Solarwinds讲话,软件Dev可以再次相同

2021-03-30 04:10:51

Solarwinds攻击以及其所有的后果,已经成为了几个月的新闻标题。 Tim Brown,该公司的CISO和安全副总裁专门向ITWIRE讲话,阐述了真正发生的事情 - 以及没有发生的事情。它也是一种令人兴趣的呼吁软件开发实践如何再次相同。

对Solarwinds的攻击,其中一个复杂的攻击者修改了该公司的工具来注入该代码,然后在主要技术公司和美国政府部门对此进行深远的影响。

虽然已经报告的许多人已经是事实,但公司国家的猜测和错误信息也在网上报道。例如,带有密码'Solarwinds123'的单独和不相关的不安全的FTP服务器也来到了光线。虽然公司承认这是真实的,但国家不应该发生,但这个问题与攻击无关,它持有没有猎户座代码,它不是公司域名的一部分(因此不受复杂的密码策略的一部分)并在它发现的时间内关闭。

此外,一些报告将Solarwinds攻击者与Solarwinds攻击者混为一谈。同样的攻击者试图妥协其他组织 - 来自Microsoft的证词,并指出60个具有类似体验的客户。事实上,30%的受影响的组织根本不是Solarwinds客户。将这些组织分开是非常重要的,这些组织被同一实体和受到污染的太阳能码代码的影响的组织。

Tim Brown,Solarwinds首席信息安全官员和安全副总裁兼有一对一的ITWire,提供了事件的第一手叙述,SolarWinds的行动已经采取并继续走向更安全的未来,随着焦点保护客户,与行业和政府实体合作,调查和应对攻击。

布朗监督内部IT安全,产品安全性和安全策略。他以前曾担任前戴尔研究官和首席技术官,拥有超过20年的发展和实施安全技术的经验。他是克莱姆森大学咨询委员会的成员,拥有18项关于安全相关主题的颁发专利,是白宫的可值得信赖的顾问。

作为背景信息,“森伯斯特”是安全界向黑客提供的名称。它使用供应链攻击将恶意代码插入Solarwinds的orion平台,创建一个后门,恶意人士可以进入运行Solarwind的Orion软件的组织内部环境。

虽然恶意攻击每天都会通过网络钓鱼,恶意软件和其他方式发生,但这种森伯斯特攻击是武器化软件在如此戏剧性和极其精致,协调的方式的武器攻击尤其令人震惊。这意味着软件开发实践必须发生变化;这真的是一个拐点。

2020年12月12日,通知Solarwinds它在其产品中发货了污染的代码。 “人们的问题我们之前知道,”布朗说。 “绝对不。 12月12日我们震惊和令人沮丧。“

警告来自于在自己的网络内看到的Fireeye尝试与命令和控制中心进行通信。他们深入了解他们的环境,看到了交通来自的地方并使发现它是Solarwinds产品。

内部调查立即开始。那个日期是星期六,但一个关键的反应团队周日进入办公室,并没有离开三个星期。 Solarwinds带来了Crowdstrike以进行彻底的调查,检查每个工作站和服务器以妥协的迹象,如果威胁演员仍然存在。

“没有迹象表现出威胁演员,也没有任何他们向任何其他产品移动的迹象,”布朗说。

“动机是具体的;攻击是插入代码,让我们发货那个代码,并能够在一定的公司和实体的某个子集中激活该代码,“布朗说,该公司有一系列来源的证据,包括研究界的一系列来源在其执行中的每个环境中未激活代码。

"它很重要,了解代码所做的,"布朗说。 "森伯斯特代码必须首先向互联网进行激活。它试图到达控件和命令服务器,然后在Windows Server托管Orion上发出命令,然后侧面。在代码中有智能,因此它只会在某些地方运行。它不会在Microsoft拥有的SolarWinds域或某些地址空间中运行。代码是尝试和横向移动的入口点。“

森伯斯特代码“尝试了一些事情,如果它可以谈论它识别域名,请联系控制和指挥中心,说'我来自公司XYZ',”布朗说。 “对于大多数公司来说,除非是攻击者想要瞄准的人,否则它没有做任何事情。”

袭击是复杂的,这么多,所以“微软表示他们认为一千人在袭击团后面,因为复杂程度,”布朗建议。

“代码在它试图逃避事物的方式中是独一无二的,并且它将运行而不运行。它插入了代码,但没有武装,直到时间过期。这是聪明,病人和规范性的,在我们的后端环境中噪音非常小,“布朗说。

具体而言,森伯斯特代码未注入ORION源代码本身,而是通过名为SUNSPOT的恶意软件注入构建环境,以便在Solarwinds构建环境中执行此次交换的恶意软件。 “我们检查源代码控件的代码,具有启动构建的队长环境,攻击者寻找orion建造并交换文件。这是一个瞬态虚拟机,这很难被发现,“他说。

SolarWinds自信地没有损害其他组件或代码。 “绝对没有,”布朗说。 “攻击是执行特定功能的特定组件。我们查看了源代码,控件,控制系统,以及涉及kpmg等。我们没有看到源代码环境的任何污染。插入发生的点是特异性的。这是一个非常尖锐的,有针对性的攻击,使命是在特定产品中的污染代码并脱颖而出。我们与Crowdstrike的仪器看过这些地区以外的横向运动,并支持使命是极其目标的。

问题仍然存在,谁是谁? "我们'重复在这种调查水平的业务中,“布朗说。 “许多其他各方归功于俄罗斯,这是美国政府现在指向手指的人。”

这种国家攻击的断言是基于对所用模型的仔细分析,以及攻击最终的攻击如何没有造成伤害,而且收集信息。这不是赎金书,说,攻击,而是对特定实体的信息进行了隐秘的信息。 “潜在的,这是一个踏脚石,潜在的,”布朗说。

“我们知道构建系统受到损害,并通过服务账户插入森伯斯特,通过新泽西州的入口点访问,”布朗说。

SolarWind对服务账户的调查 - “患者零” - 变得损害,揭示了三种不同的模型。一个脆弱的组件正在运行;高度有针对性的矛网络钓鱼试图导致账户妥协;和一个更广泛的喷漆活动旨在某个个人,最终通过电子邮件发生妥协。

微软的证词报告他们在其电子邮件系统中以其相同的妥协了解了60名客户,同一攻击者使用过电子邮件进行侦察。

报告的“SolarWinds123”密码与攻击无关。 “它是一个单独的用户名和密码的系统,与Active Directory无关 - 这就是为什么它不符合我们的密码策略,”布朗表示。 “这是一个单独的FTP网站,与森伯斯特无关。它确实发生了,有人在他们自己的Github账户中发布了一个用户名和密码,这是一名研究员报告,我们看到了,修复了它,使其在控制下,并确保它不会再发生。“

“它与构建系统或服务帐户完全分开。它发生了,我们在报告的同一个小时内修复了它。他解释说,这是政策之外的一个系统,与企业身份系统无关。

威胁演员是隐身,Solarwinds已经通过放置更大的保障措施来回应 - 您通常认为任何软件公司应该需要做的事情,但这已成为森伯德后期的现实。在这里,所有组织都需要考虑自己的安全姿势。

例如,SolarWinds现在进行双向构建。该代码从源代码控制中拉出,构建,哈希,然后对原始进行了反编译并将其与原件进行了比较,以确保船舶是编码的,而不是或多或少的内容。

“我们试图帮助人们了解这一点并发布新的构建方法以及如何进行安全构建,以帮助社区对此威胁演员进行适当的保障措施,”布朗说。

“是的,它确实发生在我们身上,”他说。然而,Solarwinds已经过于另一边,并且致力于帮助全球软件开发社区从其经验中吸取教训。 “我们希望成为我们可以成为最好的软件公司,并将其他人与我们一起提高,更好,”布朗说。

重要的是,Time Technity行业的时间"零信任"在自己的环境中严重。 “从开发人员运行标准系统的日子已经过去了,”布朗说。 “我们必须从开发人员中删除灵活性。你需要真正实施一个零信任模型,并说我们不会相信任何人。“

然而,您如何在您不信任任何人的环境中实施和测试?本作者从自己的公司经验中了解了软件开发人员具有root访问权限的公司,其中系统管理员重用密码,其中键系统具有默认管理员凭据,管理员没有单独的登录。所有这些事情都很糟糕,所知,所有这些事情都不糟糕。任何技术团队都将承认,“是的,我们需要更好地完成”但灵活性和安全始终处于紧张状态。使密码策略太宽松,用户帐户会受到损害;让它太困难,人们在纸上写下密码并将它们贴在其显示器上。同样,为开发人员提供给系统管理员访问权限,它们可以轻松部署软件,但如果它们遭到妥协,那么这些系统也是如此。另一方面,不要给开发人员管理员访问和烧得昂贵的时间等待基础设施的帮助。

“这很难,它并不自然,”布朗说。 “但这是我们要去的地方。”

“对我来说,我插入坏代码,然后测试我们在整个构建链期间检测到错误代码。森伯斯特发生在链条的尽头;下一个攻击可能在任何地方,“他说。

"您必须做更多的代码评论,保护您的钥匙,做像我们的双层模型这样的事情,确保它需要勾结以插入坏代码,没有一方可以做到这一点,“布朗说。

SolarWinds的经验是对各地的软件开发人员进行三重检查其链的唤醒呼叫,并在每个组件周围放置控制。

最终,布朗说,“我们将到达我们比大多数人更具弹性的观点。由于经历了这一点,它允许我们进行三个月的检查。我的环境高于现在,毫无疑问。已经设置了一个酒吧,我们需要增加该栏。“

“这对该行业来说是一个叫醒的电话,”他说。 “课程和书籍将是因为这个而写的。这是软件行业的拐点,因为它发生了,它发生了。理论上没有发生。“

“我们都学到了,并将被客户询问很多难题。我们认为,我们拥抱这些问题,并成为我们的检查,改变和开放,因为我们所说的所有检查,“他说。

供应链攻击的概念并不是新的,但"在实践中,它实际上发生在这种规模中,是什么转变,“布朗说。 “它可能发生,每个人都必须以不同的方式工作。必须有保障,更开放,将有规定,更有思考和检查。这将是一些东西的拐点,这些都会有助于我们所有人都是有弹性的。“

"如果一千人的国家是在你之后,他们会找到一种方法,"布朗说。 “动机极高,他们所使用的实践和隐身的数量非常高,研究公司将这种威胁演员等同于他们所看到的最复杂的威胁。”

"我们' ve承诺不信任环境的全面转变,对环境零信任。对于我们的环境来说,这将是多大的,更困难。他说,它不会依赖于单一工具或单人的人。“

“客户热爱我们的产品,我们的责任现在是给客户和他们的领导团队对前进的信心,”布朗说。 “它来自开放性和透明度,解释了我们采取的行动。我们要求的只是他们以同样的方式衡量我们的竞争对手,并要求对我们的所有人询问同样的东西并将酒吧设置为行业中的每个人。“

"我们的方法是拥有这一点,并说这发生在我们身上并对它负责,“布朗说。 “并且展示了我们正在做正确的事情来源的世界。我们正在分享我们学会成为一个开放和示例性软件提供商的课程。我们生产强大的代码,不仅仅是简单而强大,实惠,而且安全。“

"我们会因为发生的事情而出现这种更强大,我们将帮助世界同时更好,“布朗说。

订阅ITWire更新通讯在这里,已久的Itwire商店现在对读者开放。参观Itwire Shop,是时尚配饰,装备齿轮和amp的主要目的地;小工具,生活方式和日常便携式办公要点,无人机,智能手机,软件和在线培训的变焦镜头。加大品牌包括:Apple,Lenovo,LG,三星,Sennheiser等等。可用于任何国家的产品。我们希望您在众多预期的ITWire商店中享受并找到价值。

ITWire电视通过提供一系列视频访谈,新闻,意见和评论,为技术领域提供独特的价值,并为供应商提供了推广您的公司和您的营销信息的机会。 我们与您合作,以安全和协作方式开发留言并进行面试或产品审查。与其他Tech YouTube频道不同,我们在您的消息周围创建一个故事,并在ITWire的主页上发布,链接到您的留言。此外,您的采访后邮件可以在我们的ITWire.com网站上显示最多7个不同的帖子,以驱动流量和读者到视频内容和下载。这可能是您业务的重要领导机会。 如果您需要,我们还提供了一个录制/坐的3个视频,以便您有一系列视频来推广您的客户。您的销售团队可以将您的电子邮件添加到销售抵押品以及其销售和营销电子邮件的页脚。 查看最新的技术新闻,查看,访谈,评论,产品宣传和活动。加上读者和客户的有趣视频。