SolarWinds cyberattack

SolarWinds cyberattack

Ahoj,

s největší pravděpodobností jste všichni slyšeli o průšvihu, co se stal firmě SolarWinds. Těsně před Vánoci toho byla plná média. Pokud ne, tak zde je celkem pěkná zpráva: https://isc.sans.edu/

NUKIB vydal následující upozornění a veřejnou vyhlášku. (trošku níže zjednoduším obsah):

  • Zkontrolujte, zda se to týká i Vás nebo Vašich dodavatelů
    Naše odpověď: Ne, LOGmanager (Sirwisa a.s.) nepoužívá žádný z postižených produktů firmy SolarWinds. U sebe musíte zkontrolovat dle seznamu sami ;-). viz další bod.
  • V případě, že používáte produkt potenciálně postižený kybernetickým útokem, vyhledejte zda došlo ke kompromitaci, proveďte bezpečnostní analýzu, implementujte opravné balíčky, resetujte hesla, monitorujte, auditujte, reportujte, … (prostě jako obvykle).
    Naše odpověď: Prostřednictvím LOGmanageru lze velmi snadno provést rychlé prohledání všech logů zpětně a nalézt možné IOC (indikátory kompromitování). Nebo vytvořit report, ve kterém uvidíte, zda byla v logách nalezena zmínka o kompromitaci. Prosím, na našem uživatelském fóru zde: user forum naleznete připravený dashboard. Tak jej zkuste. Radikální jednoduchost, nehledejte za tím nějaké složitosti. Dashboard prostě prohledá časový úsek dle vašeho výběru pro výskyt IOC řetězců. Otestoval jsem tento dashboard u zákazníka, který vytváří v průměru 200GB logů denně a prohledal jsem pokusně poslední 3 měsíce uplynulého roku. Prohledání asi 18TB dat trvalo na LOGmanageru-L asi 20 minut v jednom velmi jednoduchém kroku (žádná obnova ze záloh, žádné otevírání a zavírání indexů, prostě LOGmanager radikální jednoduchost). 

Tak ještě jednou vše nejlepší do Nového Roku 2021 a co nejméně podobných překvapení

Mirek

Hi Folks,

I expect all of You hear about the disastrous event what happened to SolarWinds. It was all over in the news during Pre & Christmas vacation times.
If not – have a look here for the fairly good explanation: https://isc.sans.edu/

We have seen notifications from local cybersecurity advisory teams requesting (simplified):

  • 1) Check if Your vendor had not been compromised as well
    Our response: No, LOGmanager does not use any of the affected products in its environment. In Your environment, You have to check on Your own ;-).
  • 2) Check, if You do not use affected product. If yes, find the indicators of compromise, do additional research, fix, report, … (as usual).
    Our response: It is easy to search all Your logs many months back in the dashboard. Or create out of it a report to see, if there was some communication from Your network to described IOC destinations. Please check our user forum for prepared dashboard and give a try. Radical simplicity, dashboard just display if there were logs containing any of the IOC’s. If You wish, You can run it as report for last month, or just be patient and run the dashboard for a custom time range. I did test on LOGmanager-L collecting ~200GB logs daily to search 3 months (October 1st to December 31st of 2020) and it took around 20 minutes to find nothing had been seen there. It searched approx. 18TB of data in a single simple task.

All the best in New Year 2021

Mirek

 

logo
© 2021 Sirwisa a. s. Všechna práva vyhrazena.