隐藏在众目之外:为什么 SolarWinds 攻击所揭示的不仅仅是恶意网络风险
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
查看报告预订演示
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
目录
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior可以帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全放在首位的文化。无论您是 AppSec 经理、开发人员、首席信息安全官还是任何与安全相关的人,我们都可以帮助您的组织降低与不安全代码相关的风险。
预订演示下载帮助您入门的资源
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
