據(jù)路透社和《華盛頓郵報》報道�����,SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼���,導(dǎo)致美國財政部��、商務(wù)部等多個政府機構(gòu)用戶受到長期入侵和監(jiān)視��。
黑客通過滲透開源項目��,向其中植入被黑組件��,以獲得相關(guān)數(shù)據(jù)資產(chǎn)����,軟件供應(yīng)鏈攻擊已經(jīng)成為黑客攻擊的重要突破口���。同類事件頻繁曝出:2013年的棱鏡門事件�����、2015年的XcodeGhost事件����、2017年的Xshell后門代碼����、2020年的SolarWinds供應(yīng)鏈攻擊事件等。此外���,據(jù)《2020軟件供應(yīng)鏈狀態(tài)》報告表明�����,此類“下一代”供應(yīng)鏈攻擊比往年暴增 430 %����。由此可見,供應(yīng)鏈攻擊已成為黑客“喜聞樂攻”的重要目標(biāo)�����。黑客何以對供應(yīng)鏈攻擊樂此不疲���?
知己知彼���,推斷攻擊成功原因
1.非法認證
通過在SolarWinds的產(chǎn)品中植入后門代碼,攻擊者可以跟隨產(chǎn)品更新進入到SolarWinds的大部分客戶網(wǎng)絡(luò)環(huán)境中�����。沒有身份認證的訪問請求被成功接收���,在訪問鏈路中隨意通行��。
2.認證簡單
由于攻擊者獲取的是正規(guī)廠商的證書并利用其對自身進行簽名����,這使得所有信任該證書的機構(gòu)都存在被入侵的風(fēng)險。而大部分系統(tǒng)僅具備單一的認證方式��,難以從多維度驗證用戶身份�����,通過身份驗證的用戶也依舊可信度不高����。
3.絕對信任
由于SolarWinds的令牌已經(jīng)被用戶所信任���,攻擊者可以偽造SolarWinds令牌�����,欺騙并繞過防護��,在目標(biāo)網(wǎng)絡(luò)環(huán)境中建立高權(quán)限賬戶����,等待時機,完成攻擊目標(biāo)����。而系統(tǒng)僅在登錄時做身份認證,沒有持續(xù)的驗證用戶身份��,追查用戶行為合理性����,對用戶行為異常監(jiān)測并及時響應(yīng)。4.越權(quán)訪問
攻擊者很可能已經(jīng)非法獲取了SolarWinds內(nèi)網(wǎng)高級權(quán)限��,創(chuàng)建了高權(quán)限賬戶���,維持了多個入口點����,而高權(quán)限賬戶的創(chuàng)建無相應(yīng)的審批流程��,難以及時發(fā)現(xiàn)���。
零信任方案如何應(yīng)對新型供應(yīng)鏈攻擊�����?
任子行智行零信任安全解決方案�����,核心基于SDP架構(gòu)�����,嚴格控制任何內(nèi)部或外部的網(wǎng)絡(luò)鏈接或信息請求���,通過全面完善的身份認證體系,多維度��、多因子�����、持續(xù)性驗證訪問用戶身份��,對合理用戶的合規(guī)訪問進行獨立的隧道建立��,實時監(jiān)測業(yè)務(wù)系統(tǒng)間API接口調(diào)用���,實現(xiàn)全方位����、多角度訪問控制,收斂攻擊暴露面����,降低攻擊成功概率。
任子行零信任方案架構(gòu)
1.身份生命周期管理��,及時發(fā)現(xiàn)未知賬號異常創(chuàng)建
方案以身份管理為基石����,為企業(yè)信息化建設(shè)提供唯一的用戶身份數(shù)據(jù),以及完整的賬戶生命周期管理����。支持多種賬戶數(shù)據(jù)源,如 AD����、LDAP、以及任何提供 SCIM 標(biāo)準(zhǔn) API 的應(yīng)用��,可快速導(dǎo)入企業(yè)既有賬戶體系�����。支持對賬戶的創(chuàng)建、變更����、停用、刪除等進行流程審批��,避免未知賬號的留存產(chǎn)生威脅風(fēng)險����。
2.身份持續(xù)多維驗證,嚴格控制合法用戶合規(guī)訪問
方案以持續(xù)多元認證評估��,通過生物特征�����、行為分析�����、地理位置�����、使用設(shè)備等多種方式驗證用戶身份�����。通過端口敲門技術(shù)��,僅允許合法客戶端的流量通過����,能夠防止黑客通過高危端口在內(nèi)網(wǎng)收集信息、利用漏洞���、發(fā)起攻擊����,從而起到核心資產(chǎn)隔離��、應(yīng)用保護的作用�����。全方位記錄所有用戶訪問中的行為日志和操作日志���,結(jié)合終端風(fēng)險監(jiān)測��,智能描繪用戶畫像��,識別異常訪問����,有效降低安全隱患。
3.數(shù)據(jù)調(diào)用流量監(jiān)測��,統(tǒng)一處理數(shù)據(jù)流轉(zhuǎn)防止濫用
通過終端的威脅檢測及安全響應(yīng)���、API接口的精細控制���,阻斷資產(chǎn)與資產(chǎn)之間的通道,資產(chǎn)內(nèi)部只允許合法的業(yè)務(wù)訪問請求進來��,從而防止病毒橫向移動及擴散�����。作為企業(yè)API調(diào)用的統(tǒng)一出口和權(quán)限認證中心����,實現(xiàn)數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)調(diào)用日志分析����,攔截非法調(diào)用請求����,智能預(yù)警���,及時發(fā)現(xiàn)故障并處理��。
4.聯(lián)防聯(lián)控即時響應(yīng)���,全面升級防守陣線應(yīng)對威脅
方案集成網(wǎng)絡(luò)安全威脅與事件管理平臺,內(nèi)置大數(shù)據(jù)存儲和多種深度分析引擎�����,融合基于ATT&CK攻擊鏈的12步法��,有效發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的失陷資產(chǎn)�����、安全事件攻擊和潛伏威脅等���,及時預(yù)警和響應(yīng)��。聯(lián)動響應(yīng)零信任安全大腦�����,對風(fēng)險評估高的訪問主體及時變更授權(quán)策略�����,有效減少風(fēng)險訪問��。
公安備案號:44030502000376