據(jù)路透社和《華盛頓郵報(bào)》報(bào)道,SolarWinds旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件更新服務(wù)器遭黑客入侵并植入惡意代碼�����,導(dǎo)致美國(guó)財(cái)政部�����、商務(wù)部等多個(gè)政府機(jī)構(gòu)用戶(hù)受到長(zhǎng)期入侵和監(jiān)視�。
黑客通過(guò)滲透開(kāi)源項(xiàng)目,向其中植入被黑組件��,以獲得相關(guān)數(shù)據(jù)資產(chǎn)��,軟件供應(yīng)鏈攻擊已經(jīng)成為黑客攻擊的重要突破口��。同類(lèi)事件頻繁曝出:2013年的棱鏡門(mén)事件�����、2015年的XcodeGhost事件��、2017年的Xshell后門(mén)代碼、2020年的SolarWinds供應(yīng)鏈攻擊事件等�。此外,據(jù)《2020軟件供應(yīng)鏈狀態(tài)》報(bào)告表明��,此類(lèi)“下一代”供應(yīng)鏈攻擊比往年暴增 430 %�。由此可見(jiàn)�����,供應(yīng)鏈攻擊已成為黑客“喜聞樂(lè)攻”的重要目標(biāo)��。黑客何以對(duì)供應(yīng)鏈攻擊樂(lè)此不疲��?
知己知彼�,推斷攻擊成功原因
1.非法認(rèn)證
通過(guò)在SolarWinds的產(chǎn)品中植入后門(mén)代碼,攻擊者可以跟隨產(chǎn)品更新進(jìn)入到SolarWinds的大部分客戶(hù)網(wǎng)絡(luò)環(huán)境中��。沒(méi)有身份認(rèn)證的訪問(wèn)請(qǐng)求被成功接收�����,在訪問(wèn)鏈路中隨意通行����。
2.認(rèn)證簡(jiǎn)單
由于攻擊者獲取的是正規(guī)廠商的證書(shū)并利用其對(duì)自身進(jìn)行簽名��,這使得所有信任該證書(shū)的機(jī)構(gòu)都存在被入侵的風(fēng)險(xiǎn)��。而大部分系統(tǒng)僅具備單一的認(rèn)證方式���,難以從多維度驗(yàn)證用戶(hù)身份,通過(guò)身份驗(yàn)證的用戶(hù)也依舊可信度不高���。
3.絕對(duì)信任
由于SolarWinds的令牌已經(jīng)被用戶(hù)所信任�,攻擊者可以偽造SolarWinds令牌�����,欺騙并繞過(guò)防護(hù)���,在目標(biāo)網(wǎng)絡(luò)環(huán)境中建立高權(quán)限賬戶(hù)�,等待時(shí)機(jī)���,完成攻擊目標(biāo)��。而系統(tǒng)僅在登錄時(shí)做身份認(rèn)證�,沒(méi)有持續(xù)的驗(yàn)證用戶(hù)身份,追查用戶(hù)行為合理性����,對(duì)用戶(hù)行為異常監(jiān)測(cè)并及時(shí)響應(yīng)。4.越權(quán)訪問(wèn)
攻擊者很可能已經(jīng)非法獲取了SolarWinds內(nèi)網(wǎng)高級(jí)權(quán)限��,創(chuàng)建了高權(quán)限賬戶(hù)����,維持了多個(gè)入口點(diǎn),而高權(quán)限賬戶(hù)的創(chuàng)建無(wú)相應(yīng)的審批流程�,難以及時(shí)發(fā)現(xiàn)。
零信任方案如何應(yīng)對(duì)新型供應(yīng)鏈攻擊�?
任子行智行零信任安全解決方案����,核心基于SDP架構(gòu),嚴(yán)格控制任何內(nèi)部或外部的網(wǎng)絡(luò)鏈接或信息請(qǐng)求��,通過(guò)全面完善的身份認(rèn)證體系�����,多維度�、多因子、持續(xù)性驗(yàn)證訪問(wèn)用戶(hù)身份,對(duì)合理用戶(hù)的合規(guī)訪問(wèn)進(jìn)行獨(dú)立的隧道建立���,實(shí)時(shí)監(jiān)測(cè)業(yè)務(wù)系統(tǒng)間API接口調(diào)用���,實(shí)現(xiàn)全方位、多角度訪問(wèn)控制�,收斂攻擊暴露面,降低攻擊成功概率�����。
任子行零信任方案架構(gòu)
1.身份生命周期管理�,及時(shí)發(fā)現(xiàn)未知賬號(hào)異常創(chuàng)建
方案以身份管理為基石,為企業(yè)信息化建設(shè)提供唯一的用戶(hù)身份數(shù)據(jù)�,以及完整的賬戶(hù)生命周期管理。支持多種賬戶(hù)數(shù)據(jù)源�,如 AD、LDAP���、以及任何提供 SCIM 標(biāo)準(zhǔn) API 的應(yīng)用��,可快速導(dǎo)入企業(yè)既有賬戶(hù)體系����。支持對(duì)賬戶(hù)的創(chuàng)建、變更��、停用����、刪除等進(jìn)行流程審批,避免未知賬號(hào)的留存產(chǎn)生威脅風(fēng)險(xiǎn)����。
2.身份持續(xù)多維驗(yàn)證,嚴(yán)格控制合法用戶(hù)合規(guī)訪問(wèn)
方案以持續(xù)多元認(rèn)證評(píng)估�����,通過(guò)生物特征���、行為分析、地理位置�����、使用設(shè)備等多種方式驗(yàn)證用戶(hù)身份����。通過(guò)端口敲門(mén)技術(shù),僅允許合法客戶(hù)端的流量通過(guò),能夠防止黑客通過(guò)高危端口在內(nèi)網(wǎng)收集信息�����、利用漏洞���、發(fā)起攻擊�,從而起到核心資產(chǎn)隔離�、應(yīng)用保護(hù)的作用。全方位記錄所有用戶(hù)訪問(wèn)中的行為日志和操作日志����,結(jié)合終端風(fēng)險(xiǎn)監(jiān)測(cè),智能描繪用戶(hù)畫(huà)像�,識(shí)別異常訪問(wèn),有效降低安全隱患�。
3.數(shù)據(jù)調(diào)用流量監(jiān)測(cè),統(tǒng)一處理數(shù)據(jù)流轉(zhuǎn)防止濫用
通過(guò)終端的威脅檢測(cè)及安全響應(yīng)���、API接口的精細(xì)控制��,阻斷資產(chǎn)與資產(chǎn)之間的通道����,資產(chǎn)內(nèi)部只允許合法的業(yè)務(wù)訪問(wèn)請(qǐng)求進(jìn)來(lái),從而防止病毒橫向移動(dòng)及擴(kuò)散�。作為企業(yè)API調(diào)用的統(tǒng)一出口和權(quán)限認(rèn)證中心,實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)調(diào)用日志分析�����,攔截非法調(diào)用請(qǐng)求�,智能預(yù)警,及時(shí)發(fā)現(xiàn)故障并處理��。
4.聯(lián)防聯(lián)控即時(shí)響應(yīng)�,全面升級(jí)防守陣線(xiàn)應(yīng)對(duì)威脅
方案集成網(wǎng)絡(luò)安全威脅與事件管理平臺(tái),內(nèi)置大數(shù)據(jù)存儲(chǔ)和多種深度分析引擎�,融合基于ATT&CK攻擊鏈的12步法,有效發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部的失陷資產(chǎn)����、安全事件攻擊和潛伏威脅等,及時(shí)預(yù)警和響應(yīng)���。聯(lián)動(dòng)響應(yīng)零信任安全大腦,對(duì)風(fēng)險(xiǎn)評(píng)估高的訪問(wèn)主體及時(shí)變更授權(quán)策略�,有效減少風(fēng)險(xiǎn)訪問(wèn)��。
公安備案號(hào):44030502000376