太阳风- hack -自动schadensanalyze und Fehlerbehebung

通过弗兰克·朱

安杰西茨德zunemenenden Angriffe auf die软件供应链fragen西施维施内西施对他们jüngsten太阳风- hack奥德安杰里芬在Ihrem Unternehmen erholen könnten。奥赫·蒙纳特·纳赫·塞纳特·德克贡·布雷特·德·维赫伦德SolarWinds-Hack在wichtiges Thema für Unternehmen,Behorden和IT-Verantwortliche。柴油zerstörerische愤怒的auf die软件Lieferkette rückte dieSicherheit der Softwareentwicklungin Rampenlicht - ein wichtiges Thema für die DevOps-Community。Während immer wieder莱纳的细节超级dasausmar ß und die Auswirkungen des Angriffsauftauchen,untersuchen Expertenausdem öffentlichen und privaten Sektor den Vorfall weiterhin, da wicichtige Fragen über den AngriffImmer noch ungeklärt信德。

在diesem Blogpost gehen wir auf drei kritische Fragen ein, die CxOs, Vorstandsmitglieder und IT-Leiter im Zusammenhang mit dem太阳风-愤怒beschäftigen, und erklären, wie DevOps-Teams sie heute mit derJFrog DevOps平台beantworten能帮。

  • 我是冯德Sicherheitsverletzung betroffen?
  • 一个骗子斯特尔·宾·伊克罗芬?
  • Wie kann ich die verletzten图书馆/Abhängigkeiten beheben?

Ein wenig Hintergrund

黑客在SolarWinds系统中,在it监控和管理中,在猎户座平台软件构建prozess中注入恶意软件。merhere Monate lang liefte SolarWinds im Jahr 2020 versehentlich producktupdates mit der Sicherheitslücke aus, die es Hackern ermöglichen sollte, die Orion-Server von Kunden über eine Hintertür zu kompromittieren。

Schätzungsweise 18.000 Kunden erhielten infizierte更新,und mehrere Dutzend wurden angegriffen, darunter多国联盟和bedeutendeUS-Bundesbehorden.Der Einbruch bei太阳风ist ein Beispiel für einen愤怒über die软件Lieferkette——风景明信片zunehmend beliebte Art von Einbrüchen, beidenen黑客恶意软件在legitimer Software verstecken, die über offizielle, vertrauenswürdige Kanäle von Anbietern an ihre Kunden vertet wild。

JFrog kann Ihnen helfen kann, schnell und präzise zu beurteilen, ob Sie von diesem Hack betroffen信和wie Sie den Schaden rückgängig machen können。

片断1:你是在说什么?

我是Allgemeinen gibt es zwei Methoden,嗯festzustellen,嗯Sie von der Sicherheitsverletzung betroffen信德,和信德极端schwierig umzusetzen:

  • Untersuchen Sie jedes System in Ihrem Unternehmen, um festzustellen, ob Sie derzeit die orion - platform - versionen 2019.4 HF 5, 2020.2 ohne installierten Hotfix oder 2020.2 HF haben oder hatten。
  • Überwachen你的死DNS-Abfragen Ihres unternemen and werten你的死历史chen Abfragen aus,嗯festzustellen, ob irgendwelche DNS-Abfragen an Hostnamen die Domain " avsvmcloud[。com”enthalten。

在别丁根的旁边有一条路erfüllt在雪切尔黑茨的路上有一条路。Sie könnten jedoch so viele system haben, dass die Überprüfung jedes einzelnen Systems Jahre dauern könnte。Oder Sie könnten eine Größenbeschränkung für die DNS-Abfrageprotokolle haben, was eine unvollständige Historie liefern würde。

Mit JFrog Artifactory,他们universellen repository managerder JFrog平台,können Sie innerhalb von Sekunden feststellen, ob Sie von der SolarWinds-Verletzung betroffen信德。

Artifactory wid in Unternehmen häufig als artefak - datenbank eingesetzt。Nach dem Erwerb eines kommerziellen软件产品oder eines开源项目speichert in Unternehmen die erworbene Binärdatei in der Regel in einem Repository in Artifactory, wo sie versioniert und verwaltet werden kann。我是太阳风的秋天Software-Binärdateien在einem bestimmten generischen仓库gespeichert werden。Da Artifactory die einzige zuverlässige Datenbank für alle Binärdateien in Ihrem Unternehmen darstellt, kann die fraage, ob Sie von dieser Verletzung betroffen sinind, leicht durch einenfachenAPI- aufruf (API调用/查询)内halb von Artifactory beantwortet werden。

Die JFrog Platform Unified User Interface (GUI) ist auf der JFrog Platform REST API aufgebaut。Hier sehen Sie eine visuelle Darstellung für diesel Abfrage-Ergebnis。在diesem hypothetischen Fall bietet Ihnen die GUI eine Schnittstelle, um nach allen Artefakten mit dem Muster " orion* " zu suchen, und es siht so aus, als ob alle drei infizierten太阳风- bibliotheken betroffen信德。

Darüber hinaus haben Sie Einblick, wie intensiv jede Bibliothek genutzt wild (Anzahl der Downloads), und von welchem Benutzer。Die JFrog platform bietet in umfangreiches Logging, das mit weit verbreiteten Log Analytics Tools integrert wurde。

碎片2:一个骗子Stelle bin ich betroffen?

祖传德语德语schon eine Menge Blogs geschrieben and viele hochpreisige Berater angeheuert,嗯bei der Beantwortung dieser fragage Zu helfen。我有个好主意,我有个好主意。我最好的倒下最好的死亡Lösung达林,Unmengen von Protokollen zu durchforsten, den netzwerkverkerhr and das Verhalten der Zielsoftware zu überwachen。柴油Ansatz ist mehr Kunst als Wissenschaft,嗯es vorsichtig auszudrücken。Noch witchtiger ist, dass er kaum praktikabel ist, insbesondere für große Unternehmen。

我们都在一起Bemühungen我们都在一起,风景明信片Sicherheitslücke zu schließen。死亡Realität ist, dass es mehere Sicherheitslücken zur gleichen Zeit geben kann, und Die primitive brute -武力- methode ist einfach nachhaltig。

嗯zu vermeiden dass es soweit kommt, kann Ihnen JFrog x射线,das软件组合分析(SCA)工具der jfrog - platform, helfen, wiederum mit einem einfachenAPI调用/查询

x射线扫描alle Ihre Artefakte rekursiv, um eine binäre verindungsdatenbank zu erstellen, die auhals komponentengraphy bezeichnet wiund eine ganzheitliche Sicht auf jedes verwendete oder eingesetzte Artefakt bietet - unabhängig davon, ob es unabhängig oder als abhängiges Element eines anderen eingesetzten Artefakts eingesetzt wurde。

JFrog平台UI。In diesem hypothetischen Fall zeigen wir ein weit verbreitetes, anfälliges, Maven Jackson Package " com.fasterxml.jackson。核心:jackson-core: 2.11.0”。

Die jfrog - platform verfügt über ein“祖先(Vorläufer)”-Konzept welches alle Artefakte verfolgt, einschließlich dieser spezifischen杰克逊版本。Das rote Rechteck liefert auführliche, verschachtelte Verbindungsinformationen(依赖):Dieses Jackson-Paket ist Teil des Maven Spring-Pakets, Das wiederum Teil von " ui_server1.jar " ist - Ihrem eigenen Build。柴油建造ist wiederum Teil einerbestimmten Docker-Image-Schicht, die wiederum Teil des Docker-Images " pet_clinic " ist。Dieses Docker-Image ist in 3 verschiedenen " pet_clinic " Release Bundles enthten。静脉发布包ist ein Konstrukt der JFrog-Distribution, um den Übergang Ihres Softwarepakets über Netzwerke hinweg zu sichern, was wir später noch genauer erklären werden。Im aktuellen Kontext ist das Release Bundle gleichbedeutend mit einem vollständig enthtenen Paket, das bereit ist, installiert oder vertet zu werden。

片段3:Wie kann ich die verletzten图书馆/Abhängigkeiten beheben?

Von den drei Fragen ist dies die am einfachsten und unkompliziertesten zu beantwortende: die Behebung best darin, die betroffenen Server neu aufzubauen and mit einer neuen, aktualisierten安装Von SolarWinds Orion zu开始。Die millionaire - dollar - frage ist jedoch: Woher bekommen Sie Die Liste aller betroffenen Server?

Bewaffnet mit dem ganzheitlichen Wissen aus der Abhängigkeitsdatenbank(依赖列表)von Xray Wissen Sie nun genau, welches Artefakt in Ihrem Unternehmen infiziert ist。Um eine vollständige Nachvollziehbarkeit Ihres运行时部署zu haben, bietet die JFrog平台weitere创新技术。Die Release-Bundles von JFrog Distribution, Die mit GPG signiert und unveränderlich sind, machen Artefakte just-in-time und über ungesicherte Netzwerke hinweg in unmittelbarer Nähe zu Ihrer Laufzeitumgebung verfügbar。

Die jfrog - platform bietet End-to-End-Immutabilität für Ihre Binaries ab dem Moment, in dem das Binary erstellt oder in Ihre Unternehmensumgebung eingeführt wild。Sie niimt auch nativ an der gitop - methodik teil, die die vollständige Nachvollziehbarkeit jeder einzelnen Änderung innerhalb Ihrer Laufzeitumgebung in einer versionskontrollierten, unveränderlichen Weise innerhalb Ihres Git/VCS bietet。Durch die Kombination der End-to-End-Binary-Management-Fähigkeit der JFrog Platform mit Ihren GitOps-Praktiken können die angegriffenen SolarWinds-Server auf automatisierte Weise behoben werden。

diesel diagram zeigt, wie die JFrog Platform nahtlos in das GitOps-Ökosystem eingebunden werden kann - in diesem Fall mit通量CD

Fazit

Der SolarWinds-Vorfall hat uns eine Lektion erteilt:Unternehmenssoftware ist niemals sicher.Ob gewolt oder ungewolt, Schwachstellen sind immer Teil des Software-Lebenszyklus。Wenn wir diese Tatsache akzeptieren, dass Unternehmenssoftware niemals sicher ist, ist die beste Sicherheitsmaßnahme die ein Unternehmen anstreben sollte, eine Möglichkeit zu haben die betroffene Software schnell zu korrigieren。

Die Ermittlung, Verfolgung und Behebung der solarwind - verletzung erfordert eine centralisite Lösung für das企业二进制生命周期管理,Die in der Lage ist, jedes Artefakt und seine Abhängigkeiten innerhalb der gesamten Organisation zu verfolgen。我们在一起Lösung müssen我们在一起zeitaufwändigen, manuellen Prozessen begnügen,我们在一起,在一起,endgültigen安特沃腾的生活。Ohne einen klaren Überblick über柴油机问题steigt das Risiko, dass Ihr Unternehmen angegriffen ward。

Wie wir in diesem Blog-Beitrag erklärt haben,自动,理性和统一的事实die JFrog平台柴油机Prozess and gibt Ihnen Klarheit über Ihren状态mit umsetzbaren Erkenntnissen and effektiven Möglichkeiten, das Problem zu identifizieren und zu lösen。

Die JFrog Platform ist Die einzige Enterprise-Binary-Lifecycle-Management-Lösung, Die auf einer Reihe von bewährten Grundlagentechnologien aufbaut, darunter:

  • 风景明信片软件物料清单(SBOM)mit umfassenden Metadaten von Artifactory
  • einen Komponentengraphen oder eine Abhängigkeitsdatenbank(依赖列表)Ihres unternehmen - software -Ökosystems, die von x射线verwaltet wid
  • einen unveränderlichen发布包审计跟踪JFrog发行版
  • unveranderliche CI / CD-Workflows

上传,下载,Einbindung,运行时部署,Ausmusterung, Archivierung und Löschung jedes binären Artefakts werden umfassend aufgezeichnet und, was noch wichtiger ist, können über eine einfach zu bedienende Abfragesprache, REST API und Benutzeroberfläche abgefragt werden。

zusammengefast gibt Ihnen die JFrog平台umfassende Möglichkeiten, jedes binäre Artefakt in seinem kompletten Lebenszyklus-Kontext innerhalb Ihres Unternehmens zu verfolgen。

Wenn Sie mehr erfahren möchten können Sie einenindividuelle technische Session mit JFrog vereinbaren。