去年年底,一個(gè)名為Cozy Bear(APT29)的網(wǎng)絡(luò)攻擊組織成功入侵了SolarWinds公司的Orion更新軟件,將其變成了惡意軟件的傳播工具。這一網(wǎng)絡(luò)監(jiān)控工具使該公司將近100名客戶受到侵害,其中包括一些政府部門和網(wǎng)絡(luò)安全服務(wù)商FireEye公司。
網(wǎng)絡(luò)攻擊者訪問(wèn)和攻擊SolarWinds公司的IT基礎(chǔ)設(shè)施,并對(duì)Orion軟件植入木馬程序。最先發(fā)現(xiàn)這種軟件供應(yīng)鏈攻擊的FireEye公司表示,它需要網(wǎng)絡(luò)攻擊者精心策劃和交互。
研究人員認(rèn)為需要十分重視這次網(wǎng)絡(luò)攻擊,SolarWinds公司也做了積極地應(yīng)對(duì),該公司迅速引入了外部幫助,不僅解決了面臨的危機(jī),還幫助審查了他們的安全運(yùn)營(yíng)措施,并制定了安全戰(zhàn)略,以更好地防范未來(lái)的軟件供應(yīng)鏈攻擊。SolarWinds公司已公開了該事件的細(xì)節(jié)以及為改善其安全態(tài)勢(shì)而采取的措施。
行業(yè)媒體為此采訪了SolarWinds公司首席信息安全官兼安全副總裁Tim Brown,就此次事件如何改進(jìn)該公司的安全措施和方法進(jìn)行了探討。Brown主要負(fù)責(zé)該公司的產(chǎn)品和內(nèi)部安全。
在這次網(wǎng)絡(luò)攻擊發(fā)生后,您的工作角色發(fā)生了哪些變化?
Brown:在這次網(wǎng)絡(luò)攻擊發(fā)生之前,我的職責(zé)并不只是包括首席信息安全官的職責(zé),還關(guān)注公司的安全運(yùn)營(yíng)和產(chǎn)品安全戰(zhàn)略。我們的目標(biāo)是產(chǎn)品和運(yùn)營(yíng)的結(jié)合。我們需要負(fù)責(zé)運(yùn)營(yíng)安全,并主要交付產(chǎn)品,因此讓我們的安全團(tuán)隊(duì)參與其中非常重要。
在此次網(wǎng)絡(luò)攻擊事件發(fā)生之后, SolarWinds公司決定如何應(yīng)對(duì)和處理?
Brown:在調(diào)查期間,我們首先引入了安全廠商Crowd Strike公司對(duì)我們的業(yè)務(wù)進(jìn)行宏觀檢查。他們的員工與我們一起工作了大約五個(gè)月,深入研究了每個(gè)工作站、每個(gè)服務(wù)器的所有細(xì)節(jié)。
與此同時(shí),我們還獲得了畢馬威公司取證團(tuán)隊(duì)的幫助,因?yàn)槲覀冃枰恍┎煌募寄芙M合,需要有人專注于工程和開發(fā)環(huán)境,然后進(jìn)行微觀檢查。
為了提高效率,我們讓Crowd Strike公司專注于宏觀環(huán)境,畢馬威公司專注于微觀環(huán)境。在調(diào)查中的前一兩個(gè)月,我們每天都與他們會(huì)面,并得到一個(gè)列出所有事項(xiàng)的清單。
在調(diào)查中還有一件重要的事是,我們需要更好地了解整個(gè)環(huán)境。在事件發(fā)生之前,我們運(yùn)行了自己的安全運(yùn)營(yíng)中心(SOC),這個(gè)安全運(yùn)營(yíng)中心(SOC)具有廣泛的覆蓋范圍。工作站和服務(wù)器現(xiàn)在采用CrowdStrike Falcon進(jìn)行監(jiān)控。
然后,SecureWorks從CrowdStrike獲取我們的AWS信息、防火墻信息、Azure信息、Microsoft 365以及我們的所有工作站和服務(wù)器信息,這增強(qiáng)了SOC的可見(jiàn)性。這種可見(jiàn)性對(duì)我們能夠看到一切非常有效。
另一個(gè)變化是成立全職“紅隊(duì)”。 紅隊(duì)的任務(wù)是從對(duì)抗性的角度查看企業(yè)的行為和業(yè)務(wù)職能,以改善企業(yè)的安全狀況。在網(wǎng)絡(luò)安全事件發(fā)生之前,我們的紅隊(duì)是兼職的。成立全職紅隊(duì)讓我們的團(tuán)隊(duì)成員可以擔(dān)任幾個(gè)角色。一種是基礎(chǔ)設(shè)施的內(nèi)部紅隊(duì),測(cè)試我們實(shí)施的控制措施,并確保安全運(yùn)營(yíng)中心(SOC)做正確的事情。
我們定期對(duì)每個(gè)解決方案進(jìn)行內(nèi)部滲透測(cè)試,然后也在外部進(jìn)行滲透測(cè)試。這為我們提供了一種互補(bǔ)的方法。它還與工程環(huán)境密切相關(guān),這也要進(jìn)行自己的內(nèi)部安全測(cè)試。
這種測(cè)試增加了三倍,這種多方的安全測(cè)試包括:外部測(cè)試、安全團(tuán)隊(duì)內(nèi)部測(cè)試和開發(fā)團(tuán)隊(duì)內(nèi)部測(cè)試。
對(duì)于您的團(tuán)隊(duì)和整個(gè)業(yè)務(wù)來(lái)說(shuō),安全觀念發(fā)生了怎樣的變化?
Brown:有人告訴我,他們?cè)噲D讓開發(fā)人員改變或讓開發(fā)人員考慮安全性方面遇到的問(wèn)題。對(duì)于這一安全事件,我們的社區(qū)和用戶非常不安。因?yàn)橛腥岁J入他們的網(wǎng)絡(luò)和系統(tǒng),并改變了他們的運(yùn)營(yíng)環(huán)境。
確保安全性的支柱之一是創(chuàng)造安全文化,這是一個(gè)持續(xù)的旅程。我們進(jìn)行安全培訓(xùn),鼓勵(lì)報(bào)告,并讓所有員工參與。
從我們的執(zhí)行領(lǐng)導(dǎo)層來(lái)看,我們公司的首席執(zhí)行官Sudhakar Ramakrishna在召開全體會(huì)議時(shí)每次都會(huì)談?wù)摪踩珕?wèn)題。各個(gè)層面都在談?wù)摪踩浴?/div>
另一支柱是銷售團(tuán)隊(duì)的心態(tài)。我們的客戶現(xiàn)在最關(guān)心的是安全問(wèn)題。所以,這不僅僅是一個(gè)內(nèi)部的事情,也是推動(dòng)業(yè)務(wù)發(fā)展的關(guān)鍵。軟件開發(fā)商以及安全行業(yè)之外的公司如今都在談?wù)撍麄兊陌踩δ堋?/div>
我們看到客戶就我們的安全流程提出了更復(fù)雜、更詳細(xì)的問(wèn)題。我認(rèn)為這很好。這將使企業(yè)在安全方面走上正確的軌道,并提醒他們需要注意什么事項(xiàng)。
您為客戶提供了哪些指導(dǎo)或工具來(lái)幫助減輕供應(yīng)鏈威脅?
Brown:我們?cè)诓煌牡胤蕉加邪踩呐渲眯畔?。在網(wǎng)絡(luò)攻擊事件發(fā)生之后,我們將其合并到一個(gè)文檔和一個(gè)區(qū)域中,這是以安全方式實(shí)施的方法。
特別是對(duì)于內(nèi)部部署解決方案,這是一種合作關(guān)系。我們需要他們能夠采取正確的行動(dòng),并以正確的方式進(jìn)行配置。但我們并不總是對(duì)他們的配置方式有深刻的了解。在某些情況下,他們并不和我們溝通和交流。他們只需安裝產(chǎn)品即可。他們需要適當(dāng)安全地配置、監(jiān)控和管理產(chǎn)品,這一措施非常重要。
您是否提供了對(duì)公司的生態(tài)系統(tǒng)和正在使用的服務(wù)的更多可見(jiàn)性?
Brown:我們將公開和分享我們使用的工具。我們會(huì)告訴他們,“我們用Checkmarx做靜態(tài)代碼分析。我們使用WhiteSource來(lái)查看開源工具。”
我們將更多地討論我們的安全開發(fā)生命周期(SDL)流程以及我們?cè)诃h(huán)境中實(shí)施的保護(hù)措施。事實(shí)上,就像網(wǎng)絡(luò)攻擊事件發(fā)生之前的大多數(shù)供應(yīng)商一樣,那么他們真的關(guān)心我們?nèi)绾伪Wo(hù)和建設(shè)嗎?現(xiàn)在每個(gè)人都在這樣做。我和其他首席信息安全官進(jìn)行了溝通和交流,他們表示面臨的問(wèn)題越來(lái)越難,要求更加開放。這對(duì)各行業(yè)發(fā)展都有好處。
你提到了一些正在進(jìn)行的工作,例如產(chǎn)品和內(nèi)部審計(jì)的最低特權(quán)訪問(wèn)模型。你有這些工作的時(shí)間表嗎?
Brown:我們的內(nèi)部審計(jì)是對(duì)從代碼行一直到產(chǎn)品的所有內(nèi)容的內(nèi)部審計(jì),將在2022年第一季度完成。產(chǎn)品的最低特權(quán)模型已經(jīng)從文檔和初步實(shí)施開始。
這是一個(gè)開始。我們已經(jīng)對(duì)代理和其他內(nèi)容進(jìn)行了更改,以幫助客戶了解應(yīng)該如何配置,并從代理收集數(shù)據(jù)。我們已經(jīng)做了一些事情,例如使警報(bào)系統(tǒng)在不同的帳戶下運(yùn)行,并且可以指定具有適當(dāng)權(quán)限的帳戶。
下一步是與權(quán)限管理系統(tǒng)的集成,這樣我們就不必在產(chǎn)品中使用密碼,可以將它們從已批準(zhǔn)的密碼管理系統(tǒng)中移除。很多人開始關(guān)注我們是如何做到的,并擁有了所需的最低特權(quán),但仍然能夠?qū)嵤┪覀冋趫?zhí)行的功能。
這對(duì)于沒(méi)有嚴(yán)格訪問(wèn)控制控制的客戶有幫助嗎?
Brown:確切地說(shuō),它只會(huì)為這些客戶提供適當(dāng)級(jí)別的保障。在這起事件中,我們與合作伙伴開展了Orion援助計(jì)劃。我們的合作伙伴將幫助客戶進(jìn)行升級(jí),并幫助驗(yàn)證配置以確保它們是合適的。
軟件行業(yè)應(yīng)該做些什么來(lái)更好地保護(hù)每個(gè)人免受供應(yīng)鏈攻擊?
Brown:首先,企業(yè)確保自己的運(yùn)營(yíng)環(huán)境井然有序,確保為應(yīng)對(duì)網(wǎng)絡(luò)攻擊做好準(zhǔn)備。如果確實(shí)發(fā)生攻擊事件,那么需要實(shí)施已經(jīng)制定的計(jì)劃,并繼續(xù)完成事件響應(yīng)流程。
其次,對(duì)于客戶來(lái)說(shuō),應(yīng)該讓其產(chǎn)品對(duì)不適當(dāng)?shù)呐渲酶袕椥?,?duì)一般的網(wǎng)絡(luò)攻擊更有彈性。無(wú)論是關(guān)于如何配置的指南,無(wú)論是工具,還是配置幫助,這一切都?xì)w結(jié)為幫助客戶在其環(huán)境中進(jìn)行適當(dāng)配置以提高彈性。
從行業(yè)的角度來(lái)看,將會(huì)增加可見(jiàn)性,這將會(huì)更加透明。它關(guān)注于軟件和材料,關(guān)注在產(chǎn)品中使用的所有組件,并使它們更加公開。這將了解并提供有關(guān)開發(fā)框架和開發(fā)周期的更多信息。
從透明度的角度來(lái)看,這是正確的方向。軟件行業(yè)應(yīng)該接受這一現(xiàn)實(shí),不僅要做基礎(chǔ)工作,還要幫助IT部門做到這一點(diǎn),以便我們公開的框架和信息確實(shí)有助于保護(hù)環(huán)境,并使其更具抵御攻擊的能力。
對(duì)于可能成為網(wǎng)絡(luò)攻擊目標(biāo)的企業(yè),其他首席信息安全官應(yīng)該做的最重要的工作是什么?
Brown:每個(gè)人都應(yīng)該意識(shí)到的一個(gè)教訓(xùn)是威脅行為者的級(jí)別。那些使他們難以發(fā)現(xiàn)和對(duì)抗的事情就是現(xiàn)在面臨的網(wǎng)絡(luò)攻擊者,他們開始轉(zhuǎn)向有組織的犯罪。
如果不了解網(wǎng)絡(luò)攻擊者將會(huì)追求什么,需要從了解環(huán)境開始,從了解他們將要做什么開始。了解環(huán)境,這樣就可以隨時(shí)觀察一切,并確保擁有整個(gè)環(huán)境的廣泛可見(jiàn)性。
確保在環(huán)境中采取了保護(hù)措施。從開發(fā)人員的角度來(lái)看,確保了解正在管理的漏洞、自己知道的漏洞、第三方知道的漏洞,并采用適當(dāng)?shù)牧鞒踢m當(dāng)?shù)毓芾硭鼈儭?/div>
其中一個(gè)教訓(xùn)是,無(wú)論如何練習(xí)事件響應(yīng),它都會(huì)有所不同。當(dāng)這種級(jí)別的網(wǎng)絡(luò)攻擊事情發(fā)生時(shí),企業(yè)只需要為流程和程序做好準(zhǔn)備。
人們不能自己做所有的事情。從消息傳遞、響應(yīng)、調(diào)查的角度來(lái)看,所有這些事情都需要有經(jīng)驗(yàn)豐富的人員參與。
大約在此次網(wǎng)終攻擊事件的前一年,我們就制定了一個(gè)流程,對(duì)于每個(gè)安全漏洞,無(wú)論是外部記錄的、我們的工具記錄的還是其他地方記錄的,都會(huì)成為Jira記錄單,就像常規(guī)漏洞一樣,但它會(huì)獲得一個(gè)安全標(biāo)簽。我們的安全團(tuán)隊(duì)將監(jiān)控這些事項(xiàng)。如果不符合我們的內(nèi)部等級(jí)服務(wù)協(xié)議(SLA)解決方案,他們將經(jīng)過(guò)我們的風(fēng)險(xiǎn)評(píng)估表(RAF)流程,我必須在風(fēng)險(xiǎn)評(píng)估表上簽字,工程負(fù)責(zé)人也要簽字。這將處理產(chǎn)品中的漏洞水平提升到一個(gè)適當(dāng)?shù)募?jí)別,以決定某個(gè)問(wèn)題是否得到解決。
制定流程以確保在漏洞方面取得進(jìn)展,因?yàn)椴灰欢ㄊ峭{行為者進(jìn)入企業(yè)的環(huán)境并更改代碼,就像他們?cè)谖覀兊倪\(yùn)營(yíng)環(huán)境中所做的那樣。另外,威脅行為者可能發(fā)現(xiàn)了產(chǎn)品中的零日漏洞并利用這些漏洞。因此,需要確保在這兩個(gè)領(lǐng)域都有覆蓋。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)