去年年底,一起针对SolarWinds的基于供应链漏洞的网络攻击,被业界认为是一次全球影响最广、最复杂的黑客攻击事件。
事件发生后,SolarWinds反应非常迅速,做了大量的工作来确保客户与合作伙伴的安全,并致力于通过推动“以设计确保安全”理念落地来确保未来客户系统安全。近日,SolarWinds举办沟通会回顾总结了此次事件,并就新理念与媒体进行了深入交流与说明。
SolarWinds安全事件回顾
据SolarWinds披露的官方资料显示,于2020年12月13日发生的这起针对SolarWinds的基于供应链漏洞的网络攻击,主要原因是攻击利用 Orion Platform 中的一处漏洞,植入了名为SUNBURST的恶意代码,从而给SolarWinds、相关技术合作伙伴和客户造成危害。目前来看,有1.8万家客户受到不同程度的影响,真正遭受影响的攻击目标客户数量约为100家。
SolarWinds首席信息安全官兼安全副总裁Tim Brown
“此次攻击水平非常高,且具有高度伪装性,它甚至可以直接绕过我们的网络命令和控制,而且带来的威胁源活动不是去攻击我们的源代码,而是主要攻击Orion当中的某些部分,特别是构建供应链。” SolarWinds首席信息安全官兼安全副总裁Tim Brown强调说。
事件发生后,SolarWinds除了向政府部门报案外,还邀请与毕马威和CrowdStrike加盟协作,采取了广泛的措施来调查、遏制、消除和补救此次网络安全事件。
期间,CrowdStrike对SolarWinds 环境进行了宏观分析,并部署了Falcon 技术和其他威胁追踪工具,持续监控可疑活动;毕马威取证小组进行了微观分析,对构建环境进行了深入检查,并进行了取证和分析,包括检查各种工件、历史防火墙日志、访问控制日志和SIEM事件。
除了SolarWinds做出响应外,最重要的就是帮助客户及时应对以确保所使用的Orion平台没有受到影响。“我们都及时地通知了受影响版本的Orion平台客户,并且开展了一个完全免费的Orion 协助计划,来帮助那些客户主动维护平台,包括为客户提供具体的指导和指南(很多客户使用的是本地部署平台和解决方案),从而帮助他们实现更合适的配置。” Tim Brown说。
目前,SolarWinds已基本完成此过程,并相信威胁行为者在环境中已不再活跃。
推进“以设计确保安全”理念落地
值得一提的是,事件发生后,SolarWinds正在积极推进“以设计确保安全(Secure by Design)”理念的落地,以保障未来客户系统的安全性。那么,何谓“以设计确保安全”?
Tim Brown解释说,“以设计确保安全”涉及基础设施、软件开发和人员三部分。其中,对于软件开发而言,需要特别强调的是在整个软件开发周期中要增强自身的韧性,以在面对攻击时能有足够的手段来抵御攻击;而站在人员的角度,应从工具、技巧和程序三方面入手,把网络安全的概念带到每天的工作和软件开发中去,同时开展一系列配套的程序和流程。
围绕“以设计确保安全”理念,SolarWinds从不同维度采取了系列行动:
一是保障内部环境。SolarWinds通过与CrowdStrike合作,借助其服务器大大提高了SolarWinds整个基础设施、基础环境的可视化,同时更好地实现了对整个软件环境、运营环境的监测,从而了解无论是人还是网络的信息是不是有任何异常。
二是针对所有用户重设了访问权限,并检查了整个用户服务系统的访问,同时实施了多因素身份的验证(MFA),尤其是对多层次的验证,针对具有高优先级的客户使用YubiKey软件,保护硬件密钥、软件密钥等环境,进行更安全的身份验证工作。
三是改善整体产品开发环境。由于攻击主要针对供应链,SolarWinds采取了一系列新构建进程;同时加速开发下一代的构建环境,不仅从源代码开始,也要重塑整个产品构建流程和进程。
四是确保软件的安全性和完整性。为此,SolarWinds采取了一系列的积极举措,包括对撤销代码使用新的数字代码签名证书,以支持受影响的产品;进行许多漏洞管理程序和项目,同时加强了与整个安全社区的合作和投入等。
SolarWinds仍是最受信赖的合作伙伴
事实上,此次安全事件发生后,用户仍然选择并继续使用SolarWinds的相关产品。谈及原因,Tim Brown表示,用户依然喜欢并信赖SolarWinds是因为我们经受住了安全事件的考验。
整体而言,原因可以概括为几个方面。
首先,SolarWinds特别强调在事件过程中要力求开放、透明,包括在构建、测试、验证和第三方介入等方面。期间发现的任何问题都希望做到透明、开放,这也给了大家很大的信心。
其次,SolarWinds在第三方参与下对基础设施进行了更安全的检查。通过端对端的审查,尤其是对源代码的仔细审查,大幅提高了SolarWinds的系统整体安全性,这对于防止未来发生风险具有很大好处。
此外,SolarWinds非常乐意与行业及其它利益相关方分享SUNSPOT的信息,在构建下一代流程方面做到更安全。同时,SolarWinds也将会与同行、社区、客户甚至软件供应商一起分享,以最终确保这些利益相关方在行业中有更好的韧性。
“从品牌影响和维护的角度来看,在整个过程中,SolarWinds给到客户全力的支持,因此客户认为这个品牌和产品是可以信任的。SolarWinds也将会在整个过程中尽职尽责地配合他们。由于事件的影响,SolarWinds有些客户对品牌的认知可能会有所不同,但我们在这次事件中所展现出的努力和应对的态度,会让我们的供应商以及客户相信,我们的品牌依然是强有力的,未来也依然是有价值的合作伙伴。“Tim Brown强调说。