从设计开始，让安全更进一步

数字化的加速，在带来便捷的同时，相应的也增加了黑客攻击的范围和角度。近期，安全问题频发，信息安全问题再次被置于大众的目光之下，这也从另一个角度让我们清晰的了解到，网络信息安全问题无论是被动还是主动，从来不曾离开，而怎样重视信息安全，对于目前的企业和个人来讲都不为过。

以去年的一件事为例，2020年12月13日发生一起针对SolarWinds的基于供应链漏洞的网络攻击。此次攻击利用Orion Platform中的一处漏洞，植入了名为SUNBURST的恶意代码，给SolarWinds、相关技术合作伙伴和客户造成危害，其中受影响的客户数量接近100家。

SolarWinds是IT运营管理软件的领军企业，由于这次事件的引发，一度引起了专业人士对信息安全的担忧。为应对当时的紧急情况，SolarWinds通过与毕马威和CrowdStrike协作，采取了广泛的措施来调查、遏制、消除和补救网络事件。事实上，这也仅仅是SolarWinds在加强信息安全措施的第一步。 

SolarWinds首席信息安全官和兼安全副总裁Tim Brown表示，为了防止再次出现不可控的信息安全问题，SolarWinds将积极推动“以设计确保安全”这一目标，努力打响信息安全第一枪，为客户构筑更加安全的环境。

说到以设计确保安全，就不得不提到引发本次信息安全的罪魁祸首。SUNBURST是一个插入SolarWinds Orion平台的代码，作为一个恶意入侵代码，却有着十四左右天的潜伏期，在此之前并不执行任务，可以逃避杀毒软件的锁定，由此也给早期的发现制造了难度。

此外，与之相关的SUNSPOT，本质是一种Windows服务，在运行时会监控构建过程，当构建过程开始后，会将SUNBURST植入到代码中，然后随着编译、签名和分发的过程再传播出去，所以SUNBURST攻击源头并不是在源代码中，而是在供应链或者构建过程中。

为此，SolarWinds积极与安全厂商合作，并自动响应，帮助客户应对Orion平台可能发生的变化，通过升级与修复服务，降低本次安全事件对客户造成的影响。

正是基于以上认知，SolarWinds认为，更应该从设计开始，确保信息安全。“以设计确保安全”就是要将基础设施、软件开发和人员全部作为信息安全的纳管范围，从而更早杜绝信息安全漏洞。

通过对整个开发周期的介入，将极大的增加软件的安全韧性，可以依托更多的手段进行防御；基于基础设施，可以通过一些假设的攻击、虚拟的泄露，环境当中存在的行为和事件，提取判断、延缓系统攻击带来的后果；将工具、技巧和程序把整个网络安全的概念带到软件开发中，并执行相应的程序和流程，也有助于软件安全性的提升。 

所以，SolarWinds从以下几个方向入手。

首先，保障内部环境。通过和CrowdStrike合作，借助其服务器大大提高了整个基础设施、基础环境的可视化。通过对整个软件环境、运营环境的监测，从而判断人或者网络信息是否存在异常。此外，针对所有的用户重设了访问权限，并检查了整个用户服务系统的访问，通过实施多因素身份验证（MFA），尤其是对多层次的验证，保护硬件密钥、软件密钥等环境，进行更安全的身份验证工作。

其次，采取了一系列新的构建进程，包括检查过去两年中Orion的代码是否过期，是否有被攻击、植入等，并进行举证分析。另外，从源代码入手，进行编译与反编译操作，回溯源代码，对源代码进行审计，以确保其安全性。

最后，在软件安全和完整的基础上，对撤销代码及改动，进行数字签名证书派发，这将让SolarWinds客户具备多次安全验证的条件，从而杜绝非正常代码修改和植入。值得一提的是，SolarWinds将与更多的安全社区合作，帮助客户应对安全风险和漏洞，持续进行对内部与外部的渗透检测，在对源代码审计的基础上，加大对架构的评审。

SolarWinds认为，打造安全和高品质的产品，就需要秉承开放与透明的政策，从构建、测试、验证和第三方的介入进行检查，在这一过程中发现的一系列问题都力求透明和开放，将更多的调查结果分享给客户和整个IT行业。SolarWinds也愿意带头发动整个行业力量，将SolarWinds打造成安全的软件环境、开发流程和产品的榜样。

事实上，正是基于积极开放的心态，让SolarWinds能够转“危”为“机”，依然获得众多客户的信任。而追求“以设计确保安全”的理念，也让我们看到SolarWinds对信息安全绝不妥协的态度。