2020 年 12 月 14 日,向美國政府和私營企業(yè)提供網(wǎng)絡(luò)監(jiān)控軟件的 SolarWinds 報(bào)告了歷史上最大的網(wǎng)絡(luò)攻擊之一,破壞了多達(dá) 18,000 個(gè)組織和公司的數(shù)據(jù)。由一個(gè)可能由外國政府支持的未知組織發(fā)起的所謂“Sunburst”攻擊始于 2020 年 3 月,并滲透到美國情報(bào)和國防組織以及微軟和思科系統(tǒng)等公司。
由于 Sunburst 這么多月都未被發(fā)現(xiàn),網(wǎng)絡(luò)安全專家仍在評(píng)估其影響以及攻擊是否已被完全遏制。前美國國土安全顧問 Thomas P. Bossert警告說,將攻擊者從美國網(wǎng)絡(luò)中驅(qū)逐可能需要數(shù)年時(shí)間,同時(shí)允許他們繼續(xù)監(jiān)控、破壞或篡改數(shù)據(jù)。雖然很少有人嘗試評(píng)估恢復(fù)成本,但肯定會(huì)達(dá)到數(shù)十億美元。美國參議員理查德·德賓將這次襲擊描述為宣戰(zhàn)。
被利用的漏洞是什么?
黑客利用了 SolarWinds 松懈的安全性。利用的漏洞向量是 FTP 服務(wù)器的弱密碼且可能已泄露。
在 SolarWinds 站穩(wěn)腳跟后,攻擊者修改了 Orion 軟件更新的源代碼,以包含后門惡意軟件,該惡意軟件通過現(xiàn)有的軟件補(bǔ)丁發(fā)布管理系統(tǒng)進(jìn)行編譯、簽名和交付。被利用的缺陷包括不受信任的開源和第三方軟件、代碼簽名的弱點(diǎn)以及惡意軟件通過軟件開發(fā)生命周期時(shí)不正確的代碼完整性檢查。
隨著用戶安裝 SolarWinds Onion 更新木馬,攻擊者獲得了一個(gè)后門來進(jìn)入目標(biāo)網(wǎng)絡(luò)、滲透 Microsoft Office 365 帳戶、偽造安全斷言標(biāo)記語言 (SAML) 令牌以偽裝成合法用戶并濫用單點(diǎn)登錄 (SSO) 聯(lián)合身份驗(yàn)證機(jī)制,以獲取升級(jí)權(quán)限和非法訪問其他本地服務(wù)以及云服務(wù)。
避免類似 Sunburst 的黑客入侵的主要方法如下:
通過防止利用軟件分發(fā)漏洞加強(qiáng)開發(fā)系統(tǒng)和更新服務(wù)器安全
通過禁止惡意軟件訪問攻擊者的 C2(命令和控制)渠道并限制憑據(jù)濫用來降低組織軟件供應(yīng)鏈風(fēng)險(xiǎn)。
PUF 如何防止類似 Sunburst 的攻擊
信任根 (RoT) 是在硬件中實(shí)現(xiàn)的一組功能,始終受設(shè)備操作系統(tǒng)的信任。它包含用于加密功能的密鑰并啟用安全啟動(dòng)過程??尚牌脚_(tái)模塊 (TPM) 是 RoT 的一個(gè)示例。美國國防部 (DoD) 要求其新的計(jì)算機(jī)資產(chǎn)包括 TPM 1.2 或更高版本。DoD 旨在使用 TPM 進(jìn)行設(shè)備識(shí)別、身份驗(yàn)證、加密和設(shè)備完整性驗(yàn)證。
物理不可克隆功能 (PUF) 可以進(jìn)一步增強(qiáng) RoT 安全性。PUF 是一種物理定義的“指紋”,用作半導(dǎo)體的唯一身份,具有防篡改特性,可用于安全認(rèn)證。RoT 最安全的實(shí)現(xiàn)是在硬件中,它可以免受惡意軟件攻擊。因此,基于芯片的PUF可以為安全提供堅(jiān)實(shí)的基礎(chǔ)。
我們相信,PUF 將在減輕類似 Sunburst 的黑客攻擊方面發(fā)揮關(guān)鍵作用,這要?dú)w功于它們執(zhí)行數(shù)字認(rèn)證和身份認(rèn)證的能力?;?PUF 的 RoT 可以通過以下方式發(fā)揮關(guān)鍵作用:
防止未經(jīng)授權(quán)訪問軟件開發(fā)系統(tǒng)和服務(wù)器?;?PUF 的 RoT 解決方案可以與 Microsoft 身份驗(yàn)證協(xié)議(例如 NetLogon)或其他無密碼開放身份驗(yàn)證標(biāo)準(zhǔn)(如 FIDO(快速在線身份驗(yàn)證))一起使用,并促進(jìn)基于使用身份驗(yàn)證密鑰對(duì)的簽名創(chuàng)建的更強(qiáng)大的多因素身份驗(yàn)證。
即使在開發(fā)人員的平臺(tái)上也能確保源代碼的完整性。黑客進(jìn)入 SolarWinds 的系統(tǒng)及其開發(fā)者平臺(tái),將木馬嵌入到其代碼庫中。如果為版本控制部署了完整性檢查,SolarWinds 工程師可能會(huì)發(fā)現(xiàn)他們的代碼已被更改??梢杂么a標(biāo)記 PUF 密鑰以創(chuàng)建散列摘要以確保源代碼的完整性。
確保更新程序的機(jī)密性和完整性。一旦保證了代碼庫的完整性,就保證了最終程序的完整性。然后,通過OTA(online-trust-architecture)更新用戶的程序,需要對(duì)程序進(jìn)行加密和哈希處理,以便用戶接收到正確的程序。啟用 PUF 的芯片安全邊界內(nèi)的加密引擎可以生成密鑰以執(zhí)行加密和完整性功能。
我們可以防范未來的攻擊嗎?
很明顯,傳統(tǒng)的基于軟件的安全解決方案在檢測(cè)或緩解 Sunburst 攻擊方面是無效的。我們提倡更有效的模式。
PUF 可以為安全基礎(chǔ)提供不可偽造的用戶身份和憑證、強(qiáng)大的身份驗(yàn)證和用于代碼簽名的密鑰,以及安全啟動(dòng)、更新和訪問控制等功能。根據(jù) ENISA 的物聯(lián)網(wǎng)安全指南,PUF 被推薦為一項(xiàng)關(guān)鍵技術(shù)。PUF 預(yù)計(jì)將提供強(qiáng)大的 RoT 作為安全措施(例如,固件簽名或安全啟動(dòng))的基礎(chǔ),以及明確的設(shè)備識(shí)別/身份驗(yàn)證以確保給定芯片/設(shè)備是真實(shí)的。PUFsecurity 提供了我們的 NeoPUF 技術(shù)作為 RoT 解決方案,以保護(hù) IoT 供應(yīng)鏈。在這個(gè)堅(jiān)實(shí)的基礎(chǔ)上,我們樂觀地認(rèn)為,軟件供應(yīng)鏈的增強(qiáng)型 PUF 解決方案可以抵御未來類似 Sunburst 的攻擊。
我們希望 SolarWinds 黑客攻擊能夠推動(dòng)根本性改革。盡管互聯(lián)網(wǎng)技術(shù)呈指數(shù)級(jí)增長(zhǎng),但安全措施的發(fā)展通常是事后才考慮的。我們提倡對(duì)黑客進(jìn)行多層次的防御,包括更好的管理實(shí)踐、改進(jìn)的軟件安全性和硬件級(jí)別的重要保護(hù)措施。我們公司 PUFsecurity 多年來一直專注于這些威脅,并提供了一系列可以整合到其他公司芯片中的知識(shí)產(chǎn)權(quán)。
參考:
高度規(guī)避的攻擊者利用 SolarWinds 供應(yīng)鏈通過 SUNBURST 后門危害多個(gè)全球受害者 火眼公司
SolarWinds Sunburst 攻擊:您需要知道什么以及如何保持保護(hù) – Check Point 軟件
近期 Sunburst 目標(biāo)攻擊概述 (trendmicro.com)
SunBurst:下一個(gè)級(jí)別的隱身 (reversinglabs.com)
Hsu, Charles,“A Must for AI/IOT Era PUF based Hardware Security”,第 30屆VLSI Design/CAD Symposium的主題演講,2019 年 8 月 8 日。
PUF:人工智能和物聯(lián)網(wǎng)的關(guān)鍵技術(shù)(design-reuse.com)
由芯片運(yùn)行,由芯片保護(hù) – NeoPUF 解決方案的硬件安全 (design-reuse.com)
ENISA,“物聯(lián)網(wǎng)安全指南:物聯(lián)網(wǎng)安全供應(yīng)鏈”,2020 年 11 月
審核編輯 黃昊宇
-
安全
+關(guān)注
關(guān)注
1文章
336瀏覽量
35639 -
黑客
+關(guān)注
關(guān)注
3文章
284瀏覽量
21811 -
軟件安全
+關(guān)注
關(guān)注
0文章
23瀏覽量
9193 -
PUF
+關(guān)注
關(guān)注
2文章
24瀏覽量
8542
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論