自动评估和补救太阳风黑客

随着软件供应链攻击的增加，您是否想知道如何从最近的SolarWinds漏洞中快速恢复?在它被发现的几个月后，毁灭性的SolarWinds黑客仍然是企业最关心的问题，政府以及IT领导者。这种破坏性的供应链攻击引起了人们的关注软件开发安全——DevOps社区的一个关键问题。而关于它的新细节范围和影响继续表面公共和私营部门的研究人员继续探索这是有关此次袭击的关键问题悬在空中．

在这篇博客文章中，我们将解决cxo、董事会成员和IT主管对于SolarWinds漏洞最关心的三个关键问题，并解释DevOps团队今天如何用JFrog DevOps平台．

• 我是否受到泄露的影响?
• 我在哪里受到影响?
• 如何修复损坏的库/依赖项?

一点背景知识

黑客入侵了IT监控和管理供应商SolarWinds的系统，并在其Orion平台的软件构建过程中注入了恶意软件。在2020年的几个月里，SolarWinds无意中发布了带有该漏洞的产品更新，该漏洞旨在帮助黑客利用后门入侵客户的Orion服务器。

据估计，1.8万名客户收到了受污染的更新，其中几十个被入侵，包括知名跨国公司而且美国大型联邦政府机构．太阳风泄露就是一个例子供应链攻击——一个越来越受欢迎黑客将恶意软件隐藏在合法软件中，通过官方可信渠道从供应商分发给客户。

继续阅读，了解JFrog如何帮助您快速准确地评估您是否受到此攻击的影响，以及如何恢复损害。

问题1:我是否受到太阳风漏洞的影响?

一般来说，有两种方法来确定您是否受到攻击的影响，这两种方法都非常难以实现:

• 检查您企业中的每个系统，看看您目前或以前是否有Orion平台版本2019.4 HF 5、未安装热修复程序的2020.2或2020.2 HF。
• 监视您组织的当前DNS查询并挖掘历史查询，以确定对主机名的任何DNS查询是否包含域“avsvmcloud[.]com”。

如果满足其中一个或两个条件，您的企业就会受到攻击的影响。然而，您可能有如此多的系统，以至于检查每个系统可能需要数年时间。或者可以限制DNS查询日志的大小，这将提供不完整的历史记录。

与JFrog Artifactory, JFrog平台的通用存储库管理器在美国，您可以在几秒钟内轻松确定您是否受到太阳风漏洞的影响。

Artifactory在企业中被广泛用作工件数据库。在获得商业软件产品或开源项目后，企业通常会将获得的二进制文件存储在Artifactory的存储库中，在那里可以对其进行版本控制和管理。在SolarWinds案例中，三个受影响的软件二进制文件可以存储在特定的通用存储库中。由于Artifactory为您企业中的所有二进制文件提供了唯一的真相来源，因此您是否受到这种破坏的影响的问题可以通过简单的语句轻松回答API调用/查询Artifactory之内。

JFrog平台统一用户界面(GUI)是建立在JFrog平台REST API之上的。下面是该结果的可视化表示。在这个假设的情况下，GUI为您提供了一个界面，用于搜索所有带有“orion*”模式的工件，看起来我们受到了所有三个受感染的SolarWinds库的影响。

此外，您还可以看到每个库的使用范围(下载数量)以及哪个用户。JFrog平台提供了广泛的日志记录，它与广泛使用的日志分析工具集成在一起。

问题2:我在哪里受到影响?

关于这个话题已经有很多博客了，也有很多高价聘请的顾问来帮助你回答这个问题。但是，目前业界还没有给出明确的答案。在最好的情况下，解决方案与挖掘大量日志、监控网络流量和目标软件行为相一致。这种方法至少可以说是一种艺术，而不是科学。更重要的是，这是不现实的，特别是对大企业。

记住，所有这些努力只是为了修复一个漏洞。现实情况是，可能同时有多个漏洞在发生，而原始的、暴力的方法是不可持续的。

JFrog x射线，JFrog平台软件组合分析(SCA)工具，同样是通过一个简单的API调用/查询，为您提供了这个问题的精确而快速的答案。

Xray递归地扫描所有工件以创建二进制互连数据库，也称为组件图，它维护正在使用或部署的每个工件的整体视图——无论它是独立部署的，还是作为另一个已部署工件的包含依赖项。

下面是一个来自JFrog平台UI的可视化表示。在这个假设的情况下，我们展示了一个广泛使用的、易受攻击的Maven Jackson包“com.fasterxml.jackson”。核心:jackson-core: 2.11.0”。

JFrog平台引入了一个“祖先”概念，它可以跟踪所有工件，包括这个特定的Jackson版本。这个Jackson包是Maven Spring包的一部分，而Maven Spring包又是“ui_server1.jar”(您自己的Build)的一部分。这个构建反过来是特定的Docker映像层，它本身是“pet_clinic”Docker映像的一部分。这个Docker映像包含在3个不同的“pet_clinic”发布包中。一个发布包是一个JFrog分布构造来确保软件包在网络之间的转换，稍后我们将更详细地解释这一点。在当前的上下文中，Release Bundle相当于一个完全包含的包，可以随时安装或部署。

问题3:如何补救SolarWind破坏的库/依赖项?

在这三个问题中，这是最简单、最直接的回答:补救措施包括重建受影响的服务器，并从重新更新安装SolarWinds Orion开始。然而，最重要的问题是:从哪里获得所有受影响服务器的列表?

有了来自Xray二进制互连数据库的全面知识，您现在可以确切地知道企业中哪个工件受到了感染。为了对运行时部署有完全的可追溯性，JFrog平台提供了额外的创新技术。JFrog发行版的发布包通过GPG进行了签名和不可更改，使工件可以及时可用，并且在不安全的网络中最接近您的运行时环境。

从二进制文件创建或引入到企业环境的那一刻起，JFrog平台就为您的二进制文件提供了端到端的不变性。它还在GitOps方法中原生参与，该方法在Git/VCS中以版本控制的、不可变的方式提供运行时环境中每一个更改的完整可追溯性。将JFrog平台的端到端二进制管理功能与您的GitOps实践相结合，可以自动修复被破坏的SolarWinds服务器。

该图演示了JFrog平台如何无缝地参与到GitOps生态系统中——在这种情况下，通过通量CD．

结论

太阳风事件给了我们一个教训:企业软件永远不安全．无论是有意还是无意，漏洞总是软件生命周期的一部分。如果我们接受企业软件永远不安全这一事实，那么敏捷地修复受影响的软件是任何企业都应该追求的最佳安全姿态。

检测、跟踪和补救SolarWinds漏洞需要企业的集中式解决方案二进制生命周期管理这能够跟踪整个组织中的每个工件及其依赖项。如果没有这样的解决方案，你就只能面对耗时的手工流程，这些流程无法扩展，也不精确，最终也无法给你清晰、明确的答案。如果没有对这个问题的清晰可见性，您被入侵的风险就会增加。

正如我们在这篇博客文章中所解释的，JFrog平台自动化、简化和简化了这个过程，让您清楚地了解您的状态，以及可操作的见解，以及识别问题和解决问题的有效能力。

JFrog平台是唯一的企业二进制生命周期管理解决方案，构建在一组经过时间考验的基础技术之上，包括:

• 一个软件物料清单(SBOM)来自Artifactory的详尽元数据
• 由Xray管理的企业软件生态系统的组件图或二进制互连数据库
• 来自JFrog发行版的不可更改的发布包审计跟踪
• 不可变的CI/CD工作流

每个二进制构件的上传、下载、包含、运行时部署、退役、存档和删除都被全面记录，更重要的是，可以通过易于使用的查询语言、REST API和用户界面进行查询。

总之，JFrog平台为您提供了全面的功能，可以在企业的完整生命周期上下文中跟踪任何二进制工件。

想知道更多吗?请安排与JFrog一对一的技术会议。