隐藏在众目之外:为什么 SolarWinds 攻击所揭示的不仅仅是恶意网络风险
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
点击下面的链接并下载此资源的PDF。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
查看报告预约演示
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
这篇文章的一个版本出现在 黑暗阅读。它已在此处更新和发布。
如果说网络安全行业有什么东西能毁掉圣诞节的话,那是一次毁灭性的数据泄露事件,有望成为 最大的网络间谍活动 影响了记录在案的美国政府。
SolarWinds攻击影响深远,威胁行为者最初入侵了该软件 早在 2019 年年中。这起长达数月的抢劫案是在2020年12月被用来渗透著名的网络安全公司后发现的, 火眼,噩梦从那里解开了。漏洞的全部范围仍在调查中,但主要的渗透领域包括美国国务院、国土安全部、商务部和财政部以及国家卫生研究院。
这起事件将持续发生余震,但其纯粹的复杂性令人着迷。在技术层面上,这是一种涉及自定义恶意工具、后门和隐身代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小伙子的技能。
最严重的洗钱活动
CrowdStrike 在对漏洞进行逆向工程方面做了更多的天才工作,而且 详细说明调查结果 让所有人看见。现在发现,SolarWinds是基础设施泄露的受害者,该漏洞允许恶意代码注入系统更新,导致至少四个单独的恶意软件工具为威胁行为者开辟了前所未有的访问权限。
这种方法是隐蔽的,可以实现战略精确度,这似乎直接出自杰森·伯恩的小说。这为在全面的供应链攻击中精确地在 SolarWinds 网络之外搜寻、策划和打击受害者争取了时间。而且这一切都是用看上去完全良性的代码执行的。
网络攻击通常是由简单但代价高昂的错误造成的。一旦被发现,错误就显而易见了;想想一个配置不当的网络,密码存储在 纯文本,或者易受已知漏洞攻击的未打补丁的软件。在这种情况下,代码根本没有脱颖而出,而不仅仅是开发人员和安全工程师。大量昂贵、复杂的安全技术也未能检测到它。
安全监控和渗透测试工具几乎毫无用处
安全专业人员往往像摇马粪一样稀少,因此,根据业务安全需求定制的技术堆栈可以帮助他们保护大量的公司数据、软件和基础架构。这通常采用网络防火墙、自动渗透测试、监控和扫描工具等组件的形式,后者在软件开发过程中占用了大量时间。这种工具会迅速螺旋式上升,在管理和执行方面变得不守规矩,许多公司都在使用 超过 300 种不同的产品和服务。
SolarWinds将拥有一系列令人眼花缭乱的工具来发现和突出代码中的安全漏洞、未经授权的网络访问尝试、基础设施任何部分的潜在入侵,甚至发现逃避检测的迹象。这些威胁行为者能够注入即使是最先进的安全堆栈也未被发现的恶意代码,这是前所未有的。
基础设施强化,尤其是访问控制,是一般网络安全最佳实践的基本组成部分,但是如果攻击者能够悄悄地利用微小的机会之窗,那么网络可能会受到攻击,就像独立软件中的漏洞一样。
这一漏洞提醒人们,总的来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在冒着巨大的风险。保护代码并不总是足够的;存储、运行和编译代码的所有内容都必须同样得到加强。理想的状态是工具和人员的平衡,执行强有力的策略,深入评估和减少潜在的攻击面。
跨团队安全意识有助于更好的威胁建模
SolarWinds的违规行为已经开始对安全运营产生重大影响,尤其是在政府层面。专家们吹捧这个 可能会永远重塑网络安全实践。
日益数字化的基础设施为我们的生活提供了动力,尽管如果不进行精心管理,它可能容易受到攻击,但我们的总体战略存在缺陷。在安全专业知识方面,我们的人手严重不足,但我们在缩小差距方面并没有做太多工作。以人为本的安全意识是网络安全中未得到充分利用的要素,将预防而不是反应作为优先事项也是如此。
基础设施安全是一项包含许多活动部分的复杂任务,但是,与他们在软件创建中的定位类似,如果经过适当的培训和具有安全意识,开发人员可以在降低结构性风险方面成为资产。
威胁建模很少考虑供应链攻击,尽管这种攻击是 早在 2012 年就亮相了 这是当前技术难以预防的关键风险,这使许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们提高技能,并能够由内而外评估其代码完整性。他们是否安全地建立了更新机制?该软件是否在不必要的连接下运行,从而更容易受到恶意攻击?
当安全性是软件质量的代名词时,很容易看出具有安全意识的工程师可以带来的巨大价值。
目录
Matias Madou, Ph.D.是一位安全专家、研究员和CTO,也是Secure Code Warrior 的联合创始人。Matias在根特大学获得了应用安全的博士学位,主要研究静态分析解决方案。后来他加入了美国的Fortify公司,在那里他意识到,仅仅检测代码问题而不帮助开发人员编写安全代码是不够的。这激发了他开发产品的热情,帮助开发人员,减轻安全的负担,并超越客户的期望。当他不在办公桌前作为Awesome团队的一员时,他喜欢站在舞台上,在包括RSA会议、BlackHat和DefCon等会议上发表演讲。
Secure Code Warrior可帮助您的组织在整个软件开发生命周期中保护代码,并营造一种将网络安全置于首位的文化。无论您是应用安全经理、开发人员、首席信息安全官还是任何与安全相关的人员,我们都能帮助您的组织降低与不安全代码相关的风险。
预约演示下载帮助您入门的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
