自上個週末SolarWinds供應鏈攻擊事件曝光以來，全球範圍內的安全團隊都在馬不停蹄地展開研究，以確認其組織是否受到SolarStorm的攻擊。幾乎每隔幾個小時就有一家企業確認受到攻擊。

這些中招的企業需要引起我們的高度重視，而這一事件也將成為史上最為嚴重的網路攻擊之一。 事實上，在被識別出來之前，已被植入後門的SolarWinds Orion軟體升級程式已肆虐了好幾個月，説明攻擊者獲得管理特權並建立長期網路接入—進而全方位入侵組織。 為了應對如此大規模的攻擊，除了團結我們別無選擇。

為了更大範圍地為社群提供幫助，我們在此分享Palo Alto Networks阻擊SolarStorm攻擊的成功經驗（希望對您有所裨益）。

近期，我們注意到有人下載Cobalt Strike滲透測試程式並試圖在我們的IT SolarWinds伺服器上運行，Palo Alto Networks Cortex XDR解決方案的行為威脅防禦功能在第一時間內阻止了這一企圖，同時我們的SOC對該伺服器進行了隔離，並對這一事件展開調查以確保基礎設施安全無虞。 此外，我們也在客戶使用的產品中部署了一批威脅指標IOCs。

起初，我們認為這是一起獨立事件，但很快在12月13日，我們便意識到這是SolarWinds軟體的供應鏈受到了入侵，我們所阻截的其實是一起未遂的SolarStorm攻擊。 鑒於此，我們對整個基礎設施進行了多次全面檢查和分析。 此次SolarStorm攻擊的規模之大，要求我們必須對基礎設施加以持續評估。我們有信心保證Palo Alto Networks足夠安全可靠。

對於Palo Alto Networks而言，利用我們掌握的經驗、行業情報、產品以及服務，確保客戶免受攻擊，是我們的首要任務。為此，我們安排了專家團隊對以下兩類專案提供支援：

• SolarStorm快速評估：借助我們一流的Expanse平臺功能以及Crypsis事件回應團隊，第一時間確定客戶是否已經受到威脅入侵。此評估是免費的，確保客戶安全無虞是我們對客戶的承諾，為客戶提供評估服務更是對我們踐行這一承諾的行動。
• SolarStorm網路安全團隊調查部署：如果有客戶認為已經受到了影響，可與我們簽訂短期合約，我們的事件回應團隊將與您直接互動，幫助您有效應對攻擊或在受到攻擊後盡快恢復生產。 此外，我們還可為您提供為期兩個月的Cortex XDR和Expanse的使用許可。

SloarStorm攻擊再次印證了兩大現實，組織面臨的攻擊面在不斷擴大，而威脅也愈加複雜。 我們將與眾多企業、政府部門以及安全社群裡的其他組織一道，做好對這些威脅的瞭解和防禦工作。申請SolarStorm免費快速評估或SolarStorm網路安全團隊調查部署。

先週末にSolarWindsのサプライチェーン攻撃が発覚して以来、あらゆる場所でセキュリティチームは「SolarStorm」攻撃の侵害を受けていないかの確認に奔走しており、数時間ごとに新たな感染者が確認されています。

セキュリティチームが注意を払うのは正しいことです。これはじきに、歴史上最も深刻なサイバー攻撃の1つとして語られることになるでしょう。汚染されたSolarWinds Orionソフトウェアのアップデートは、特定まで数ヶ月にわたり配布されていたことから、攻撃者は管理者権限を取得し、ネットワークへの長期的なアクセスが可能となっていました。すなわち、組織は悪意のあるアクターによる完全な侵害を許してしまっていたおそれがあります。このような大規模な攻撃から身を守るために、私たちは団結しなければなりません。

より広いコミュニティを支援するため、SolarStorm攻撃を防ぐことに成功した私たちの経験を紹介したいと思います。

最近、ITのSolarWindsサーバーの1つで、Cobalt Strikeをダウンロードしようとする試みがありました。Cortex XDRは、行動脅威防御機能（BTP）でこの攻撃を即座にブロックしました。またSOCはこのサーバーを隔離し、インシデントを調査してインフラストラクチャを保護しました。この結果、顧客向けパロアルトネットワークス製品にも一揃いIOCをデプロイしました。

私たちはこれを孤立したインシデントと考えていましたが、12月13日に、SolarWindsソフトウェアのサプライチェーンが侵害されていたことが判明し、私たちが阻止したインシデントがSolarStorm攻撃の未遂であったことが明らかになりました。この新しい情報を受け、私たちはインフラ全体をもう一度徹底的に分析しました。SolarStorm攻撃の規模の大きさから、当社のインフラストラクチャを継続的に評価する必要がありますが、パロアルトネットワークスの安全性は引き続き確保されていると確信しています。

これまでの経験、業界情報、製品、サービスを活用し、これらの攻撃からお客様を保護することが弊社の最優先事項です。お客様の支援のため、弊社は専門家のリソースを確保し、次の2つの異なるプログラムをサポートします (※ 本サービスは英語によるリモートでのご提供となります)。

• SolarStormの迅速評価。この評価では、弊社のExpanseプラットフォームのクラス最高の機能と、Crypsisのインシデント対応チームを活用し、お客様がこの脅威により侵害を受けていないかどうかを迅速に判断します。この評価は無料で、お客様の安全を確保するための弊社の取り組みを反映しています。
• SolarStormのサイバーセキュリティへの取り組み。影響を受けたと思われるお客様は、弊社のインシデント対応チームが攻撃の封じ込めと回復を支援する短期リテイナーに直接参加できます。この期間中はCortex XDRとExpanseの両ライセンスが2ヶ月間提供されます。

今回のSolarStorm攻撃により、組織は、ますます巧妙化する脅威に対し、増加し続ける攻撃面を防御しなければならない、ということが改めて浮き彫りになりました。弊社は、企業、政府機関そのほかのセキュリティ コミュニティと協力し、この脅威に対する理解と防御の向上に努めてまいります。

SolarWindsのサプライチェーンの侵害に対処するためのこのほかのリソースについては、ラピッドレスポンスのリソースページをご覧ください。

Since learning of the SolarWinds supply chain attack last weekend, security teams everywhere have been scrambling to determine whether they were compromised by the “SolarStorm” attacks. Every few hours a new compromised entity is identified. 

They’re right to pay attention. We will soon be talking about this as one of the most serious cyberattacks in history. Tainted updates to SolarWinds Orion software were distributed for months before they were identified, positioning attackers to obtain administrative privileges and establish long-term network access – potential for a complete compromise of an organization by malicious actors. We must come together to defend against an attack of this magnitude. 

In an effort to help the broader community, I’d like to share our experience successfully preventing a SolarStorm attack. 

Recently, we experienced an attempt to download Cobalt Strike on one of our IT SolarWinds servers. Cortex XDR instantly blocked the attempt with our Behavioral Threat Protection capability and our SOC isolated the server, investigated the incident and secured our infrastructure. We also deployed a set of IOCs to our customer-facing Palo Alto Networks products as a result of this. 

We thought this was an isolated incident, however, on Dec. 13, we became aware that the SolarWinds software supply chain was compromised and it became clear that the incident we prevented was an attempted SolarStorm attack. Given this new information, we analyzed our entire infrastructure extensively one more time. The magnitude of the SolarStorm attack requires us to continuously evaluate our infrastructure, but we remain confident that Palo Alto Networks continues to be secure. 

It is our top priority to protect our customers from these attacks leveraging our experience, industry intelligence, products and services. To help our customers, we have set aside expert resources to support two distinct programs: 

• SolarStorm rapid assessment: This assessment will quickly determine if you have been compromised by this threat actor by leveraging best-in-class capabilities of our Expanse platform together with our Crypsis incident response team. The assessment is complimentary and reflects our commitment to securing our customers.
• SolarStorm cybersecure engagement: Customers who believe they have been impacted can engage directly in a short-term retainer with our incident response team who will help you contain and recover from the attack. During this period, you will also receive licenses for both Cortex XDR and Expanse for two months.

The SolarStorm attack has highlighted again that organizations are defending an ever increasing attack surface against threats that are more and more sophisticated. We’re committed to working with enterprises, governments and others in the security community to help them better understand and defend against this threat.

For more resources to help you navigate the SolarWinds supply chain compromise, visit our Rapid Response resources page.