Cómo una arquitectura de dispositivo a nube se defiende contra el compromiso de la cadena de suministro de SolarWinds


en un entrada en el blog Lanzado el 13 de diciembre de 2020, FireEye reveló que los actores de amenazas comprometieron el software de administración y monitoreo de TI Orion de SolarWinds con una versión troyanizada de SoalrWinds.Orion.Core.BusinessLayer.dll entregada como parte de un parche de Windows Installer firmado digitalmente. El archivo troyanizado ofrece una puerta trasera, denominada SUNBURST por FireEye (y Solorigate por Microsoft), que se comunica con servidores de terceros para el comando y control y la transferencia de archivos maliciosos, lo que le da al atacante un punto de apoyo en el sistema afectado con privilegios elevados. A partir de ahí, son posibles acciones adicionales sobre el objetivo, como el movimiento lateral y la exfiltración de datos. Desde el lanzamiento del blog inicial de FireEye, posteriores análisis adicional de McAfee y la industria, así como alertas de CISA, hemos visto el ataque crecer en tamaño, amplitud y complejidad. Continuaremos actualizando blogs de recomendaciones defensivas como este a medida que surjan nuevos detalles.

El uso de una cadena de suministro de software comprometida como técnica de acceso inicial (T1195.002) es particularmente peligroso ya que el ataque utiliza rutas de confianza asumidas y, como tal, puede pasar desapercibido durante un largo período. Este ataque aprovechó varias técnicas, como software confiable, código firmado y comunicación sigilosa para ocultarse a simple vista, lo que permitió al atacante evadir incluso defensas fuertes y disfrutar de una larga permanencia antes de la detección. La naturaleza sofisticada del ataque sugiere que un grupo de amenazas persistentes avanzadas (APT) probablemente sea el responsable. De hecho, FireEye está rastreando al grupo como UNC2452 y ha lanzado contramedidas para identificar la puerta trasera inicial de SUNBURST. McAfee también ha proporcionado un resumen de inteligencia dentro de MVISION Insights y los controles de mitigación para los vectores de entrada iniciales se publican en KB93861. Para acciones de respuesta adicionales, vea la Parte Uno de esta serie de blogs aquí. Si está utilizando el software SolarWinds, consulte la guía de la empresa aquí para buscar versiones vulnerables e información de parches.

Sin embargo, mirando más allá de las acciones iniciales de entrada y contención, debería pensar en cómo está preparado para este tipo de ataque en el futuro. Este es un actor sofisticado que puede usar otras técnicas como Spearphishing para obtener acceso, luego moverse por la red corporativa y potencialmente robar propiedad intelectual como fue el caso de FireEye. Cambiarán técnicas y herramientas, por lo que debe estar preparado. Nuestro equipo de investigación avanzada de amenazas rastrea más de 700 campañas de APT y delitos cibernéticos, por lo que el potencial de otro actor de amenazas para lanzar un ataque similar es alto. En este blog, analizaremos específicamente las técnicas utilizadas en el compromiso de SolarWinds y brindaremos orientación sobre cómo las soluciones de McAfee podrían ayudarlo a responder ahora y prepararse para este tipo de amenaza en el futuro con una capacidad de seguridad adaptable para la resiliencia.

Descripción general de la cadena de ataque

En nuestro primer blog de esta serie, proporcionamos una guía de respuesta inicial diseñada para interrumpir el ataque al principio de la fase de ejecución o mirar retrospectivamente los puntos finales o los registros de proxy en busca de indicadores de compromiso. Pero como puede ver en la línea de tiempo del ataque a continuación, comenzó mucho antes con una preparación detallada e intencionada e incluye muchos otros pasos. Un par de técnicas dicen mucho sobre la sofisticación y la planificación involucradas en esta campaña.

Figura 1: Progresión del ataque SUNBURST

Primero está la elección del vector de entrada. En este caso, el atacante comprometió parte de la cadena de suministro de software al convertir el software en armas de SolarWinds, una marca importante de software de gestión de TI. Si bien los compromisos de la cadena de suministro de software no son nuevos, como el reciente que afecta JavaScript, por lo general se encuentran en una escala menor o se detectan más rápidamente. Las técnicas de acceso inicial más comunes implican el Spearphishing o el aprovechamiento de servicios remotos abiertos como RDP. Si bien ambos requieren planificación y esfuerzo, convertir el software de una importante empresa de tecnología en un arma y pasar desapercibido en ese proceso no es tarea fácil. En segundo lugar, el tiempo de espera calculado antes de la comunicación externa y el algoritmo de generación de dominio personalizado (DGA) indican que el atacante tiene mucha paciencia y capacidad de sigilo. Para obtener un análisis más detallado de estas técnicas avanzadas, consulte el blog de análisis adicional de McAfee Labs en la puerta trasera de SUNBURST.

El ataque también implica numerosas acciones posteriores a la explotación, como el enmascaramiento de la comunicación de comando y control (T1001.003) como tráfico de actualización normal, transferencias de carga útil adicional (T1105), descubrimiento de sistemas, recolección de credenciales y, potencialmente, movimiento a otros sistemas, incluso alojados en la nube. sistemas de infraestructura. El objetivo, por supuesto, es interrumpir o detectar cualquier etapa del ataque antes del punto de ruptura y, con suerte, antes de cualquier impacto real en el negocio. El punto de ruptura es cuando un atacante ha ganado privilegios y comienza a moverse lateralmente dentro de la empresa. En ese momento, se vuelve muy difícil, pero no imposible, interrumpir o detectar la actividad. Pero debes actuar rápido. El impacto del ataque puede variar. En un caso, podría ser la pérdida de propiedad intelectual, pero en otro caso, el objetivo podría ser la destrucción de sistemas o datos críticos. Además, ¿qué pasa si el atacante utiliza otras técnicas de acceso inicial, como Spearphishing (T1566), para ofrecer una puerta trasera similar? ¿Sería capaz de detectar esa actividad o alguna de las siguientes acciones? Nuestro punto es que no se limite a actualizar el punto final con el DAT más reciente y se considere seguro. Busque otras formas de interrumpir o detectar un ataque a lo largo de toda la cadena de ataques, aprovechando la capacidad de prevención y detección y teniendo en cuenta el objetivo final para reducir el impacto en la empresa. Piense también en cómo se prepara. En este caso, los atacantes pasaron mucho tiempo preparándose para crear infraestructura y malware personalizados. ¿Y tu organización? ¿Sabe qué atacantes podrían estar apuntando a su organización? ¿Conoce sus tácticas y técnicas?

Mantenerse a la vanguardia con MVISION Insights

En las primeras horas de una nueva campaña de amenazas, si el CIO o CISO le preguntara, "¿estamos expuestos a SUNBURST", cuánto tiempo le tomaría responder esa pregunta? Un lugar al que acudir es MVISION Insights. MVISION Insights combina la investigación de Threat Intelligence de McAfee con la telemetría de los controles de sus terminales para reducir su superficie de ataque contra las amenazas emergentes. MVISION Insights rastrea más de 700 campañas de APT y Cyber ​​Crime según lo investigado por el equipo ATR de McAfee, incluida la versión más reciente de la herramienta FireEye Red Team y las campañas de compromiso de la cadena de suministro de SolarWinds.

Figura 2: Obtener detalles sobre el ataque

En las primeras horas de una nueva respuesta a una amenaza, puede utilizar MVISION Insights para obtener un resumen rápido de la amenaza, ver recursos externos y una lista de indicadores conocidos, como archivos, URL o direcciones IP. El resumen de la campaña le ahorra parte de la laboriosa tarea de combinar varios sitios, descargar informes y crear una imagen más amplia. MVISION Insights proporciona piezas críticas en un solo lugar, lo que le permite avanzar más rápido en el proceso de respuesta. La siguiente pregunta a responder, ¿es este nuevo ataque un riesgo para mi negocio? Insights puede ayudarlo a responder esa pregunta también cuando hace clic en "Su entorno".

Figura 3: Revisión rápida de su exposición

Insights correlaciona automáticamente los indicadores de compromiso con los eventos de amenazas de McAfee ENS, lo que le permite evaluar rápidamente si hay un problema inmediato ahora. Si tuvo una detección, debe ir inmediatamente a la respuesta a incidentes. Insights revisa la configuración de control de su punto final para evaluar si tiene implementada la actualización de contenido correcta para potencialmente interrumpir la amenaza. En este punto, está más cerca de responder la pregunta del CIO de "¿estamos expuestos?". Digo más cerca porque Insights proporciona solo la vista de protección de endpoints actualmente, por lo que deberá revisar otros controles que tenga implementados para evaluar completamente el riesgo.

Figura 4: Revisión detallada de su exposición

Sin embargo, Insights también evalúa su postura de seguridad de endpoints frente a otras técnicas de amenazas avanzadas, buscando ver si está obteniendo el mejor valor de ENS al aprovechar la capacidad de detección de anomalías de firmas, inteligencia y comportamiento en la solución. Esto es importante porque los atacantes cambiarán de táctica, utilizando nuevas técnicas y herramientas de entrada, por lo que su postura de seguridad debe adaptarse continuamente. Y esta es solo una campaña. Insights está resumiendo la inteligencia, destacando las detecciones y reduciendo su superficie de ataque continuamente, ¡contra 700 campañas!

Revise su arquitectura defensiva

Mitigar el riesgo de SUNBURST y campañas APT sofisticadas similares requiere una arquitectura de seguridad que proporcione una defensa en profundidad y visibilidad en toda la cadena de ataque. Debe revisar su arquitectura y evaluar las brechas en la visibilidad de la técnica o en la capacidad de protección. A continuación, describimos dónde se pueden utilizar McAfee y las soluciones de sus socios para interrumpir o detectar algunas de las técnicas de ataque utilizadas en SUNBURST según lo que sabemos hoy.

Figura 5: Arquitectura de seguridad de dispositivo a nube

Si bien el atacante es sin duda sofisticado y sigiloso, el aspecto de múltiples etapas del ataque presenta oportunidades para detectar o detenerse en múltiples puntos y quizás incluso antes de que el ataque se establezca. Cubrimos más sobre cómo usar McAfee EDR para buscar o detectar algunas de las técnicas utilizadas en SUNBURST en la siguiente sección. Sin embargo, existen otras capacidades clave de ciberdefensa que pueden pasarse por alto en sus organizaciones, pero que son fundamentales para tener la oportunidad de detectarlas y mitigarlas. Destacamos los de esta sección a continuación.

Entrar en la preparación del atacante

Normalmente, esto está más allá de lo que la mayoría de las organizaciones tienen tiempo para hacer. Sin embargo, en este caso, necesita obtener alguna ventaja. Hablamos de MVISION Insights anteriormente, por lo que aquí cubriremos orientación adicional. Durante la fase de preparación de este ataque, el atacante obtiene infraestructura dentro de la geografía objetivo para alojar su servidor de comando y control. Durante esta fase, también configuran los nombres de host de sus servidores C2 para imitar los nombres de host de la organización objetivo. Un escaneo de sus nombres de dominio en bloques de IP externos puede revelar la formación del ataque. Herramientas de código abierto como Spiderfoot ofrecen una serie de complementos para recopilar y analizar este tipo de datos. El DNS pasivo con una combinación de hosts que se comunican con nombres de dominio inusuales también representa una ventana de detección mediante la cual las soluciones de protección avanzada de DNS, como las de nuestro socio SIA Infoblox puede detectar el uso de DGA basado en el comportamiento por parte de malware y bloquear automáticamente dichas solicitudes de resolución de DNS.

Visibilidad en DNS

Las consultas de DNS a menudo proporcionan las primeras capas de información sobre cualquier tipo de comunicación C2 y exfiltración de datos. Idealmente, debe habilitar el registro en un resolutor ascendente donde pueda ver el tráfico de toda su infraestructura. Puede encontrar más información aquí para Servidores DNS de Windows y Linux enlaza servidores DNS. Esto podría enviarse a McAfee ESM / otros SIEM para su análisis y correlación para la detección de actividades de tipo DGA.

Registro de NetFlow

Ser capaz de detectar flujos inusuales también debería ser una prioridad para los respondedores de incidentes. Junto con las consultas de DNS, los datos de NetFlow cuando se combinan con UBA proporcionan una gran fuente de detección, ya que el uso de proveedores de VPS por parte de los atacantes se puede combinar con los datos de inicio de sesión del usuario para detectar una "tasa imposible de evento de viaje".

Búsqueda de indicadores con MVISION EDR

Como se describe en la arquitectura defensiva, MVISION EDR juega un papel vital en la búsqueda de la prevalencia de indicadores relacionados con la puerta trasera de SUNBURST y la actividad posterior al compromiso. El papel de MVISION EDR se vuelve aún más importante debido al uso de OPSEC manual por parte del actor de amenazas, donde lo que sigue a la infracción inicial es impulsado por la forma en que el actor de amenazas apunta a la organización.

Buscando la presencia de archivos maliciosos

Puede utilizar MVISION EDR o MAR para buscar puntos finales para los indicadores SUNBURST proporcionados por Microsoft y FireEye. Si tiene licencia para MVISION Insights, puede cambiar directamente a MVISION EDR para buscar indicadores. MVISION EDR admite búsquedas en tiempo real para buscar la presencia de archivos en los puntos finales y permite realizar barridos en toda la propiedad. La siguiente consulta se puede utilizar con la lista de hash de archivos maliciosos rellenada previamente. La presencia del archivo en el sistema no significa en sí mismo que haya tenido éxito y se necesita más búsqueda para verificar la ejecución del código malicioso real en el sistema. Consulte la sintaxis de búsqueda a continuación.

Iniciar sintaxis de consulta MVEDR…

nombre de los archivos, FULL_NAME, MD5, SHA256, created_at, create_user_name, create_user_domain y nombre de host hostinfo, direccion_ip, OS y LoggedInUsers nombre de usuario, userdomain donde los archivos sha256 es igual a “ac1b2b89e60707a20e9eb1ca480bc3410ead40643b386d624c5d21b47c02917c” o archivos sha256 es igual a “c09040d35630d75dfef0f804f320f8b3d16a481071076918e9b236a321c1ea77” o archivos sha256 es igual a “eb6fab5a2964c5817fb239a7a5079cabca0a00464fb3e07155f28b0a57a2c0ed” o archivos sha256 es igual a “dab758bf98d9b36fa057a66cd0284737abf89857b73ca89280267ee7caf62f3b” o archivos sha256 es igual a “32519685c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77” o archivos sha256 es igual a “d0d626deb3f9484e649294a8dfa814c5568f846d5aa02d4cdad5d041a29d5600” o archivos sha256 es igual a “53f8dfc65169ccda021b72a62e0c22a4db7c4077f002fa742717d41b3c40f2c7” o archivos sha256 es igual a “019085a76ba7126fff22770d71bd901c325fc68ac55aa743327984e89f4b0134” o archivos sha256 es igual a “ce77d116a074dab7a22a0fd4f2c1ab475f16eec42e1ded3c0b0aa8211fe858d6” o archivos sha256 es igual a “3 2519b85c0b422e4656de6e6c41878e95fd95026267daab4215ee59c107d6c77” o archivos sha256 es igual a ‘292327e5c94afa352cc5a02ca273df543f2020d0e76368ff96c84f4e90778712’ o archivos sha256 es igual a ‘c15abaf51e78ca56c0376522d699c978217bf041a3bd3c71d09193efa5717c71’

… Finalizar la sintaxis de consulta MVEDR

Figura 6: Búsqueda de indicadores en tiempo real

Además, puede realizar una búsqueda histórica de creación y eliminación de archivos que se remontan a 90 días en el almacenamiento en la nube.

Figura 7: Búsqueda histórica y modificación de archivos

Se sabe que el actor de amenazas cambia el nombre de las utilidades / archivos del sistema y limpia sus pistas. MVISION EDR puede revisar cambios históricos en el sistema de archivos, esto es crucial para determinar si un endpoint fue víctima de este ataque. La interfaz de búsqueda flexible se puede utilizar para filtrar y rastrear el progreso de la consecución de los objetivos del atacante, por ejemplo, observe los cambios provocados por las dll infectadas, como netsetupsvc.dll.

Buscando conexiones de red maliciosas

MVISION EDR permite el rastreo de conexiones de red activas aprovechando las funcionalidades de búsqueda en tiempo real

Figura 8: Conexiones de red en tiempo real

También puede aprovechar la función de búsqueda histórica para buscar conexiones históricas relacionadas con la actividad de comando y control de este actor de amenazas. El filtrado por ID de proceso e IP de origen / destino permite a los analistas rastrear las comunicaciones maliciosas.

Figura 9: Conexiones de red históricas

MVISION EDR también permite a los analistas revisar búsquedas de DNS históricas, lo que permite la capacidad de buscar búsquedas de DNS maliciosas. Esta es una capacidad muy importante del producto, ya que muchas organizaciones no registran DNS o tienen una jerarquía de DNS que dificulta el registro del dispositivo final que realiza la solicitud real.

Figura 10: Búsquedas históricas de DNS

A la caza de tuberías con nombres maliciosos en toda la propiedad

MVISION EDR incluye la capacidad de creación de recopiladores personalizados que permite la ejecución de comandos personalizados en toda la propiedad. En este caso, es posible buscar la existencia de las canalizaciones con nombre ejecutando el siguiente comando de Powershell:

Figura 11: Colector de tuberías con nombre EDR

Comando de Powershell para la detección de tuberías (System.IO.Directory) :: GetFiles (“\. \ pipe \”) | % ($ _ -split “\”) (6)

Figura 12: Búsqueda en tiempo real de canalización con nombre

HostInfo hostname, ip_address, os donde _NamedPipe pipename contiene "583da945-62af-10e8-4902-a8f2 05c72b2e"

Búsqueda de procesos maliciosos

Se sabe que el atacante en sus etapas finales aprovecha los procesos legítimos de SolarWinds para completar sus objetivos:

Windows SysWOW64 WerFault.exe

SolarWinds Orion ExportToPDFCmd.Exe

SolarWinds Orion APM APMServiceControl.exe

SolarWinds.Credentials SolarWinds.Credentials.Orion.WebApi.exe

SolarWinds Orion Topology SolarWinds.Orion.Topology.Calculator.exe

SolarWinds Orion Database-Maint.exe

ProcessHistory parentname, name, id, cmdline DONDE ProcessHistory parentname es igual a "WerFault.exe" o ProcessHistory parentname es igual a "ExportToPDFCmd.Exe" o ProcessHistory parentname es igual a "APMServiceControl.exe" o ProcessHistory parentname es igual a "SolarWinds.Credentials.Orion.WebApi.exe" o ProcessHistory parentname es igual a "SolarWinds.Orion.Topology.Calculator.exe" o ProcessHistory parentname es igual a " SolarWinds Orion Database-Maint.exe"

Esperando más de 90 días con EDR Trace Data

La arquitectura de MVISION EDR aprovecha la capa de intercambio de datos para transmitir datos de seguimiento a nuestro servicio en la nube, donde aplicamos análisis para identificar o investigar una amenaza. Los datos de seguimiento son artefactos del punto final, como archivos hash, procesos, comunicaciones, que normalmente se necesitan para la detección y las búsquedas del punto final. La arquitectura DXL permite que esos datos se transmitan a la nube y a un almacén de datos local como un SIEM u otro almacenamiento de registros como Elastic simultáneamente.

Figura 14: Búsqueda a largo plazo de datos de seguimiento de EDR en un panel de Kibana

Figura 15: Búsqueda a largo plazo de datos de seguimiento de EDR en un panel de Sp

Puede almacenar los datos durante más tiempo que el máximo de 90 días que McAfee almacena en nuestra nube. ¿Porque es esto importante? Un análisis reciente de SUNBURST sugiere que el ataque se remonta a marzo de 2020, y quizás antes. Este almacenamiento local proporcionaría la capacidad de buscar indicadores más atrás según sea necesario, si así se configura.

Evaluar la visibilidad

¿Cómo saber qué fuentes de datos se necesitan para detectar tácticas y técnicas de Mitre Att & ck? Carlos Díaz de MVISION EDR engineering escribió una gran herramienta llamada Mitre-Assistant para simplificar ese proceso. Puedes descargar esa herramienta aquí.

Detectar acciones sobre el objetivo

Detección y análisis de amenazas de exploits posteriores al inicio en EDR

Uno de los desafíos clave que enfrentan los cazadores de amenazas y los analistas de seguridad es dónde avanza el ataque hasta la segunda fase del ataque, donde se entiende que el atacante ha lanzado malware para ejecutar y completar sus objetivos. MVISION EDR detecta este uso de ejecución sofisticada de malware de un proceso confiable y lo asigna automáticamente al marco MITRE ATT & CK. Como parte de la detección y seguimiento del proceso, EDR también captura el comando ejecutado en el punto final. Esto se vuelve invaluable en caso de rastrear el aspecto OPSEC manual de la segunda fase del ataque.

Figura 16: Análisis de Mitre y detección de amenazas para la ejecución posterior a la explotación

MVISION EDR proporciona amplias capacidades para responder a las amenazas una vez evaluadas, p. Ej. Las búsquedas en tiempo real, una vez ejecutadas, permiten a los analistas medir rápidamente los puntos finales afectados, momento en el que la solución ofrece múltiples opciones como método para contener y remediar la amenaza en todo el patrimonio mediante operaciones masivas.

Figura 17: Mitigación de amenazas masivas de EDR

Detección de exfiltración de datos, movimiento lateral y prevención

MVISION EDR proporciona una forma de visualizar fácilmente la salida de datos al observar la vista de topología de los puntos finales donde se ha detectado actividad maliciosa, al observar el mapa de flujo de red, las conexiones atípicas pueden identificarse fácilmente y luego correlacionarse con WHOIS, reputación de IP y DNS pasivo datos de proveedores como McAfee GTI y Virustotal. Una vez establecidas, las conexiones externas se pueden bloquear y el punto final se puede poner en cuarentena desde la consola de EDR. EDR también muestra procesos comunes que se generan en múltiples puntos finales para mostrar el movimiento lateral y también está etiquetado como parte de las técnicas MITRE que se identifican y detectan.

Figura 18: Movimiento lateral y exfiltración del EDR

Combinando EDR con tecnología Deception como la de Attivo Networks reúne una combinación de detección ofensiva en la que el atacante puede quedar atrapado de manera efectiva como resultado de no obtener las credenciales reales necesarias para que el movimiento lateral / escalada de privilegios sea un éxito y, por lo tanto, no pueda completar su objetivo.

Un enfoque integrado de DLP también puede proporcionar una protección eficaz contra la consecución de los objetivos, por ejemplo, La política de DLP unificada en el punto final y la puerta de enlace web que busca la filtración de datos organizativos confidenciales también puede proporcionar defensas valiosas. La plataforma UCE de McAfee proporciona estas capacidades de protección de datos unificadas.

Detección de compromiso de cuenta en la nube

Nuestra investigación más reciente indica que el atacante está buscando activamente establecer puntos de apoyo adicionales en entornos de nube de clientes como Azure AD o eludir la autenticación multifactor al secuestrar sesiones SAML, MVISION Cloud Access Control y User Anomaly Detection de McAfee pueden identificar intentos de acceso sospechosos a servicios e infraestructura en la nube .

Se recomienda aumentar el seguimiento y las investigaciones sobre dicha actividad, especialmente con cuentas privilegiadas en infraestructura sensible.

Protección de la cadena de suministro y la propiedad intelectual

Además de la revisión de la arquitectura y la búsqueda continua de indicadores, se recomienda que los clientes trabajen con sus proveedores (TI, servicios en la nube, infraestructura, hardware, etc.) para validar la integridad. En segundo lugar, revise los controles, los casos de uso de detección en el SOC y los registros, específicamente relacionados con su propiedad intelectual. También se recomienda un ejercicio de mesa para ensayar la gestión de crisis y los procedimientos de notificación de infracciones.

Resumen y próximos pasos

Es importante señalar que el análisis de este ataque está en curso en todo el mundo y los eventos aún se están desarrollando. La presencia / detección de la puerta trasera y el software afectado es solo el comienzo para muchos clientes. MVISION EDR u otras herramientas de detección de dominios y presencia de canalizaciones con nombre maliciosas ayudan a indicar a un cliente si la puerta trasera se estaba ejecutando, pero con la información recopilada del sistema, el adversario puede tener cuentas válidas y acceso a sistemas AD o Cloud en algunos casos. El adversario ha estado borrando información / archivos de registro para borrar rastros. La respuesta a incidentes es una pieza fundamental de la capacidad de recuperación general de su negocio y, si se ve afectado, sin duda se estará haciendo este tipo de preguntas.

  • ¿Cuándo instalamos el software vulnerable?
  • ¿Comprometieron las cuentas de usuario y tenían acceso a AD?
  • ¿Instalaron puertas traseras adicionales?
  • ¿Cuántos sistemas y cuentas se ven afectados?
  • ¿Se accedió a los recursos de la nube o de la empresa?
  • ¿Fue robada información? Si es así, ¿tenemos procedimientos de notificación?
  • ¿Hay otros compromisos de la cadena de suministro aún por descubrir?

McAfee continuará publicando resultados de análisis y orientación defensiva a medida que aprendamos más sobre el ataque. Los clientes deben seguir las publicaciones de McAfee Labs, consultar el Panel de vista previa de Insights para conocer la inteligencia de amenazas más reciente y comprobar continuamente el Centro de Conocimiento para obtener la última guía de productos.





Enlace a la noticia original