从供应链漏洞网络攻击看SolarWinds“以设计确保安全”化解危机 原创

2020年12月13日发生一起针对SolarWinds的基于供应链漏洞的网络攻击。此次攻击利用Orion Platform中的一处漏洞，植入了名为SUNBURST的恶意代码，给SolarWinds、相关技术合作伙伴和客户造成危害，其中实际受影响的客户数量接近100家。

SolarWinds首席信息安全官兼安全副总裁Tim Brown告诉记者，这样插入的恶意代码非常特别，其具有十四天左右的潜伏期，具有高度伪装性，可以逃避很多杀毒软件，进而可以开展一系列后续混合型攻击。

在后面的处理过程中，SolarWinds聘请了多个领先的网络安全专家来协助完成这一目标，并将长期向客户、合作伙伴和公众公布新的安全性增强措施。SolarWinds与毕马威和CrowdStrike协作，采取了广泛的措施来调查、遏制、消除和补救网络事件。

在整个过程中，SolarWinds一直强调透明度、与合作伙伴的合作以及在收集和验证信息时分享公司调查到的信息。

“软件行业有共同开发的惯例，SolarWinds相信透明与合作是帮助行业共同防范攻击的最好办法，也希望能分享攻击调查的结果来帮助客户和整个IT行业。”Tim说。

CrowdStrike对SolarWinds 环境进行了宏观分析，并部署了Falcon技术和其他威胁追踪工具，持续监控可疑活动。毕马威取证小组进行了微观分析，对构建环境进行了深入检查，并进行了取证和分析，包括检查各种工件、历史防火墙日志、访问控制日志和SIEM事件。目前，SolarWinds已基本完成此过程，并相信威胁行为者在环境中已不再活跃。

“除了我们自己做出响应外，最重要的就是SolarWinds如何帮助客户及时应对并确保他们的Orion平台是安全的。我们及时地通知了受影响版本的Orion平台的客户，并且开展了一个完全免费的Orion 协助计划，帮助客户主动维护平台安全，包括给到客户具体的指导和指南（因为很多客户使用的是本地部署的平台和解决方案），从而帮助他们实现更合适的配置。”Tim说。

从品牌影响和维护的角度来看，在整个过程中，SolarWinds给到客户全力的支持，在整个过程中尽职尽责地配合他们。SolarWinds在这次事件中所展现出的努力和应对的态度，让客户对于SolarWinds品牌和产品给予了充分信任。

以设计确保安全

针对此次安全事件，SolarWinds积极与行业专家合作实施增强的安全实践，以确保公司产品和环境不再受到各种攻击。SolarWinds提出“以设计确保安全”（Secure by Design）的理念，涉及基础设施、软件开发和人员三个方面。

具体而言，在基础设施层面，通过模拟攻击等行为和事件，思考如何面对、减缓甚至消除对整个系统攻击带来的后果；对于整个软件开发而言，我们需要确保整个软件开发周期的韧性，面对攻击的时候要有各种各样的手段进行抵御；站在人员的角度，从工具、技巧和程序把整个网络安全的概念带到每天的工作和软件开发当中，并且开展一系列配套的程序和流程。

围绕“以设计确保安全”，SolarWinds在三个不同的领域采取了多项行动：首先是保障内部环境，通过和CrowdStrike合作，大大提高了整个基础设施、基础环境的可视化。SolarWinds更好地实现了对整个软件环境、运营环境的监测，从而了解无论是人还是网络的信息是不是存在任何异常。SolarWinds也针对所有的用户重设了访问权限，并检查了整个用户服务系统的访问。此外，SolarWinds实施了多因素身份的验证（MFA），尤其是对多层次的验证，针对具有高优先级的客户使用YubiKey软件，保护硬件密钥、软件密钥等环境，进行更安全的身份验证工作，并和更多专业的合作机构在内部开展了一系列审计活动。

因为攻击是针对供应链，所以SolarWinds重新设计自动构建过程，包括检查过去两年Orion当中的代码以及其它需要检查的内容是不是过期，中间是不是有被攻击、被植入、被更改，包括不断地进行举证，以确保SolarWinds产品代码的安全性和完整性。

SolarWinds不光从源代码开始，而是对整个产品构建流程和进程，以及环境和源代码持续不断地进行综合审计。同时，SolarWinds与CrowdStrike、微软、SecurityWorks、Rapid7等众多合作伙伴一起实现多层安全性的合作。

“SolarWinds致力于成为提供功能强大、价格适中且安全的解决方案的一流供应商，在IT管理网络方面有着完整的解决方案。SolarWinds愿意带头发动整个行业力量，将SolarWinds打造成安全软件环境、开发流程和产品的榜样。”Tim最后说。