曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        SolarWinds攻擊和代碼簽名的最佳做法
        發布時間:2021-03-10 09:01:55   閱讀次數:

        SolarWinds攻擊和代碼簽名的最佳做法(圖1)

        自從宣布SolarWinds供應鏈攻擊以來,Crowdstrike、FireEye、Microsoft、Symantec、SolarWinds和許多其他工具已經進行了深入的分析,以了解攻擊在SolarWinds內部和目標網絡中的工作方式。在這里,我們重點關注代碼簽名過程,該過程似乎在SolarWinds上失敗了,但是如果將它們實施并提高到更高的標準,則可能可以減輕遭受攻擊的風險。


        概括一下到目前為止的情況:入侵者將所謂的Sunspot惡意軟件放置到SolarWinds系統中。Sunspot惡意軟件用于監視和劫持SolarWindsOrion應用程序的構建過程。這樣,在編譯時,源代碼文件內容被替換為包含Sunburst惡意軟件的版本。


        最終的可執行文件(稱為SolarWindsOrion.Core.BusinessLayer.dll)已由SolarWinds在2020年3月24日進行了數字簽名。隨著Orion在2020年3月至2020年6月之間的更新,Sunburst惡意軟件隨后滲透到18,000多個政府和專用網絡中。該惡意軟件在受感染的網絡上收集信息,并將數據發送到遠程服務器。在選定的目標上,Sunburst下載并安裝了Teardrop或Raindrop惡意軟件,這些惡意軟件隨后使攻擊者可以發起人為攻擊。


        作為滲透網絡中的動手鍵盤攻擊的一部分,攻擊者利用X.509證書創建對網絡的合法OAuth訪問,或者偽造SAML令牌并用合法的、受感染的證書簽名,以模擬受信任的用戶和帳戶。 


        代碼簽名

        顯然,SolarWinds擁有適當的代碼簽名,并且可能遵循了一些最佳實踐,例如: 

        • 在FIPS 140-2 3級硬件安全模塊HSM)中保存代碼簽名密鑰,以確保所有密鑰材料的最嚴格的安全性,  

        • 簽名過程的安全工作流,包括多個用戶,簽名前需要進行必要的批準(“認可的代碼簽名”), 

        • 使用策略從中央服務(策略引擎)嚴格控制誰可以使用哪些鍵(包括 參數選擇,以及

        • 保留明顯的篡改日志,以記錄誰使用了密鑰以及何時何地使用密鑰。


        據報道,在簽名被篡改的代碼時,SolarWinds的代碼簽名證書沒有受到泄漏。(不過請注意,SolarWinds正在對產品進行數字簽名,并且現有證書計劃于2021年3月8日撤銷。)


        SolarWinds失敗的地方似乎是企業內部供應鏈的完整性:源代碼存儲庫和代碼簽名系統之間沒有耦合。在編譯器讀取源代碼之前,已將錯誤代碼注入源代碼控制之外。如果代碼簽名系統不知道其簽名內容,則將簽名密鑰固定在HSM中無濟于事。 


        為了進行健壯的代碼簽名,代碼簽名系統必須驗證其簽名內容與源代碼存儲庫中的內容匹配:

        • 開發人員簽入的任何代碼或代碼修訂版都必須由該開發人員使用其自己的簽名密鑰進行數字簽名。 

        • 在構建過程中,將驗證所有開發人員簽名,從而對用于構建最終產品的每個模塊執行完整性檢查。這樣可以確保僅使用合法代碼。 

        • 只有成功完成所有這些檢查,才按照常規代碼簽名方案對最終版本進行簽名。 


        這將確保開發人員簽入的源代碼的完整性,直到最終構建和交付的鏈接,并防止網絡中的任何對手插入他們自己的惡意代碼。


        HSM與代碼簽名

        在現代IT組織大規模實施代碼簽名時,我們會遇到以下一些問題:

        • 不利用硬件保護與代碼簽名證書綁定的敏感私鑰。開發人員經常將代碼簽名證書存儲在文件系統中,工作站或構建服務器上,甚至在開發人員之間通過電子郵件發送,而不是安全地存儲在HSM中。

        • 不執行圍繞使用代碼簽名證書的批準過程和基于角色的訪問控制。隨著人員的變動和變化,很難跟蹤代碼簽名證書的住處以及有權訪問的人。

        • 地理位置分散的開發團隊為安全訪問代碼簽名證書增加了另一個難度。這種廣泛的公司邊界使得在不暴露私鑰和冒著伴隨軟件代碼的數字簽名的保證等級風險的情況下啟用代碼簽名變得更加困難。

        • 在效率方面,確保代碼簽名證書的安全還可以為開發人員創建額外的步驟,從而導致構建管道或發布周期的延遲。這些延遲通常是由訪問代碼簽名證書或執行簽名操作本身所花費的時間造成的。

        • 最后,也許是最重要的一點是,很難跟蹤和記錄使用代碼簽名證書進行審核和合規性所發生的一切。


        攬閣信息所提供的基于HSM的解決方案,已經與眾多知名廠商進行了底層的集成適配,可以有效的實現對代碼的簽名工作。


        代碼簽名證明簽名的軟件是合法的,來自一個已知的軟件供應商,并且該代碼自發布以來沒有被篡改。 代碼簽名可防止用戶由于安全警告消息,惡意更改合法代碼以及供應商作者的身份被盜取而放棄應用程序的安裝。


        代碼簽名證書使用唯一的加密散列來將發布者的身份綁定到軟件。 與未簽名代碼一起顯示的安全警告將替換為包含軟件發布商信息的通知,從而防止用戶放棄安裝和提高下載速度。 簽名代碼為安裝過程增加了一個重要的信任層。


        GlobalSign 是一個具有很高可信度并且發展良好的證書管理機構和SSL 提供商。 作為公眾信任服務行業的領頭羊,GlobalSign 自1996 年起開始頒發可信賴的數字證書――從一些已經廣泛普及的公眾根中提供公眾信任。這些可信任的根能夠為所有的操作系統、主要網站瀏覽器、服務器、e-mail 客戶端以及互聯網應用程序等識別,而且還包括了一些別的裝置,如智能電話、 Palm 以及主要的 PDA 和移動電話。


        GlobalSign代碼簽名證書被所有平臺上的開發人員使用來對通過Internet分發的應用程序和軟件進行數字簽名。 代碼簽名本質上提供與收縮包裝的CD相同的保證,因為簽名的代碼包括發布者的名稱以及該代碼自發布以來未被篡改的保證。 任何人從互聯網下載軟件都可以決定是否信任該軟件。


        GlobalSign簽發的證書已經與SafeNet Luna HSM進行了完美的集成,并擁有眾多成功案例。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精