2020年12月13日发生一起针对SolarWinds的基于供应链漏洞的网络攻击。此次攻击利用Orion Platform中的一处漏洞,植入了名为SUNBURST的恶意代码,给SolarWinds、相关技术合作伙伴和客户造成危害,其中实际受影响的客户数量接近100家。
SolarWinds首席信息安全官兼安全副总裁Tim Brown告诉记者,这样插入的恶意代码非常特别,其具有十四天左右的潜伏期,具有高度伪装性,可以逃避很多杀毒软件,进而可以开展一系列后续混合型攻击。
在后面的处理过程中,SolarWinds聘请了多个领先的网络安全专家来协助完成这一目标,并将长期向客户、合作伙伴和公众公布新的安全性增强措施。SolarWinds与毕马威和CrowdStrike协作,采取了广泛的措施来调查、遏制、消除和补救网络事件。
在整个过程中,SolarWinds一直强调透明度、与合作伙伴的合作以及在收集和验证信息时分享公司调查到的信息。
“软件行业有共同开发的惯例,SolarWinds相信透明与合作是帮助行业共同防范攻击的最好办法,也希望能分享攻击调查的结果来帮助客户和整个IT行业。”Tim说。
CrowdStrike对SolarWinds 环境进行了宏观分析,并部署了Falcon技术和其他威胁追踪工具,持续监控可疑活动。毕马威取证小组进行了微观分析,对构建环境进行了深入检查,并进行了取证和分析,包括检查各种工件、历史防火墙日志、访问控制日志和SIEM事件。目前,SolarWinds已基本完成此过程,并相信威胁行为者在环境中已不再活跃。
“除了我们自己做出响应外,最重要的就是SolarWinds如何帮助客户及时应对并确保他们的Orion平台是安全的。我们及时地通知了受影响版本的Orion平台的客户,并且开展了一个完全免费的Orion 协助计划,帮助客户主动维护平台安全,包括给到客户具体的指导和指南(因为很多客户使用的是本地部署的平台和解决方案),从而帮助他们实现更合适的配置。”Tim说。
从品牌影响和维护的角度来看,在整个过程中,SolarWinds给到客户全力的支持,在整个过程中尽职尽责地配合他们。SolarWinds在这次事件中所展现出的努力和应对的态度,让客户对于SolarWinds品牌和产品给予了充分信任。
以设计确保安全
针对此次安全事件,SolarWinds积极与行业专家合作实施增强的安全实践,以确保公司产品和环境不再受到各种攻击。SolarWinds提出“以设计确保安全”(Secure by Design)的理念,涉及基础设施、软件开发和人员三个方面。
具体而言,在基础设施层面,通过模拟攻击等行为和事件,思考如何面对、减缓甚至消除对整个系统攻击带来的后果;对于整个软件开发而言,我们需要确保整个软件开发周期的韧性,面对攻击的时候要有各种各样的手段进行抵御;站在人员的角度,从工具、技巧和程序把整个网络安全的概念带到每天的工作和软件开发当中,并且开展一系列配套的程序和流程。
围绕“以设计确保安全”,SolarWinds在三个不同的领域采取了多项行动:首先是保障内部环境,通过和CrowdStrike合作,大大提高了整个基础设施、基础环境的可视化。SolarWinds更好地实现了对整个软件环境、运营环境的监测,从而了解无论是人还是网络的信息是不是存在任何异常。SolarWinds也针对所有的用户重设了访问权限,并检查了整个用户服务系统的访问。此外,SolarWinds实施了多因素身份的验证(MFA),尤其是对多层次的验证,针对具有高优先级的客户使用YubiKey软件,保护硬件密钥、软件密钥等环境,进行更安全的身份验证工作,并和更多专业的合作机构在内部开展了一系列审计活动。
因为攻击是针对供应链,所以SolarWinds重新设计自动构建过程,包括检查过去两年Orion当中的代码以及其它需要检查的内容是不是过期,中间是不是有被攻击、被植入、被更改,包括不断地进行举证,以确保SolarWinds产品代码的安全性和完整性。
SolarWinds不光从源代码开始,而是对整个产品构建流程和进程,以及环境和源代码持续不断地进行综合审计。同时,SolarWinds与CrowdStrike、微软、SecurityWorks、Rapid7等众多合作伙伴一起实现多层安全性的合作。
“SolarWinds致力于成为提供功能强大、价格适中且安全的解决方案的一流供应商,在IT管理网络方面有着完整的解决方案。SolarWinds愿意带头发动整个行业力量,将SolarWinds打造成安全软件环境、开发流程和产品的榜样。”Tim最后说。
(至顶网)