2020年12月,美国网络安全公司FireEye发布了一条震惊全球的公告:该公司自身遭到了攻击,用于检测黑客的红队工具被窃取。更令人担忧的是,FireEye调查发现这一切的源头并非直接攻击,而是一个再普通不过的行为——软件更新。这就是后来的SolarWinds供应链攻击事件,被称为"网络攻击史上极其严重的事件之一"。
SolarWinds是一家全球领先的IT管理软件公司,其Orion平台被超过30万家组织使用,包括美国国务院、国防部、国土安全部、财政部等政府机构,以及财富500强中的绝大多数企业。攻击者通过入侵SolarWinds的构建系统,将恶意代码植入到Orion平台的合法软件更新包中。这些更新包经过SolarWinds的官方数字签名,从外观到行为都与正常更新无异。客户通过自动更新机制下载并安装,后门便悄无声息地进入了内网。
从2020年3月到6月,这个被植入后门的更新包被分发给约18000个客户。攻击者的手法极其隐蔽,他们不仅绕过了SolarWinds自身的安全检测,还成功躲避了客户环境中各类安全产品的排查。恶意代码在系统中潜伏后,会等待特定条件触发,然后与攻击者控制的服务器建立通信,下载更高级的攻击工具,实现长期驻留和数据窃取。
这场攻击的影响面极为广泛。除了FireEye自身受害之外,微软、思科、英特尔等科技巨头也确认受到影响。美国政府多个部门的数据被窃取,司法部、商务部、财政部、能源部等均被波及。调查发现,攻击者早在2019年就已经进入SolarWinds的环境进行踩点,整个攻击行动持续了数月之久。这不是一次仓促的行动,而是一次精心策划、长期潜伏的精准打击。
对于企业而言,SolarWinds事件带来的警示极为深刻。传统的安全防护思路认为只要管好边界、部署防火墙和入侵检测系统就足够,但这种思维在供应链攻击面前完全失效。软件供应链中的任何一个下游环节被攻破,所有信任该供应链的组织都会面临风险。今天使用的每一款商业软件,从操作系统到办公套件,从安全软件到管理平台,都可能成为攻击者渗透的跳板。
企业需要重新审视自身的软件供应链安全管理。首先,要对所有外部软件的更新机制进行评估,确认供应商的构建和发布流程是否经过独立安全审计。其次,内部应当建立软件更新的隔离测试环境,关键系统的更新在正式部署前应经过安全验证。再次,部署行为监控和异常检测能力,及时发现更新后的异常网络行为和系统变化。
SolarWinds事件还暴露了一个更深层的问题:单一供应商依赖的风险。当一家企业几乎全部依赖某一家软件厂商时,这家厂商的安全水平就决定了整个企业的安全基线。适度的供应商多元化、建立备选方案,可以在一定程度上分散供应链风险。对于信息化程度高的企业,还应考虑建立自身对关键软件的代码审计能力,至少对核心功能模块进行安全审查。
从检测角度看,传统的基于签名的检测手段已经无法应对此类攻击。SolarWinds的攻击代码在经过合法签名后,签名检测完全失效。企业需要转向行为分析、异常检测和端点检测与响应等新一代防护手段。同时,网络流量的基线分析和异常通信识别能力也至关重要。
供应链安全不是一个技术问题加一个采购问题就能解决的,它需要从管理制度、技术防护、人员意识和应急响应多个维度综合应对。每一家企业都应当认识到,在这个高度互联的时代,没有人是一座孤岛。你的安全不仅仅取决于自身的管理水平,还取决于你所信任的每一个供应商的安全能力。这正是供应链安全管理被称为"现代网络安全不容忽视的一块拼图"的根本原因。
北京企密安信息安全技术有限公司
/ 010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
