云计算>业界新闻
Cloud
从设计开始,让安全更进一步
数字化的加速,在带来便捷的同时,相应的也增加了黑客攻击的范围和角度。近期,安全问题频发,信息安全问题再次被置于大众的目光之下,这也从另一个角度让我们清晰的了解到,网络信息安全问题无论是被动还是主动,从来不曾离开,而怎样重视信息安全,对于目前的企业和个人来讲都不为过。
以去年的一件事为例,2020年12月13日发生一起针对SolarWinds的基于供应链漏洞的网络攻击。此次攻击利用Orion Platform中的一处漏洞,植入了名为SUNBURST的恶意代码,给SolarWinds、相关技术合作伙伴和客户造成危害,其中受影响的客户数量接近100家。
SolarWinds是IT运营管理软件的领军企业,由于这次事件的引发,一度引起了专业人士对信息安全的担忧。为应对当时的紧急情况,SolarWinds通过与毕马威和CrowdStrike协作,采取了广泛的措施来调查、遏制、消除和补救网络事件。事实上,这也仅仅是SolarWinds在加强信息安全措施的第一步。
SolarWinds首席信息安全官和兼安全副总裁Tim Brown表示,为了防止再次出现不可控的信息安全问题,SolarWinds将积极推动“以设计确保安全”这一目标,努力打响信息安全第一枪,为客户构筑更加安全的环境。
说到以设计确保安全,就不得不提到引发本次信息安全的罪魁祸首。SUNBURST是一个插入SolarWinds Orion平台的代码,作为一个恶意入侵代码,却有着十四左右天的潜伏期,在此之前并不执行任务,可以逃避杀毒软件的锁定,由此也给早期的发现制造了难度。
此外,与之相关的SUNSPOT,本质是一种Windows服务,在运行时会监控构建过程,当构建过程开始后,会将SUNBURST植入到代码中,然后随着编译、签名和分发的过程再传播出去,所以SUNBURST攻击源头并不是在源代码中,而是在供应链或者构建过程中。
为此,SolarWinds积极与安全厂商合作,并自动响应,帮助客户应对Orion平台可能发生的变化,通过升级与修复服务,降低本次安全事件对客户造成的影响。
正是基于以上认知,SolarWinds认为,更应该从设计开始,确保信息安全。“以设计确保安全”就是要将基础设施、软件开发和人员全部作为信息安全的纳管范围,从而更早杜绝信息安全漏洞。
通过对整个开发周期的介入,将极大的增加软件的安全韧性,可以依托更多的手段进行防御;基于基础设施,可以通过一些假设的攻击、虚拟的泄露,环境当中存在的行为和事件,提取判断、延缓系统攻击带来的后果;将工具、技巧和程序把整个网络安全的概念带到软件开发中,并执行相应的程序和流程,也有助于软件安全性的提升。
所以,SolarWinds从以下几个方向入手。
首先,保障内部环境。通过和CrowdStrike合作,借助其服务器大大提高了整个基础设施、基础环境的可视化。通过对整个软件环境、运营环境的监测,从而判断人或者网络信息是否存在异常。此外,针对所有的用户重设了访问权限,并检查了整个用户服务系统的访问,通过实施多因素身份验证(MFA),尤其是对多层次的验证,保护硬件密钥、软件密钥等环境,进行更安全的身份验证工作。
其次,采取了一系列新的构建进程,包括检查过去两年中Orion的代码是否过期,是否有被攻击、植入等,并进行举证分析。另外,从源代码入手,进行编译与反编译操作,回溯源代码,对源代码进行审计,以确保其安全性。
最后,在软件安全和完整的基础上,对撤销代码及改动,进行数字签名证书派发,这将让SolarWinds客户具备多次安全验证的条件,从而杜绝非正常代码修改和植入。值得一提的是,SolarWinds将与更多的安全社区合作,帮助客户应对安全风险和漏洞,持续进行对内部与外部的渗透检测,在对源代码审计的基础上,加大对架构的评审。
SolarWinds认为,打造安全和高品质的产品,就需要秉承开放与透明的政策,从构建、测试、验证和第三方的介入进行检查,在这一过程中发现的一系列问题都力求透明和开放,将更多的调查结果分享给客户和整个IT行业。SolarWinds也愿意带头发动整个行业力量,将SolarWinds打造成安全的软件环境、开发流程和产品的榜样。
事实上,正是基于积极开放的心态,让SolarWinds能够转“危”为“机”,依然获得众多客户的信任。而追求“以设计确保安全”的理念,也让我们看到SolarWinds对信息安全绝不妥协的态度。