太阳风- hack - Automatische schadensanalyze und Fehlerbehebung

通过弗兰克·朱

Angesichts der zunehmenden Angriffe改模软件供应链问您西奇vielleicht是不是迅速地您西奇·冯·恐怖袭击SolarWinds-Hack奥得河anderen Angriffen在Ihrem Unternehmen erholen德国。我的名字,我的名字SolarWinds-Hack在wichtiges Thema für Unternehmen,Behorden和IT-Verantwortliche。柴油zerstörerische Angriff auf die软件Lieferkette rückte die软件就是软件ins Rampenlicht - ein wichtiges Thema für die DevOps-Community。Während immer wieder莱纳的细节超级dasausmares und die Auswirkungen des angerauftauchen,untersuchen Expertenausdem öffentlichen和私人Sektor den Vorfall weiterhin, da wichtige Fragen über den AngriffImmer noch ungeklärt信德。

在diesem Blogpost gehen wir auf drei kritische Fragen ein, die CxOs, Vorstandsmitglieder und IT-Leiter im Zusammenhang mit dem solarwind - angriff beschäftigen, und erklären, wie DevOps-Teams sie heute mit derJFrog DevOps平台beantworten能帮。

  • 我是谁?
  • 斯特尔·宾希的未婚妻?
  • Wie kann ich die verletzten Bibliotheken/Abhängigkeiten beheben?

Ein wenig Hintergrund

黑客在“太阳风系统”、“信息技术监控和管理系统”和“猎户平台软件建设prozess”中安装恶意软件。Mehrere Monate lang lieferte SolarWinds im Jahr 2020 versehentlich product duktupdates mit der Sicherheitslücke aus, die es Hackern ermöglichen sollte, die Orion-Server von Kunden über eine Hintertür zu kompromittieren。

Schätzungsweise 18000 Kunden erhielten infizierte更新,und mehrere Dutzend wurden angegriffen, darundterhochrangige多国联盟和bedeutendeUS-Bundesbehorden.Der Einbruch bei太阳风ist ein Beispiel für einenAngriff über die软件Lieferkette——风景明信片zunehmend比伯特艺术冯Einbrüchen, bei denen黑客恶意软件在legitimer软件verstecken, die über offizielle, vertrauenswürdige Kanäle von Anbietern an ihre Kunden verteilt野生。

JFrog kann Ihnen helfen kann, schnell und präzise zbeurteilen, ob Sie von diesem Hack betroffen sind und wie Sie den Schaden rückgängig machen können。

片段1:Bin ich von der Sicherheitsverletzung betroffen?

我是Allgemeinen gibt es zwei Methoden, um festzustellen, ob Sie von der Sicherheitsverletzung betroffen sind, und beide sind extremschwierig umzusetzen:

  • Untersuchen Sie jedes System in Ihrem Unternehmen, um festzustellen, ob Sie derzeit die orion - platform - versionen 2019.4 HF 5, 2020.2 ohne installierten Hotfix oder 2020.2 HF haben oder hatten。
  • Überwachen Sie die aktuellen DNS-Abfragen Ihres Unternehmens und werten Sie die historischen Abfragen aus, um festzustellen, ob irgendwelche DNS-Abfragen Hostnamen die Domain " avsvmcloud[。com”enthalten。

在贝丁根河畔的Wenn eine oder beide dieser Bedingungen erfüllt sind, ist Ihr Unternehmen von der Sicherheitsverletzung betroffen。Sie könnten jedoch so viele system haben, dass die Überprüfung jedes einzelnen Systems Jahre dauern könnte。Oder Sie könnten eine Größenbeschränkung für die DNS-Abfrageprotokolle haben, was eine unvollständige Historie liefern würde。

Mit JFrog Artifactory, demuniversellen repository managerder JFrog平台,können Sie innerhalb von Sekunden feststellen, ob Sie von der太阳风- verletzung betroffen sind。

Artifactory wild in Unternehmen häufig als artefak - datenbank eingesetzt。Nach dem Erwerb eines kommerziellen软件产品oder eines开源项目speichert in Unternehmen die erworbene Binärdatei in der Regel in einem Repository in Artifactory,两个版本和两个waltet werden kann。Im Fall von太阳风konnten die drei betffenen Software-Binärdateien在einem bestimmten generischen Repository gespeichert werden。Da Artifactory die einzige zuverlässige Datenbank für alle Binärdateien在Ihrem Unternehmen darstellt, kann die Frage, ob Sie von dieser Verletzung betroffen sind, leicht durch einen einfachenAPI- aufruf (API调用/查询)在halb von Artifactory beantwortet werden。

JFrog平台统一用户界面(GUI)基于JFrog平台REST API。heer sehen Sie eine visuelle Darstellung für Abfrage-Ergebnis。在“太阳之风”-“太阳之风”-“太阳之风”-“太阳之风”-“太阳之风”

Darüber hinaus haben Sie Einblick, wie intenv jede Bibliothek genutzt wid (Anzahl der Downloads), und von welchem Benutzer。Die JFrog platform bietet in umfangreiches Logging, das mit verbreiteten Log Analytics Tools integrert wurde。

片段2:一个骗子斯特尔·宾伊希被杀了?

zagedem Thema wurden schon eine Menge Blogs geschrieben und viele hochpreisige Berater angeheuert, um bei der Beantwortung dieser fragagzhelfen。这是我的树枝。我最好跌倒最好死Lösung darin, Unmengen von Protokollen zu durchforsten, den Netzwerkverkehr und das Verhalten der Zielsoftware zu überwachen。内燃机Ansatz ist mehr Kunst als Wissenschaft, um es vorsichtig auszudrücken。Noch wichtiger ist, dass er kaum praktikabel ist, insbesondere für große Unternehmen。

Und bedenken Sie dass all diese Bemühungen nur dazu dienen,风景明信片Sicherheitslücke zu schließen。死亡Realität ist, dass es mehrere Sicherheitslücken zur gleichen Zeit geben kann, und Die primitive brute -武力-方法论ist einfach nicht nachhaltig。

嗯zu vermeiden dass es soweit kommt, kann Ihnen JFrog x射线,das软件组合分析(SCA)工具der jfrog - platform, helfen, wiederum mit einem einfachenAPI调用/查询

x光扫描allle Ihre Artefakte rekursiv, um eine binäre vindungsdatenbank zu erstellen, die auhals komponententendiem bezeichnet wenenetnet和eenetine ganzheitliche Sicht auf jedes verwendete oder eingesetzte Artefakt bietet - unabhängig davon, obes unabhängig oder als abhängiges Element eines anderen eingesetten Artefakts eingesett wurde。

Unten sehen Sie eine visuelle Darstellung aus der JFrog平台UI。在diesem hypothetischen Fall zeigen wir ein weit verbreitetes, anfälliges, Maven Jackson Package " com.fasterxml.jackson。核心:jackson-core: 2.11.0”。

Die jfrog - platform verfügt über在“祖先(Vorläufer)”-Konzept welches alle Artefakte verfolgt, eisschließ lich dieser spezifischen jackson -版本。Das rote Rechteck liefert auführliche, verschachtelte verindunginformationen(依赖):Dieses杰克逊-巴基特特Teil des Maven spring -巴基特,Das wiederum Teil von " ui_server1.jar " ist - Ihrem eigenen Build。柴油建造ist wiederum Teil einerbestimmten Docker-Image-Schicht, die wiederum Teil des Docker-Images“pet_clinic”ist。Dieses Docker-Image ist in 3 verschiedenen " pet_clinic " Release Bundles enthalten。静脉发布包ist in Konstrukt der JFrog-Distribution, um den Übergang Ihres Softwarepakets über Netzwerke hinweg zu sichern, was wir später noch genauer erklären werden。我aktuellen Kontext ist das Release Bundle gleichbedeutend mit einem vollständig enthaltenen Paket, das bereit ist, installiert oder verteilt zu werden。

片段3:Wie kann ich die verletzten Bibliotheken/Abhängigkeiten beheben?

Von den drei Fragen ist dies die am einfachsten und unkompliziertesten zu beantwortenen: die Behebung best darin, die betroffenen Server neu aufzubauen und mit einer neuen, aktualisierten安装Von太阳风猎户座开始。死亡百万美元的碎片jedoch: Woher bekommen Sie Die Liste aller betroffenen服务器?

Bewaffnet mit dem ganzheitlichen Wissen aus der Abhängigkeitsdatenbank(依赖列表)von Xray Wissen Sie nun genau, welches Artefakt in Ihrem Unternehmen infiziert ist。Um eine vollständige Nachvollziehbarkeit Ihres运行时部署zuhaben, bietet die JFrog平台weitere创新技术。Die free - bundles von JFrog Distribution, Die mit GPG signiert und unveränderlich sind, machen Artefakte just-in-time und über ungesicherte Netzwerke hinweg in unmittelbarer Nähe zu Ihrer Laufzeitumgebung verfügbar。

Die jfrog - platform bietet End-to-End-Immutabilität für Ihre Binaries ab dem Moment, in dem das Binary erstellt oder in Ihre Unternehmensumgebung eingeführt wild。Sie niimt auh nativ an der gitop - methodik teil, die die vollständige Nachvollziehbarkeit jeder einzelnen Änderung innerhalb Ihrer Laufzeitumgebung in einer versionskontrollierten, unveränderlichen Weise innerhalb Ihres Git/VCS bietet。Durch die Kombination der End-to-End-Binary-Management-Fähigkeit der JFrog Platform mit Ihren GitOps-Praktiken können die angegriffenen solarwind - server auf automatisierte Weise behoben werden。

Dieses图解zeigt, wie die JFrog平台nahtlos in das GitOps-Ökosystem eingebunden werden kann - in diesem Fall mit通量CD

Fazit

Der太阳风- vorfall hat uns eine Lektion erteilt:Unternehmenssoftware ist niemals sicher.Ob gewolt oder ungewolt, Schwachstellen sind immer Teil des Software-Lebenszyklus。Wenn wir diese Tatsache akzeeptieren, dass Unternehmenssoftware niemals sicher ist, ist die beste Sicherheitsmaßnahme die ein Unternehmen anstreben sollte, eine Möglichkeit zu haben die betroffene Software schnell zu korrigieren。

Die Ermittlung, verfolung和Behebung der太阳风- verletzung erfordert eine entralisierte Lösung für das企业二元生命周期管理,Die in der Lage ist, jedes Artefakt和seine Abhängigkeiten innerhalb der gesamten组织zverfolgen。欧恩索尔奇Lösung müssen Sie sich mit zeitaufwändigen, manuellen Prozessen begnügen, die nicht skalierbar und ungenau sind, und Ihnen letztendlich keine klaren, endgültigen安特沃腾利芬。Ohne einen klaren Überblick über dieses Problem steigt das Risiko, dass Ihr Unternehmen angegriffen crazy。

weiwir in diesem Blog-Beitrag erklärt haben, automatisiert, rationalisiert und vereinfacht die JFrog Platform diesen Prozess und gibt Ihnen Klarheit über Ihren Status mit umsetzbaren Erkenntnissen und effektiven Möglichkeiten, das Problem zu identiieren und zu lösen。

Die JFrog Platform ist Die einzige Enterprise-Binary-Lifecycle-Management-Lösung, Die auf einer Reihe von bewährten Grundlagentechnologien aufbaut, darunter:

  • 风景明信片软件材料清单(SBOM)mit umfassenden Metadaten von Artifactory
  • einen Komponentengraphen oder eine Abhängigkeitsdatenbank(依赖列表)Ihres unternehmen - software -Ökosystems, die von Xray verwaltet wd
  • einen unveränderlichen发布包审计跟踪
  • unveranderliche CI / CD-Workflows

上传,下载,Einbindung,运行时部署,Ausmusterung, Archivierung und Löschung jedes binären Artefakts werden umfassend aufgezeichnet und, was noch wichtiger ist, können über eine einfach zu bedienende Abfragesprache, REST API und Benutzeroberfläche abgefragt werden。

zusammengefast gibt Ihnen die JFrog platform umfassende Möglichkeiten, jedes binäre Artefakt in seinem kompletten Lebenszyklus-Kontext innerhalb Ihres Unternehmens zu verfolgen。

Wenn Sie mehr erfahren möchten können Sie einen个人技术会议mit青蛙vereinbaren。