云计算>业界新闻

Cloud

从设计开始,让安全更进一步

作者:张琳   责任编辑:张琳 2021-07-02 20:59:59
来源:电脑商情在线关键字:SolarWinds

数字化的加速,在带来便捷的同时,相应的也增加了黑客攻击的范围和角度。近期,安全问题频发,信息安全问题再次被置于大众的目光之下,这也从另一个角度让我们清晰的了解到,网络信息安全问题无论是被动还是主动,从来不曾离开,而怎样重视信息安全,对于目前的企业和个人来讲都不为过。

以去年的一件事为例,2020年12月13日发生一起针对SolarWinds的基于供应链漏洞的网络攻击。此次攻击利用Orion Platform中的一处漏洞,植入了名为SUNBURST的恶意代码,给SolarWinds、相关技术合作伙伴和客户造成危害,其中受影响的客户数量接近100家。

SolarWinds是IT运营管理软件的领军企业,由于这次事件的引发,一度引起了专业人士对信息安全的担忧。为应对当时的紧急情况,SolarWinds通过与毕马威和CrowdStrike协作,采取了广泛的措施来调查、遏制、消除和补救网络事件。事实上,这也仅仅是SolarWinds在加强信息安全措施的第一步。 

SolarWinds首席信息安全官和兼安全副总裁Tim Brown表示,为了防止再次出现不可控的信息安全问题,SolarWinds将积极推动“以设计确保安全”这一目标,努力打响信息安全第一枪,为客户构筑更加安全的环境。

说到以设计确保安全,就不得不提到引发本次信息安全的罪魁祸首。SUNBURST是一个插入SolarWinds Orion平台的代码,作为一个恶意入侵代码,却有着十四左右天的潜伏期,在此之前并不执行任务,可以逃避杀毒软件的锁定,由此也给早期的发现制造了难度。

此外,与之相关的SUNSPOT,本质是一种Windows服务,在运行时会监控构建过程,当构建过程开始后,会将SUNBURST植入到代码中,然后随着编译、签名和分发的过程再传播出去,所以SUNBURST攻击源头并不是在源代码中,而是在供应链或者构建过程中。

为此,SolarWinds积极与安全厂商合作,并自动响应,帮助客户应对Orion平台可能发生的变化,通过升级与修复服务,降低本次安全事件对客户造成的影响。

正是基于以上认知,SolarWinds认为,更应该从设计开始,确保信息安全。“以设计确保安全”就是要将基础设施、软件开发和人员全部作为信息安全的纳管范围,从而更早杜绝信息安全漏洞。

通过对整个开发周期的介入,将极大的增加软件的安全韧性,可以依托更多的手段进行防御;基于基础设施,可以通过一些假设的攻击、虚拟的泄露,环境当中存在的行为和事件,提取判断、延缓系统攻击带来的后果;将工具、技巧和程序把整个网络安全的概念带到软件开发中,并执行相应的程序和流程,也有助于软件安全性的提升。 

所以,SolarWinds从以下几个方向入手。

首先,保障内部环境。通过和CrowdStrike合作,借助其服务器大大提高了整个基础设施、基础环境的可视化。通过对整个软件环境、运营环境的监测,从而判断人或者网络信息是否存在异常。此外,针对所有的用户重设了访问权限,并检查了整个用户服务系统的访问,通过实施多因素身份验证(MFA),尤其是对多层次的验证,保护硬件密钥、软件密钥等环境,进行更安全的身份验证工作。

其次,采取了一系列新的构建进程,包括检查过去两年中Orion的代码是否过期,是否有被攻击、植入等,并进行举证分析。另外,从源代码入手,进行编译与反编译操作,回溯源代码,对源代码进行审计,以确保其安全性。

最后,在软件安全和完整的基础上,对撤销代码及改动,进行数字签名证书派发,这将让SolarWinds客户具备多次安全验证的条件,从而杜绝非正常代码修改和植入。值得一提的是,SolarWinds将与更多的安全社区合作,帮助客户应对安全风险和漏洞,持续进行对内部与外部的渗透检测,在对源代码审计的基础上,加大对架构的评审。

SolarWinds认为,打造安全和高品质的产品,就需要秉承开放与透明的政策,从构建、测试、验证和第三方的介入进行检查,在这一过程中发现的一系列问题都力求透明和开放,将更多的调查结果分享给客户和整个IT行业。SolarWinds也愿意带头发动整个行业力量,将SolarWinds打造成安全的软件环境、开发流程和产品的榜样。

事实上,正是基于积极开放的心态,让SolarWinds能够转“危”为“机”,依然获得众多客户的信任。而追求“以设计确保安全”的理念,也让我们看到SolarWinds对信息安全绝不妥协的态度。

CBI 友情链接: 至顶网 |  腾讯科技 |  凤凰科技 |  商业伙伴 |  移动信息化 |  企业网 |  中国软件网 |  CIO时代网 |  更多>>

CBI集团介绍 |  联系我们 |  CBINEWS刊例 |  版权声明  

版权所有:电脑商情信息服务集团 北京三人行广告有限公司

地址:北京市海淀区西三环北路72号院世纪经贸大厦B座1709室联系电话:(010)62178877

商务、内容合作QQ:2291221 联系电话:13391790444 詹老师

ICP证:川B2-20070068-5 川预审H8VZ-RBP6-X228-T60Z号 北京市公安局海淀分局备案编号:1101083710

声明:本媒体部分图片、文章来源于网络,版权归原作者所有,我司致力于保护作者版权,如有侵权,请与我司联系删除