SolarWinds Orion Platform遭黑客渗透一案,已影响多个美国政府及知名企业。现在Google也坦承环境内也有用SolarWinds产品,但强调Google产品及服务并未受相关攻击的影响。
SolarWinds Orion平台去年12月被发现遭植入恶意程序,受害组织涵盖美国政府单位、盈利、非营利单位及个人。始于去年12月上任的Google首任首席安全官Phil Venables指出,Google也有使用“受影响”的软件和服务,但是使用很有限,而且Google内部有防范供应链安全风险的措施,即使发生这类情形也相当有限,风险也会被控制住。此外,Google也对公司网络和系统施以严密的监控。他有信心没有任何Google系统受到SolarWinds安全事件的影响。
为了打消外界的疑虑,Google举例说明软件开发过程及环境的安全性。包括Google Cloud有多层检查和控制机制,包括Google自己设计的硬件、自己管控的固件,自行发布的OS image及经过Google强化的hypervisor。Google Cloud上host机器也使用Titan芯片及强化VM(Shielded VM),还有实体的数据中心保全。
而在开发流程中,Google强调有二进制授权(Binary Authorization),检查软件是在安全隔离环境下签章开发而成,也仅有通过严格管控检查的二进制档才准给执行,并且会持续受到验证,以避免恶意软件被植入生产环境中。此外,工程师若想变更程序代码和组态,也必须经过其他至少一人的检查。敏感的管理员活动,还需要再取得人员许可。
Google并强调,万一恶意软件成功进入Google软件供应链上游组件,到了设备端还有隔离技术,包括Android OS的应用程序沙箱、容器沙箱gVisor及微服务容器BeyondProd等,作为最后一道防线。
Google之所以花了偌大篇幅解释,是因为SolarWinds产品遭黑事件中,如果受害者也是服务供应商,则可能进一步扩大恶意程序感染范围。例如黑客将木马程序如Sunburst、Supernova嵌入在SolarWinds Orion的更新机制,成功下载到该公司客户包括美国商务部、国土安全部、财政部、核子安全管理局,以及能源部的内部系统。
微软也证实其网络环境中,有侦测到SolarWinds产品被植入的恶意程序,且攻击者也曾访问其软件源码。但微软表示公司有完善的开发安全管控,因此恶意程序并未影响到其产品服务。