以设计确保安全，SolarWinds供应链攻击事件分析-网络安全专区

以设计确保安全，SolarWinds供应链攻击事件分析

作者：李代丽编辑：李代丽 2021-07-05 16:37 IT168网站原创

　　尽管2021年已过了大半，但如果把时间拨回到2020年12月份，相信很多人对那次SolarWinds供应链攻击事件依然记忆深刻。

　　2020年12月12日，一起重大网络安全事件震惊整个IT业界，SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵，攻击者利用Orion Platform 中的一处漏洞，植入了名为SUNBURST的恶意代码，实际受影响的客户数量接近100家，这也是一次典型的基于供应链漏洞的网络攻击。

　　高水平的恶意攻击

　　那么，什么是SUNBURST？SolarWinds在当时采取了哪些紧急措施？公司是如何以设计确保安全的？前不久，SolarWinds首席信息安全官兼安全副总裁Tim Brown，对整个事件进行了重点分析。

　　“SUNBURST是一个比较特别的恶意代码，有十四天左右的潜伏期，可以避开很多杀毒软件，并且不是在SolarWinds的环境下操作，而是选择在客户的环境下执行。”Tim Brown介绍道，虽然有1.8万家客户安装了受到病毒感染的软件版本，但其实真正受到影响的客户大约是100家。

　　▲SolarWinds首席信息安全官兼安全副总裁Tim Brown

　　黑客借助SUNSPOT工具，将SUNBURST恶意代码插入到SolarWinds Orion平台。SUNSPOT类似于Windows服务，程序在运行的时候，能监控全过程，当用户开始构建自己的应用时，SUNSPOT就会把SUNBURST植入到代码中，然后随着编译、签名和分发的过程传播出去，所以SUNBURST并不是在源代码中，而是在供应链或者构建过程中。换言之，这是一种高水平的恶意攻击，整个过程具有高度伪装性，可以绕过网络命令和控制，直接去攻击供应链的某个特定的点，或者整个供应链。

　　全面调查和补救

　　事故发生那天，刚好是周六，SolarWinds被通知遭遇SUNBURST攻击。事后，公司立即告知所有股东和客户，并且发布了修复程序。12月17日，美国国土安全部计算机紧急事务响应小组发布技术警报公告，进一步明确要采取的一系列方法以及相关的注意事项。从2021年1月11日起，SolarWinds开始正式发布与SUNSPOT有关的新发现。到了5月7日，整个调查基本完成，并且更新发布最新版本解决方案。目前，SolarWinds已发布2019.4.2和2020.2.4两个Orion更新版本，以避免用户遭遇SUNBURST的侵害。

　　期间，SolarWinds与联邦调查局(FBI)和网络安全与基础设施安全局(CISA)进行接洽，开展了最广泛的调查。另外，公司还最大化借助外围力量来解决问题，包括邀请了网安公司CrowdStrike、毕马威的加入，有效遏制、消除和补救网络事件。CrowdStrike主要对SolarWinds 环境进行了宏观分析，并部署了Falcon 技术和其他威胁追踪工具，持续监控可疑活动。毕马威取证小组进行了微观分析，对构建环境进行了深入检查，并进行了取证和分析，包括检查各种工件、历史防火墙日志、访问控制日志和SIEM事件。

　　除了上述补救措施，SolarWind在整个公司内部发起了一个完全免费的Orion 协助计划，即对于受到影响的客户要进行免费升级，主动帮助客户维护平台。

　　以设计确保安全

　　总结下来，SolarWind能够平稳度过此次危机，和“以设计确保安全”的产品理念有关。众所周知，安全隐患无所不在，它涉及到企业IT环境的方方面面，包括基础设施安全、软件开发安全和人员安全等等。对于软件开发而言，企业需从整个生命周期维度来增强防护，一旦遭遇攻击，要有相应的解决方案。同样，在基础设施层面也一样，要让以设计确保安全的理念贯穿整个IT构建的始终，比如：通过假设的攻击、虚拟的泄露确保IT基础环境的安全性。另外，从人员安全的角度来看，我们要通过工具、技巧和程序，把网络安全意识植入到每天工作和开发环境中，并且要有具体的配套措施和流程。

　　为了继续深化“以设计确保安全”的产品理念，SolarWind公司和CrowdStrike进行合作，在服务器层面提高了基础设施的可视化。同时，为了实现对整个软件和运营环境的监测，SolarWind对所有的用户重设了访问权限，实施了多因素身份的验证（MFA），针对具有高优先级的客户要使用YubiKey软件，以确保硬件密钥、软件密钥等不同环境的安全性。

　　除了内部环境的防护，在整个供应链环境也进行了改善和优化。比如：检查了过去两年Orion当中的代码，以及更多内容是不是过期，中间是不是有被攻击和植入过，包括不断地进行举证分析，通过插入带有SUNBURST的恶意攻击，来判断是否还有异常。当然，不只是源码，公司从整个产品的全生命周期开始，包括流程的构建，下一代应用环境等等，进行了一系列的反编译操作，对整个应用和开发环境进行了全方位的审计。

　　难怪SolarWind在事件发生后，依然受用户信赖。整个过程见证了SolarWind公司处理异常事件的当机立断，这种公开、透明的做事方法，让用户更加放心。同时，此次安全事件再次证明，SolarWind提供的产品和解决方案能够经受得住大型恶意病毒的检验，拥有让用户防患于未然的产品和服务能力。

关注我们