SUNBURST引发的危机：供应链安全危局要靠什么应对?

2020年，黑客通过破坏SolarWinds的Orion网络管理产品入侵了美国联邦机构的网络，除此之外，多达1.8万的Orion客户同样面临着一场因供应链攻击而带来的巨大威胁。虽然最终受到攻击的用户只有大约100家，但这场因供应链安全引发的安全危机还是可以算得上近年来较为严重的网络事件之一。但面对巨大的危机，SolarWinds通过迅速反应和一系列补救措施，上演了一场化解供应链安全危机的经典之战。近日，SolarWinds首席信息安全官和兼安全副总裁Tim Brown首次对外披露了其中的细节。

高度伪装性的攻击

对于犯罪高手而言，正式实施犯罪之前一定会进行相应的试探工作。在美剧《越狱》里，男主角就曾用千纸鹤扔到下水道里来测试水路逃跑的可行性。不幸的是此次针对SolarWinds Orion网络管理产品的攻击，完全可以归入高精尖水平的攻击，因而在更早的时候就开始了试探行动。

早在2019年9月，黑客第一次植入了一个空的class代码，以验证是否可以将代码带出到最终发布的二进制程序里。当他们看到这个链路是通的之后，在接下来的3月到6月间，黑客们不断利用SUNSPOT工具将SUNBURST插入到SolarWinds的 Orion平台。

这绝非一般黑客所为，因为在随后的攻击中，黑客展现出了超越寻常的技巧。首先是黑客选了在一个多线程并行的地方创建了后门线程，线程代码的写作风格极力模仿原有代码的风格，就连通信协议竟然也是复用了SolarWinds产品现有的协议。

其次，后门逻辑除了检测沙箱，虚拟机等环境外，还检测网络是否是在SolarWinds公司内部。更为致命的是，后门逻辑并非在第一时间被激活，而是在有了一定的部署量之后再隐秘激活。确切地说，被植入的恶意代码有十四天左右的潜伏期，木马程序十四天之后才会被执行，并且可以很轻易地逃避很多杀毒软件的查杀。

当恶意代码被激活之后，SUNBURST开始被植入到代码中，然后随着编译、签名和分发的过程传播出去。这样，SUNBURST实质上是对供应链进行了攻击。更糟的是，当SUNBURST被激活开始攻击时，TEARDROP、SUNSHUTTLE和GOLDMAX这三种漏洞又开始找到网络命令和控制的服务器，并且产生二次攻击。

Tim Brown把这个过程总结为：“这种攻击具备高度伪装性，它甚至可以直接绕过我们的网络命令和控制。它带来的威胁并不是去攻击我们的源代码，而是去攻击Orion当中的某些部分，特别是构建供应链。与以往攻击不同的是，SUNBURST并不只是泛泛地对Orion整个系统进行攻击，而是带着具体的使命来的。具体来说，就是它选择供应链做为特定的攻击点。”

供应链安全的防护之道

在网络安全领域，黑客攻击与专业公司的防御就如同一对矛与盾，当专业黑客攻击手法不断更新时，绝对的安全是不存在的。因此，在这场供应链攻击发生之后，SolarWinds的迅速反应，以及后期种种防护手段的运用，完全称得上是一场应对供应链攻击的经典战役。透过Tim Brown的讲述，我们仿佛还能感受到这场攻防战的硝烟。

时间进入到2020年12月12日，SolarWinds发现了SUNBURST的攻击，但因为当天是周六，不方便通知用户。而两天后通知客户时，首个修复程序已经发布了。一天之后，软件修复程序也正式发布了。

紧接着，美国政府监管机构也介入进来。12月17日，美国国土安全部计算机紧急事务响应小组发布技术警报公告，进一步明示了SolarWinds要采取的一系列方法以及相关的注意事项。SolarWinds也从2020年1月11日起，正式发布与SUNSPOT有关的新发现。到了5月7日，调查基本完成。

Tim Brown把这场防御战概括为两点：“首先是反应迅速，当事件发生时我们非常迅速地与包括联邦调查局(FBI)和网络安全与基础设施安全局(CISA)在内的政府机构直接接触，这些主要的政府机构开展了非常广泛的调查，不仅仅是针对SolarWinds一家公司的攻击，也包括针对其它公司的重要威胁。同时，我们也争取到毕马威、CrowdStrike、微软、CISA前局长Chris Krebs、Facebook前首席安全官Alex Stamos等更多的力量加入进来。其次是在我们迅速做出反应之外，同时也帮助客户及时应用这样的问题，确保他们的的Orion平台是安全的。我们的具体做法是及时通知了使用受影响版本的Orion平台的客户，并且开展了一个完全免费的Orion 协助计划，来帮助那些客户主动维护平台，从而帮助他们实现更合适的配置。”

Orion协助计划给用户提供了具体的指导和指南 ，帮助他们实现升级和修复服务。需要说明的是，就算是对于持有已经撤销证书但受到此次安全事件影响的用户，SolarWinds也把截止时间点定在2021年3月8日，为这些用户提供了更新协助。

危机面前，SolarWinds的迅速反应和周全的应对策略赢得了用户的认可，他们并没有因为这次事故就弃SolarWinds而去，而是选择了和SolarWinds一起，共同应对这场危局。

应对之法背后的安全策略

应对有预谋的攻击，需要的绝对不是所谓的“灵光一现”，而一定是事前演练的安全策略。如此才可以临危不乱，化危为机。SolarWinds有许多安全策略，Tim Brown重点介绍了其中的“以设计确保安全”。

“以设计确保安全”是SolarWinds总裁兼首席执行官Sudhakar Ramakrishna提出的企业目标，涉及到基础设施、软件开发和人员等各方面内容。它强调在整个软件开发周期当中增强韧性，面对攻击的时候要有各种各样的手段去抵御它们。

Tim Brown具体介绍说：“‘以设计确保安全’的理念可以让我们在面对攻击的时候有很好的韧性，更好地面对攻击。我们会通过一些假设的攻击、虚拟的泄露、环境中可能存在的恶意行为和事件，来思考我们应该如何面对、减缓甚至消除对整个系统攻击带来的后果。站在人员的角度，从工具、技巧和程序把整个网络安全的概念带到每天的工作和软件开发当中，并且开展一系列配套的程序和流程。”

从“以设计确保安全”理念出发，SolarWinds在此次事件之后已经进行了一系列改进。通过与CrowdStrike合作，SolarWinds已经大大提升了整个基础设施、基础软件的可视化，实现了对整个软件环境、运营环境的监测。此外，还通过采用零信任和最低权限访问机制，提升了内部权限的管控力度。

针对供应链，SolarWinds同样采用了一系列新的构建进程，包括检查过去两年Orion当中的代码以及其它需要检查的内容是不是过期，中间是不是有被攻击、被植入，以及不断地进行举证分析、根本原因分析等等。为了确保软件的安全性和完整性，SolarWinds也做了很多漏洞的管理程序和项目 ，以便于在内部和外部进行一系列的扫描。最后，还加强了与整个安全社区的合作，以便更及时地感知危险。

关于这次安全事件，Tim Brown总结说：“这次安全事件将为行业开发软件商带来一个大的拐点，美国总统发布的行政令已经要求未来相关软件必须满足一系列的框架预期，全球的软件开发者和供应商会因此而迎来一个重大转折。我需要强调的是，SolarWinds会做得更多，超出这个框架预期。”

版权声明：凡本网注明”来源：中国软件网”的所有作品，版权均属于中国软件网或昆仑海比（北京）信息技术有限公司，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。任何行业、传播媒体转载、摘编中国软件网刊登、发布的产品信息及新闻文章，必须按有关规定向本网站载明的相应著作权人支付报酬并在其网站上注明真实作者和真实出处，且转载、摘编不得超过本网站刊登、转载该信息的范围；未经本网站的明确书面许可，任何人不得复制或在非本网站所属的服务器上做镜像。本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，昆仑海比（北京）信息技术有限公司将追究其相关法律责任。