在发现SolarWinds数据泄露事故后，大家都很混乱、困惑。

在上周四的RSA网络会议中，CrowdStrike、毕马威、DLA Piper以及SolarWinds公司的高管们谈到了他们对这家大型IT软件供应商2020年供应链攻击事件的早期响应工作。这些人是最早出现在攻击现场的人，原本该攻击可能成为影响数万家公司的历史性攻击系列事件。

安全供应商FireEye公司最早发现民族国家攻击者已经破坏其网络并访问敏感信息，包括红队工具。该公司于12月9日披露了该数据泄露事故，随后追踪到SolarWinds的Orion软件中的后门漏洞。

FireEye于12月12日将其发现告知SolarWinds。SolarWinds公司安全副总裁Timothy Brown表示，最初的几个小时进展迅速，因为FireEye向SolarWinds提供了攻击的初步证据，并且该供应商很快确认其Orion监控软件的副本中被植入恶意代码，允许攻击者监视用户。

Brown说：“我们不需要做很多侧面研究来确定这是否发生。然后我们做了一些分析以确定它何时发生，我们发现三个版本受到影响。那时，我们知道，由于这是内部发生的事情，我们真的必须聚集正确的人以进行调查。”

DLA Piper律师事务所合伙人Ronald Plesco是SolarWinds的数据泄露事故指导，他必须迅速组建事件响应专家团队。他表示，除了需要快速响应并确定数据泄露事故来源外，事件响应团队还有另一个“计时时钟”，因为FireEye想在周日公开披露他们的调查结果。Plesco称：“让所有这些团队就位，分工合作，以及从项目管理的角度来看，谁将在早期做关键的事情。”

在CrowdStrike和毕马威加入之后，事件响应团队试图确定被称为“Sunburst”后门程序如何最终进入Orion。毕马威董事总经理David Cowen表示，这次攻击的第一批罪魁祸首之一是放置在奇怪位置的虚拟机 (VM)。在仔细研究开发和编排服务器后，一位目光敏锐的开发人员注意到了该VM中的一些奇怪之处。

Cowen称：“随着我们继续深入堆栈，其中一位开发人员说我们发现了这个关机的虚拟机，我们在那里发现了编译好的恶意代码。”

即使在发现罪魁祸首之后，要掌握插入的代码以及谁将其放在那里也并非易事。

CrowdStrike公司情报部门高级副总裁dam Meyers说：“对手在其中投入了很多循环和技巧，使其难以理解。”

攻击者使用的技巧之一就是简单地掩盖他们的母语。调查人员通常能够归因攻击的方法是分析代码中的简单语言线索，例如使用西里尔文或中文进行评论引用。

然而，在这种情况下，SolarWinds入侵者没有留下这样的线索。调查人员发现，插入Orion的源代码已经删除了任何会泄露作者身份的本地化内容。

Meyers称：“这有效地清洗了代码。那时我突然意识到这是下一个级别操作安全性。”

最后，调查人员仔细研究了大约100 TB的数据，以生成有关攻击的报告。

Brown指出：“这个攻击有很多活动部件和很多零件。你意识到你需要让团队专注于正确的地方，执行独立但相关的行动。这种混乱得到控制，但有合适的人参与，你可以推动前行。”