据路透社和《华盛顿邮报》报路����,SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码����,导致美国财政部、商务部等多个当局机构用户受到持久入侵和监督����。
黑客通过渗入开源项目����,向其中植入被黑组件����,以获得有关数据资产����,软件供给链攻击已经成为黑客攻击的沉要突破口����。同类事务频仍曝出:2013年的棱镜门事务、2015年的XcodeGhost事务、2017年的Xshell后门代码、2020年的SolarWinds供给链攻击事务等����。此表����,据《2020软件供给链状态》汇报批注����,此类“下一代”供给链攻击比往年暴增 430 %����。由此可见����,供给链攻击已成为黑客“喜闻乐攻”的沉要指标����。黑客何以对供给链攻击乐此不疲����?
良知知彼����,揣度攻击成功原因
1.犯法认证
通过在SolarWinds的产品中植入后门代码����,攻击者能够追随产品更新进入到SolarWinds的大部门客户网络环境中����。没有身份认证的接见要求被成功接管����,在接见链路中轻易通畅����。
2.认证单一
由于攻击者获取的是正规厂商的证书并利用其对自身进行署名����,这使得所有信赖该证书的机构都存在被入侵的风险����。而大部门系统仅具备单一的认证方式����,难以从多维度验证用户身份����,通过身份验证的用户也仍旧可信度不高����。
3.绝对信赖
由于SolarWinds的令牌已经被用户所信赖����,攻击者能够伪造SolarWinds令牌����,糊弄并绕过防护����,在指标网络环境中成立高权限账户����,期待机遇����,实现攻击指标����。而系统仅在登录时做身份认证����,没有持续的验证用户身份����,查究用户行为合理性����,对用户行为异常监测并实时响应����。4.越权接见
攻击者很可能已经犯法获取了SolarWinds内网高级权限����,创建了高权限账户����,维持了多个入口点����,而高权限账户的创建无相应的审批流程����,难以实时发现����。
零信赖规划若何应对新型供给链攻击����?
Saba沙巴电竞智行零信赖安全解决规划����,主题基于SDP架构����,严格节造任何内部或表部的网络链接或信息要求����,通过全面美满的身份认证系统����,多维度、多因子、持续性验证接见用户身份����,对合理用户的合规接见进行独立的隧路成立����,实时监测业务系统间API接口挪用����,实现全方位、多角度接见节造����,收敛攻击露出面����,降低攻击成功概率����。
Saba沙巴电竞零信赖规划架构
1.身份性命周期治理����,实时发现未知账号异常创建
规划以身份治理为基石����,为企业信息化建设提供唯一的用户身份数据����,以及齐全的账户性命周期治理����。支持多种账户数据源����,如 AD、LDAP、以及任何提供 SCIM 尺度 API 的利用����,可急剧导入企业寂仔账户系统����。支持对账户的创建、调换、停用、删除等进行流程审批����,预防未知账号的留存产生威胁风险����。
2.身份持续多维验证����,严格节造合法用户合规接见
规划以持续多元认证评估����,通过生物特点、行为分析、地理地位、使用设备等多种方式验证用户身份����。通过端口敲门技术����,仅允许合法客户端的流量通过����,可能预防黑客通过高危端口在内网网络信息、利用缝隙、提议攻击����,从而起到主题资产隔离、利用�;さ淖饔����。全方位纪录所有效户接见中的行为日志和操作日志����,结合终端风险监测����,智能描述用户画像����,鉴别异常接见����,有效降低安全隐患����。
3.数据挪用流量监测����,统一处置数据流转预防滥用
通过终端的威胁检测及安全响应、API接口的精密节造����,阻断资产与资产之间的通路����,资产内部只允许合法的业务接见要求进来����,从而预防病毒横向移动及扩散����。作为企业API挪用的统一出口和权限认证中心����,实现数据转换和数据挪用日志分析����,拦截犯法挪用要求����,智能预警����,实时发现故障并处置����。
4.联防联控即时响应����,全面升级防守战线应对威胁
规划集成网络安全威胁与事务治理平台����,内置大数据存储和多种深度分析引擎����,融合基于ATT&CK攻击链的12步法����,有效发现网络内部的失陷资产、安全事务攻击和埋伏威胁等����,实时预警和响应����。联动响应零信赖安全大脑����,对风险评估高的接见主体实时调换授权战术����,有效削减风险接见����。
公安登记号:44030502000376