公司新聞
據(jù)路透社和《華盛頓郵報》報道,SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼,導(dǎo)致美國財政部、商務(wù)部等多個政府機構(gòu)用戶受到長期入侵和監(jiān)視。
黑客通過滲透開源項目,向其中植入被黑組件,以獲得相關(guān)數(shù)據(jù)資產(chǎn),軟件供應(yīng)鏈攻擊已經(jīng)成為黑客攻擊的重要突破口。同類事件頻繁曝出:2013年的棱鏡門事件、2015年的XcodeGhost事件、2017年的Xshell后門代碼、2020年的SolarWinds供應(yīng)鏈攻擊事件等。此外,據(jù)《2020軟件供應(yīng)鏈狀態(tài)》報告表明,此類“下一代”供應(yīng)鏈攻擊比往年暴增 430 %。由此可見,供應(yīng)鏈攻擊已成為黑客“喜聞樂攻”的重要目標。黑客何以對供應(yīng)鏈攻擊樂此不疲?
知己知彼,推斷攻擊成功原因
1.非法認證
通過在SolarWinds的產(chǎn)品中植入后門代碼,攻擊者可以跟隨產(chǎn)品更新進入到SolarWinds的大部分客戶網(wǎng)絡(luò)環(huán)境中。沒有身份認證的訪問請求被成功接收,在訪問鏈路中隨意通行。
2.認證簡單
由于攻擊者獲取的是正規(guī)廠商的證書并利用其對自身進行簽名,這使得所有信任該證書的機構(gòu)都存在被入侵的風險。而大部分系統(tǒng)僅具備單一的認證方式,難以從多維度驗證用戶身份,通過身份驗證的用戶也依舊可信度不高。
3.絕對信任
由于SolarWinds的令牌已經(jīng)被用戶所信任,攻擊者可以偽造SolarWinds令牌,欺騙并繞過防護,在目標網(wǎng)絡(luò)環(huán)境中建立高權(quán)限賬戶,等待時機,完成攻擊目標。而系統(tǒng)僅在登錄時做身份認證,沒有持續(xù)的驗證用戶身份,追查用戶行為合理性,對用戶行為異常監(jiān)測并及時響應(yīng)。4.越權(quán)訪問
攻擊者很可能已經(jīng)非法獲取了SolarWinds內(nèi)網(wǎng)高級權(quán)限,創(chuàng)建了高權(quán)限賬戶,維持了多個入口點,而高權(quán)限賬戶的創(chuàng)建無相應(yīng)的審批流程,難以及時發(fā)現(xiàn)。
零信任方案如何應(yīng)對新型供應(yīng)鏈攻擊?
任子行智行零信任安全解決方案,核心基于SDP架構(gòu),嚴格控制任何內(nèi)部或外部的網(wǎng)絡(luò)鏈接或信息請求,通過全面完善的身份認證體系,多維度、多因子、持續(xù)性驗證訪問用戶身份,對合理用戶的合規(guī)訪問進行獨立的隧道建立,實時監(jiān)測業(yè)務(wù)系統(tǒng)間API接口調(diào)用,實現(xiàn)全方位、多角度訪問控制,收斂攻擊暴露面,降低攻擊成功概率。
任子行零信任方案架構(gòu)
1.身份生命周期管理,及時發(fā)現(xiàn)未知賬號異常創(chuàng)建
方案以身份管理為基石,為企業(yè)信息化建設(shè)提供唯一的用戶身份數(shù)據(jù),以及完整的賬戶生命周期管理。支持多種賬戶數(shù)據(jù)源,如 AD、LDAP、以及任何提供 SCIM 標準 API 的應(yīng)用,可快速導(dǎo)入企業(yè)既有賬戶體系。支持對賬戶的創(chuàng)建、變更、停用、刪除等進行流程審批,避免未知賬號的留存產(chǎn)生威脅風險。
2.身份持續(xù)多維驗證,嚴格控制合法用戶合規(guī)訪問
方案以持續(xù)多元認證評估,通過生物特征、行為分析、地理位置、使用設(shè)備等多種方式驗證用戶身份。通過端口敲門技術(shù),僅允許合法客戶端的流量通過,能夠防止黑客通過高危端口在內(nèi)網(wǎng)收集信息、利用漏洞、發(fā)起攻擊,從而起到核心資產(chǎn)隔離、應(yīng)用保護的作用。全方位記錄所有用戶訪問中的行為日志和操作日志,結(jié)合終端風險監(jiān)測,智能描繪用戶畫像,識別異常訪問,有效降低安全隱患。
3.數(shù)據(jù)調(diào)用流量監(jiān)測,統(tǒng)一處理數(shù)據(jù)流轉(zhuǎn)防止濫用
通過終端的威脅檢測及安全響應(yīng)、API接口的精細控制,阻斷資產(chǎn)與資產(chǎn)之間的通道,資產(chǎn)內(nèi)部只允許合法的業(yè)務(wù)訪問請求進來,從而防止病毒橫向移動及擴散。作為企業(yè)API調(diào)用的統(tǒng)一出口和權(quán)限認證中心,實現(xiàn)數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)調(diào)用日志分析,攔截非法調(diào)用請求,智能預(yù)警,及時發(fā)現(xiàn)故障并處理。
4.聯(lián)防聯(lián)控即時響應(yīng),全面升級防守陣線應(yīng)對威脅
方案集成網(wǎng)絡(luò)安全威脅與事件管理平臺,內(nèi)置大數(shù)據(jù)存儲和多種深度分析引擎,融合基于ATT&CK攻擊鏈的12步法,有效發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的失陷資產(chǎn)、安全事件攻擊和潛伏威脅等,及時預(yù)警和響應(yīng)。聯(lián)動響應(yīng)零信任安全大腦,對風險評估高的訪問主體及時變更授權(quán)策略,有效減少風險訪問。