自动评估和补救太阳风黑客

随着软件供应链攻击的增加，您是否想知道如何从最近SolarWinds对您公司的入侵中快速恢复?在发现它的几个月后，毁灭性的SolarWinds黑客仍然是商界最关心的问题，政府和它的领导人。这种破坏性的供应链攻击引起了人们的关注软件开发安全——DevOps社区的一个关键问题。而关于它的新细节范围和影响继续表面、公营及私营机构的研究人员继续探索它这些都是关于袭击的关键问题悬在空中．

在这篇博文中，我们将解决cxo、董事会成员和IT主管们最关心的关于SolarWinds漏洞的三个关键问题，并解释DevOps团队如何在今天用JFrog DevOps平台．

• 我是否受到入侵的影响?
• 我在哪里受到影响?
• 如何修复被破坏的库/依赖?

讲一点背景知识

黑客入侵了IT监控和管理供应商太阳风的系统，并在其Orion平台的软件构建过程中注入了恶意软件。在2020年的几个月里，太阳风公司无意中发布了带有该漏洞的产品更新，该漏洞旨在帮助黑客通过后门入侵客户的猎户座服务器。

据估计，有1.8万名客户收到了受污染的更新，几十名客户被入侵，包括知名跨国公司而且美国大型联邦政府机构．太阳风公司的漏洞就是一个例子供应链的攻击——一个越来越受欢迎黑客将恶意软件隐藏在合法软件中，通过官方可信的渠道从供应商分发给客户。

继续阅读，了解JFrog如何帮助您快速、准确地评估您是否受到此攻击的影响，以及如何恢复损害。

问题1:我是否受到太阳风漏洞的影响?

一般来说，有两种方法来确定你是否受到了入侵的影响，这两种方法都非常难以实现:

• 检查您企业中的每个系统，看看您目前或以前是否有Orion平台版本2019.4 HF 5、2020.2(未安装热修复程序)或2020.2 HF。
• 监视您的组织当前的DNS查询，并挖掘历史查询，以确定是否有任何对主机名的DNS查询包含域“avsvmcloud[.]com”。

如果满足其中一个或两个条件，您的企业将受到违约的影响。然而，您可能拥有如此多的系统，以至于检查每个系统可能需要花费数年时间。或者可以对DNS查询日志进行大小限制，这将提供不完整的历史。

有了JFrog Artifactory, JFrog平台的通用库管理员，你可以在几秒钟内轻松确定你是否受到了太阳风漏洞的影响。

Artifactory在企业中被广泛用作工件数据库。在获得商业软件产品或开源项目之后，企业通常会将获得的二进制存储在Artifactory中的存储库中，在那里可以对其进行版本控制和管理。在SolarWinds案例中，三个受影响的软件二进制文件可以存储在特定的通用存储库中。由于Artifactory为您的企业中的所有二进制文件提供了唯一的真相来源，您是否受到这种破坏的影响的问题可以通过一个简单的API调用/查询Artifactory之内。

JFrog平台统一用户界面(GUI)构建在JFrog平台REST API之上。下面是该结果的可视化表示。在这个假设的情况下，GUI为您提供了一个界面，用于搜索具有“orion*”模式的所有工件，看起来我们受到了所有三个受感染的SolarWinds库的影响。

此外，您还可以看到每个库的使用范围(下载数量)以及哪个用户使用。JFrog平台提供了广泛的日志记录，它与广泛使用的日志分析工具集成在一起。

问题2:我在哪里受到影响?

关于这个话题已经有很多博客了，也有很多高薪的咨询师被雇佣来帮助你回答这个问题。但是，目前业界还没有明确的答案。充其量，该解决方案与挖掘海量日志、监视网络流量和目标软件行为一致。这种方法至少可以说是艺术而不是科学。更重要的是，它几乎不现实，特别是对大型企业。

记住，所有这些努力只是为了修复一个漏洞。现实情况是，可能会有多个入侵同时发生，原始的暴力方法是不可持续的。

JFrog x射线，JFrog平台的软件组合分析(SCA)工具，同样通过一个简单的API调用/查询，为您提供了这个问题的精确而快速的答案。

Xray递归地扫描所有工件以创建二进制互连数据库，也称为组件图，它维护正在使用或部署的每个工件的整体视图——无论它是独立部署的，还是作为另一个已部署工件的包含依赖项部署的。

下面是来自JFrog平台UI的一个可视化表示。在这个假设的情况下，我们展示了一个广泛使用的、脆弱的Maven Jackson Package " com.fasterxml.jackson。核心:jackson-core: 2.11.0”。

JFrog平台引入了一个“祖先”概念，它跟踪所有工件，包括这个特定的Jackson版本。红色矩形提供了详尽的嵌套互连信息:Jackson包是Maven Spring包的一部分，而Maven Spring包又是“ui_server1.jar”(您自己的构建)的一部分。这个构建是一个特定的Docker映像层，它本身是“pet_clinic”Docker映像的一部分。这个Docker映像包含在3个不同的“pet_clinic”发布包中。一个发布包是一个JFrog分发结构，以确保您的软件包跨网络的转换，我们将在后面更详细地解释它。在当前上下文中，Release Bundle相当于一个准备安装或部署的完全包含的包。

问题3:我如何补救SolarWind破坏的库/依赖?

在这三个问题中，这是最简单、最直接的一个:补救包括重新构建受影响的服务器，并从更新SolarWinds Orion开始。然而，最重要的问题是:从哪里获得所有受影响服务器的列表?

有了来自Xray二进制互连数据库的全面知识，您现在可以确切地知道企业中哪些工件受到了感染。为了对运行时部署进行完全跟踪，JFrog平台提供了额外的创新技术。JFrog分发版的发布包通过GPG进行了签名和不可变，使工件即时可用，并且在不安全的网络上最接近您的运行时环境。

JFrog平台从二进制文件被创建或引入到企业环境的那一刻起，就为二进制文件提供端到端不变性。它还本地参与到GitOps方法中，该方法在Git/VCS中以版本控制的、不可更改的方式提供对运行时环境中的每一个更改的完整跟踪。将JFrog平台的端到端二进制管理功能与您的GitOps实践相结合，被破坏的SolarWinds服务器可以以自动的方式进行修复。

此图演示了JFrog平台如何无缝地参与到GitOps生态系统中——在本例中，是与通量CD．

结论

“太阳风”事件给了我们一个教训:企业软件从来不是安全的．无论是有意还是无意，漏洞总是软件生命周期的一部分。如果我们接受企业软件永远不安全这一事实，那么敏捷地修复受影响的软件是任何企业都应该追求的最佳安全姿态。

检测、跟踪和补救SolarWinds漏洞需要企业的集中解决方案二进制文件生命周期管理这样就能够在整个组织中跟踪每个工件及其依赖关系。如果没有这样的解决方案，您将面临耗时的、手工的过程，这些过程无法扩展，也不精确，最终无法给您明确、确定的答案。如果对这个问题没有清晰的了解，您被攻破的风险就会增加。

正如我们在这篇博客文章中所解释的，JFrog平台自动化、简化和简化了这个过程，让您清楚地了解自己的状态，以及可操作的见解，以及识别和解决问题的有效能力。

JFrog平台是唯一一个建立在一系列经过时间检验的基础技术之上的企业二进制生命周期管理解决方案，包括:

• 一个软件材料清单(SBOM)与Artifactory的详尽元数据
• 由Xray管理的企业软件生态系统的组件图或二进制互连数据库
• 来自JFrog发行版的不可变发布包审计跟踪
• 不可变的CI / CD工作流

每个二进制工件的上传、下载、包含、运行时部署、退役、存档和删除都被全面记录，更重要的是，可以通过一种易于使用的查询语言、REST API和用户界面进行查询。

总而言之，JFrog平台为您提供了全面的功能，可以在企业内的完整生命周期上下文中跟踪任何二进制工件。

想知道更多吗?请与JFrog安排1:1的技术会议。