记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

以设计确保安全,SolarWinds供应链攻击事件分析

2021-11-26 15:01

  尽管2021年已过了大半,但如果把时间拨回到2020年12月份,相信很多人对那次SolarWinds供应链攻击事件依然记忆深刻。

  2020年12月12日,一起重大网络安全事件震惊整个IT业界,SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵,攻击者利用Orion Platform 中的一处漏洞,植入了名为SUNBURST的恶意代码,实际受影响的客户数量接近100家,这也是一次典型的基于供应链漏洞的网络攻击。

  高水平的恶意攻击

  那么,什么是SUNBURST?SolarWinds在当时采取了哪些紧急措施?公司是如何以设计确保安全的?前不久,SolarWinds首席信息安全官兼安全副总裁Tim Brown,对整个事件进行了重点分析。

  “SUNBURST是一个比较特别的恶意代码,有十四天左右的潜伏期,可以避开很多杀毒软件,并且不是在SolarWinds的环境下操作,而是选择在客户的环境下执行。”Tim Brown介绍道,虽然有1.8万家客户安装了受到病毒感染的软件版本,但其实真正受到影响的客户大约是100家。

以设计确保安全,SolarWinds供应链攻击事件分析

  ▲SolarWinds首席信息安全官兼安全副总裁Tim Brown

  黑客借助SUNSPOT工具,将SUNBURST恶意代码插入到SolarWinds Orion平台。SUNSPOT类似于Windows服务,程序在运行的时候,能监控全过程,当用户开始构建自己的应用时,SUNSPOT就会把SUNBURST植入到代码中,然后随着编译、签名和分发的过程传播出去,所以SUNBURST并不是在源代码中,而是在供应链或者构建过程中。换言之,这是一种高水平的恶意攻击,整个过程具有高度伪装性,可以绕过网络命令和控制,直接去攻击供应链的某个特定的点,或者整个供应链。

  全面调查和补救

  事故发生那天,刚好是周六,SolarWinds被通知遭遇SUNBURST攻击。事后,公司立即告知所有股东和客户,并且发布了修复程序。12月17日,美国国土安全部计算机紧急事务响应小组发布技术警报公告,进一步明确要采取的一系列方法以及相关的注意事项。从2021年1月11日起,SolarWinds开始正式发布与SUNSPOT有关的新发现。 到了5月7日,整个调查基本完成,并且更新发布最新版本解决方案。目前,SolarWinds已发布2019.4.2和2020.2.4两个Orion更新版本,以避免用户遭遇SUNBURST的侵害。

  期间,SolarWinds与联邦调查局(FBI)和网络安全与基础设施安全局(CISA)进行接洽,开展了最广泛的调查。另外,公司还最大化借助外围力量来解决问题,包括邀请了网安公司CrowdStrike、毕马威的加入,有效遏制、消除和补救网络事件。CrowdStrike主要对SolarWinds 环境进行了宏观分析,并部署了Falcon 技术和其他威胁追踪工具,持续监控可疑活动。毕马威取证小组进行了微观分析,对构建环境进行了深入检查,并进行了取证和分析,包括检查各种工件、历史防火墙日志、访问控制日志和SIEM事件。

  除了上述补救措施,SolarWind在整个公司内部发起了一个完全免费的Orion 协助计划,即对于受到影响的客户要进行免费升级,主动帮助客户维护平台。

  以设计确保安全

  总结下来,SolarWind能够平稳度过此次危机,和“以设计确保安全”的产品理念有关。众所周知,安全隐患无所不在,它涉及到企业IT环境的方方面面,包括基础设施安全、软件开发安全和人员安全等等。对于软件开发而言,企业需从整个生命周期维度来增强防护,一旦遭遇攻击,要有相应的解决方案。同样,在基础设施层面也一样,要让以设计确保安全的理念贯穿整个IT构建的始终,比如:通过假设的攻击、虚拟的泄露确保IT基础环境的安全性。另外,从人员安全的角度来看,我们要通过工具、技巧和程序,把网络安全意识植入到每天工作和开发环境中,并且要有具体的配套措施和流程。

  为了继续深化“以设计确保安全”的产品理念,SolarWind公司和CrowdStrike进行合作,在服务器层面提高了基础设施的可视化。同时,为了实现对整个软件和运营环境的监测,SolarWind对所有的用户重设了访问权限,实施了多因素身份的验证(MFA),针对具有高优先级的客户要使用YubiKey软件,以确保硬件密钥、软件密钥等不同环境的安全性。

  除了内部环境的防护,在整个供应链环境也进行了改善和优化。比如:检查了过去两年Orion当中的代码,以及更多内容是不是过期,中间是不是有被攻击和植入过,包括不断地进行举证分析,通过插入带有SUNBURST的恶意攻击,来判断是否还有异常。当然,不只是源码,公司从整个产品的全生命周期开始,包括流程的构建,下一代应用环境等等,进行了一系列的反编译操作,对整个应用和开发环境进行了全方位的审计。

  难怪SolarWind在事件发生后,依然受用户信赖。整个过程见证了SolarWind公司处理异常事件的当机立断,这种公开、透明的做事方法,让用户更加放心。同时,此次安全事件再次证明,SolarWind提供的产品和解决方案能够经受得住大型恶意病毒的检验,拥有让用户防患于未然的产品和服务能力。

文章来源于互联网:以设计确保安全,SolarWinds供应链攻击事件分析


知识来源: https://secvery.com/6789.html

阅读:13417 | 评论:0 | 标签:攻击 安全 分析

想收藏或者和大家分享这篇好文章→复制链接地址

“以设计确保安全,SolarWinds供应链攻击事件分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求打赏·赞助·支持💖

标签云

本页关键词