

  1. Выполнить и выполнить CISA-подробные инструкции перед выселением (которые будут предоставлены CISA непосредственно соответствующим учреждениям). А также документировать и обосновывать отклонения от руководства. Если таковые имеются.

    Агентства. Которые находят доказательства дополнительной состязательной деятельности на основе описанных выше инструкций до выселения. Должны выполнить и завершить подробные инструкции CISA по выселению и после выселения (которые должны быть предоставлены CISA непосредственно соответствующим агентствам). А также документировать и обосновывать отклонения от руководства по выселению. Если таковые имеются.

    Если вы не можете выполнить все вышеперечисленные применимые требования к соответствующему сроку. Создайте и предоставьте CISA подробный план действий с запланированной датой завершения остальных требований.

  2. Отправьте отчет в CISA. Используя предоставленный шаблон отчетности. Руководители информационных служб на уровне департаментов (ИТ-директора) или их эквиваленты должны представить этот отчет. Подтверждающий статус агентства, в CISA.

    Учреждения должны сообщать о своем статусе в CISA по запросу до тех пор. Пока все действия не будут завершены.

Действия CISA:

  • CISA будет работать непосредственно с соответствующими учреждениями. Чтобы поддержать их усилия по выселению и подтвердить завершение всех необходимых действий.

дополнительная информация

  • По вопросам о необходимых действиях и для запроса помощи CISA обращайтесь по адресу central@cisa.dhs.gov,
  • Общая информация. Помощь и отчетность – CyberDirectives@cisa.dhs.gov,
  • Отчетные признаки потенциального компромисса – https://us-cert.cisa.gov/report.

Приложение А – Необходимые Криминалистические Следственные Действия

Агентства. Которые бежали уязвимых версий Ардуино Орион платформы (категория 2 и категория 3) в любой момент до выдачи Ред 21-01 необходимо проведение системной памяти. Узел хранения данных. Сетевые и облачные криминалистического анализа и охота на индикаторы компрометации (МНК) или другие свидетельства угрозы актерской деятельности. Таких как вторичные действия по цели (АОО) , как указано в AA20-352A, таких как олицетворения пользователя. Привилегией эскалации. И эксфильтрации данных.

  1. Агентства. Работающие с уязвимыми версиями. Которые не имеют возможности проводить судебно-медицинский анализ (системная память, хост-хранилище, сеть и облако), должны, как минимум, искать IOC или другие доказательства активности субъекта угрозы, опубликованные в ED 21-01, Activity Alert AA20-352A и будущих соответствующих руководствах. Агентства. Которые с помощью охоты и/или судебно-медицинского анализа находят эти МОК или доказательства деятельности субъекта угрозы. Такие как вторичные АОО. Должны принять нарушение и сообщить о нем как об инциденте в CISA через https://us-cert.cisa.gov/report. Если отчетное агентство уже представило информацию об инциденте в CISA. Пожалуйста. Отправьте обновления в CISA по мере обнаружения новых доказательств.

  2. Агентства. Работающие с затронутыми версиями. Которые не имеют возможности проводить судебно-медицинский анализ и не имеют возможности охотиться за МОК. Должны принять на себя ответственность за нарушение и сообщить об инциденте в CISA через https://us-cert.cisa.gov/report, и контакт Central@cisa.dhs.gov координировать поиск квалифицированного поставщика услуг. Способного провести судебную экспертизу. Агентства, чей анализ поставщика услуг судебной экспертизы обнаруживает IOCs или доказательства активности субъекта угрозы. Такие как вторичный AOO. Должны обновить отчет об инциденте в CISA через https://us-cert.cisa.gov/report.


Приложение B — Конкретные условия эксплуатации солнечных ветров Orion

Агентства решившие запустить платформу SolarWinds Orion могут продолжать или возобновлять ее работу только при соблюдении каждого из следующих условий:

  1. Агентство оценивает риск эксплуатации платформы SolarWinds Orion в производственных условиях агентства и принимает на себя остаточный риск.

  2. Все входящие и исходящие сообщения за пределами анклава управления сетью устройств агентства запрещаются. С дополнительной гарантией того. Что связь с общедоступным Интернетом на хостах и с хостов. Работающих под управлением продуктов SolarWinds Orion. Была заблокирована (как того требует ED 21-01).

  3. Облачные экземпляры Orion могут отслеживать только облачные ресурсы в этой облачной инфраструктуре.

  4. На локальных экземплярах Orion не должны быть разрешены никакие облачные/размещенные учетные записи идентификации.

  5. В тех случаях. Когда требуется перестроение. Восстановление конфигурации SolarWinds может быть выполнено из устаревшей базы данных. Следуя руководству по восстановлению SolarWinds. Восстановление для затронутых версий будет отличаться от восстановления для незатронутых версий—агентства должны убедиться. Что они следуют правильному руководству по восстановлению.

  6. Сети, использующие уязвимые версии SolarWinds Orion. Если им разрешено перестраиваться. Должны предпринять следующие дополнительные шаги перед перестройкой своей платформы SolarWinds Orion:

    а) Измените все учетные данные учетной записи или другие общие секреты (например. Строки SNMP). Которые используются или использовались затронутым перестраиваемым устройством SolarWinds Orion.

    i. Включите многофакторную аутентификацию (MFA) для этих учетных данных. Когда это возможно;

    ii. Предоставлять учетным записям служб минимальный уровень привилегий. Необходимый для выполнения роли. Когда это возможно; и

    iii. Для учетных записей. Где MFA невозможна. Требуется использовать случайно сгенерированные длинные и сложные пароли (более 25 символов) и реализовать максимальную 90-дневную политику ротации для этих паролей.

    b) Удалите все входящие отношения доверия к перестраиваемому устройству SolarWinds Orion.

  7. Агентство обновляет платформу SolarWinds Orion по крайней мере до версии 2020.2.1 HF2, а также устанавливает и обновляет хост до последней поддерживаемой сборки Windows Server 2019 (предпочтительно) или Windows Server 2016, закаленной в соответствии со стандартами агентства.

  8. Сервер SolarWinds Orion. Веб-сервер и экземпляры сервера базы данных должны быть установлены на отдельных и выделенных хостах.

  9. Агентства должны следовать рекомендациям SolarWinds secure configuration (hardening). Предоставленным поставщиком. Которые можно найти по адресу: https://documentation…solarwinds.com/en/Success_Center/orionplatform/content/core-secure-configuration.htm, ЗА исключением того. Что агентства не должны настраивать программное обеспечение SolarWinds для реализации проверки подлинности на основе SAML. Которая опирается на федеративные службы Microsoft Active Directory. Эта конфигурация в настоящее время используется субъектом угрозы. Связанным с этой деятельностью.

  10. Агентство настраивает ведение журнала. Чтобы гарантировать. Что все журналы из хост-ОС. Платформы SolarWinds и связанных сетевых журналов захватываются и хранятся в течение по крайней мере 180 дней в отдельной централизованной функции агрегации журналов.

  11. Агентство гарантирует. Что журналы SolarWinds активно отслеживаются агентством SOC.

  12. Агентство реализует последующие обновления платформы SolarWinds Orion и рекомендации по безопасности в течение 48 часов после выпуска.