SolarWinds前员工披露:公司长期存在漏洞、管理层极不重视安全

近期身处舆论中心的软件公司SolarWinds的前任安全顾问Ian Thornton-Trump表示,他曾警告该公司关注网络安全风险管理并制定了一项改进计划,但最终未能得到应有的重视。

根据彭博社报道,在这份长达23页的PPT演示文稿中,Thornton-Trump于2017年就曾向SolarWinds公司高管建议应任命一位网络安全高级总监,并表示“公司的生存,取决于组织内部对安全性的有力承诺。”

但就在第二个月,他毅然决定离职,并表示他认为该公司领导层并不愿意做出“有意义”的变革。

曾任SolarWinds公司软件工程师的Thornton-Trump在采访中指出,考虑到该公司的网络安全风险态势,他们认为曝出重大漏洞将只是时间问题。而这一担忧也得到多位网络安全研究人员的共同认可,他们发现了一系列明显的安全漏洞,并最终导致SolarWinds软件被用于俄罗斯黑客的攻击活动。

Thornton-Trump目前任威胁情报公司Cyjax Ltd.首席信息安全官,他指出,“从安全角度来看,SolarWinds已经成为极易被黑客入侵的目标。”

事实确实如此。就在上周,总部位于得克萨斯州奥斯汀市的SolarWinds赫然发现自己身陷这场有史以来规模最大的网络安全攻击之一。另一家网络安全公司以及熟悉调查工作内情的人士在采访中解释称,目前怀疑俄罗斯黑客至少破坏了200家客户的内部网络,其中包括多家美国政府机构以及难以准确统计数量的众多私营企业。

根据网络安全专家的表述,在这场极其复杂且难以跟踪的入侵当中,攻击方在SolarWinds推出的Orion平台更新中添加了恶意代码。目前,更新补丁已经被发送至18000家客户手中。

恶意代码为攻击方提供了访问客户计算机网络的通道。随着世界各地客户继续梳理业务系统以自查入侵迹象,预计后续受害者数量还将进一步增加。

SolarWinds公司首席执行官Kevin Thompson于上周五在官方网站上发布一份声明,提到该公司目前的首要任务是“保障我们自身以及客户环境的安全。”

“我们软件产品的安全度与信誉,是我们向客户做出服务承诺的基础。我们一直努力实施并维护适当安全措施、流程与程序,旨在保护客户的安全。”

与各机构合作以解决当前问题

SolarWinds发言人在回应关于2017年演示文稿及研究人员发现的其他安全问题时表示,“我们的首要任务是与客户、行业合作伙伴及政府机构通力配合,确定是否有外国政府组织此次攻击、充分了解影响范围,并着力满足客户在其间提出的各类需求。我们正在尽快以透明方式推进补救性工作。在当前问题处理完成之后,我们会有大把时间回顾与反思,届时我们还将以同样的透明方式发布最新进展。”

此外,该公司还表示正与执法部门联合,“继续收集所有相关信息,确保不会再次发生类似的事件。”

Thornton-Trump于2016年6月加入SolarWinds之前,一直在英国云计算公司LogicNow工作。他提到,自己至少曾向负责市场营销及技术方面的三位SolarWinds高管递交过这份2017 PPT报告。

Thornton-Trump指出,根据他的经验判断,SolarWinds一直没有投入足够的资金在企业内部建设网络安全。在2017年5月15日发送给SolarWinds高管的电子邮件中,他解释了自己决定离职的原因,其中提到他“已经对公司领导层失去了信心”,认为对方“似乎不愿意(根据他在LogicNow建立安全品牌的心得经验)做出更正”。

Thornton-Trump在采访中提到,“SolarWinds公司的技术产品层级缺乏安全约束,高管团队中了解安全事务的成员很少。我们早在2015年就意识到,黑客一直在想办法侵入企业内部,遗憾的是SolarWinds并没有任何反应,最终导致悲剧的发生。可借鉴的经验很多,但SolarWinds一直对现实问题视而不见。”

在Thornton-Trump离开SolarWinds的约两个月之后,该公司聘请了戴尔科技前首席技术官Tim Brown担任安全架构副总裁一职。去年,Brown在接受采访时表示,他正在努力保护SolarWinds系统免受攻击。他解释称,“我们每天都在测试事件响应流程,以防范外部重大事件。我们很幸运,测试结果也令人满意。”Brown同时强调,黑客入侵事件大多应被归咎于企业自身的疏忽,“看看以往那些成功的攻击,大多数源自受害者犯下的愚蠢错误。”

曾在美国多家SolarWinds办事处担任软件工程师的某前任雇员指出,SolarWinds似乎一直认为开发新软件产品的优先级应该高于内部网络安全防御工作。由于签署了保密协议,这位前员工要求匿名接受采访,并提到该公司的某些计算机系统长期运行着早已过时的网络浏览器与操作系统,这大大提高了企业遭受攻击的风险。

其他网络安全研究人员也纷纷表示,他们发现SolarWinds的安全实践确实存在不少问题。

Vinoth Kumar曾在2019年向SolarWinds方面通报过一次服务器密码在线泄露问题。根据Kumar的回忆,泄露的密码内容为“solarwinds123”。但对方的回应是,密码内容外泄属于“配置错误”,目前该密码已被删除。

此外,另外几位网络安全研究人员在Twitter上发推称,就在不久之前,SolarWinds仍在建议客户关闭对Orion平台产品的反病毒扫描,称这样能够提高该平台的运行效率。目前,关于这方面说明的网页已被从SolarWinds官方网站上撤下。

美国国家安全局前黑客成员、现任网络安全公司Redition Infosec总裁的Jake Williams表示,像SolarWinds这样的安全技术企业在构建及产出计算机代码时往往“安全性不佳”。

Williams强调,“安全属于成本中心,而非利润中心,我觉得问题也正在于此。SolarWinds一大潜在问题,很可能与缺少最佳安全实践有关。”

但即使SolarWinds设有强大的网络安全实践,也未必就阻止得了所谓俄罗斯黑客。毕竟根据美国当局的描述,对方技术高超、行动稳健、资源丰富,在攻击中表现出“精妙的处置手段”。

网络安全公司卡巴斯基全球研究与分析总监Costin Raiu认为,“现实情况在于,无论防御措施有多么到位,高水平的恶意攻击者总能取得成功。只要对方愿意付出足够的成本,目标一方根本无力抵抗。”

一家低调的成功企业

尽管SolarWinds的名号听起来不甚响亮,但其软件产品在美国及其他地区的IT部门中颇受欢迎,目前全球客户超过32万家,专门提供用于监控网络内计算机性能的技术方案。该公司高管似乎对这种悄悄赚钱的状态非常满意。SolarWinds托管服务供应商事业部总裁John Pagliuca在今年10月的财报电话会议上提到,“我们一直低调运作,在相对默默无闻的状态下保持着蓬勃发展。”

根据彭博社的销售记录统计,自1999年成立以来,SolarWinds及其合作伙伴已经与美国政府签订了价值超过2.3亿美元的供货合同。其软件在各级联邦政府机构中无处不在。记录显示,美国军方、联邦调查局、特勤局、国家核安全局、退伍军人事务部以及国土安全部都曾采购SolarWinds的软件。

SolarWinds软件还获批在美国政府内广泛使用。2019年8月,Orion软件的某一特定版本就获准供国防信息系统局使用,负责测试各类网络安全问题。

根据SolarWinds的介绍,其Orion平台为公司贡献了高达45%的整体收入。

此次攻击曝光于今年年底,在此之前SolarWinds已经迎来数轮财务里程碑。根据今年第二季度的报告,其完成了有史以来数额最大的商业交易,因此2020年全年收入有望首次突破10亿美元。

根据公司记录,虽然新冠疫情给整体经济形势带来极大的不确定性,但其销售额仍在不断增长。

前美国国安局(NSA)黑客Williams提到,SolarWinds很早就在政府市场上站稳了脚跟,凭借的正是其产品首创的“傻瓜式”设计。他解释称,“在网络管理系统领域,Orion的使用难度跟使用面巾纸一样轻松自然。相比之下,其他产品则复杂甚至可笑。Orion也是第一套真正具备易用性的网络管理系统,自然得到了市场的广泛青睐。”

任职14年之后,SolarWinds公司CEO Thompson计划于今年12月31日退休。在参加今年10月最后一轮财报电话会议时,他告别了同事和投资者,但当时的他乃至整个SolarWinds都没意识到冲击会来得这么快、这么狠。Thompson当时提到,“我们仍是软件行业的佼佼者。请保持信心,SolarWinds未来还有更多独门绝技要一一亮相。”

过去一周,自从疑似俄罗斯黑客入侵事件被曝光以来,SolarWinds公司的股价已经下跌40%,上周五收盘于每股14.18美元。这也是该公司股价连续五天下跌,其中周五当日跌幅为19%,成为自2018年10月以来的最大单日跌幅。

转载自:互联网安全内参

本文不代表本站观点,如侵权请联系删除。

发表评论