SolarWindsサイバー攻撃の仕組み
SolarWindsに対するサイバー攻撃(Solorigate、または単にSolarWindsハッキングとも呼ばれます)では、SolarWinds Orionソフトウェアの脆弱性を悪用してサプライチェーン攻撃が行われました。デジタル署名付きソフトウェアにマルウェアが仕掛けられ、結果として多くの組織が侵害を受けました。被害の内容と範囲については解明が進んでいるところですが、少なくともSunburstとSupernovaという2種類のマルウェアが見つかっています。
Splunkを活用する方法
Splunkに取り込んでいるログタイプを見直し、DNS、ネットワーク、ホストのトラフィックログを調査して、Sunburstマルウェアのアクティビティの痕跡がないか確認します。
脆弱性スキャン、ハッシュ、プロキシのログを調査して、Supernovaウェブシェルの痕跡がないか確認します。
ディレクトリプロバイダーや認証プロバイダーによる通常と異なるアクティビティを検索し、後続攻撃の兆候がないか確認します。
侵害されたホストによるラテラルムーブメント(横展開)の兆候が他にないか探します。
ITインフラとSDLC(ソフトウェア開発ライフサイクル)全体に監視を拡大します。
特集ビデオ
セキュリティのエキスパートがSolarWinds攻撃について語る
SplunkのセキュリティエキスパートがSolarWinds攻撃について深く議論し、防御と対応を強化するためのベストプラクティスと戦略を探ります。
画面右上のナビゲーションボタンから、お好きなトピックに移動できます。
ITチーム
失われたITインフラの可視性を回復
SolarWinds Orionソフトウェアがなければ可視性が失われますが、Splunkを使用すれば可視性を回復し、ITインフラの健全性と運用を監視できます。
