SolarWinds Orion Platform遭駭客滲透一案,已影響多個美國政府及知名企業。現在Google也坦承環境內也有用SolarWinds產品,但強調Google產品及服務並未受相關攻擊的影響。

SolarWinds Orion平臺去年12月被發現遭植入惡意程式,受害組織涵括美國政府單位、營利、非營利單位及個人。甫於去年12月上任的Google首任資安長 Phil Venables指出,Google也有使用「受影響」的軟體和服務,但是使用很有限,而且Google內部有防範供應鏈安全風險的措施,即使發生這類情形也相當有限,風險也會被控制住。此外,Google也對公司網路和系統施以嚴密的監控。他有信心沒有任何Google系統受到SolarWinds資安事件的影響。

為了打消外界的疑慮,Google舉例說明軟體開發過程及環境的安全性。包括Google Cloud有多層檢查和控制機制,包括Google自己設計的硬體、自己控管的韌體,自行發布的OS image及經過Google強化的hypervisor。Google Cloud上host機器也使用Titan晶片及強化VM(Shielded VM),還有實體的資料中心保全。

而在開發流程中,Google強調有二進位授權(Binary Authorization),檢查軟體是在安全隔離環境下簽章開發而成,也僅有通過嚴格控管檢查的二進位檔才准予執行,並且會持續受到驗證,以避免惡意軟體被植入生產環境中。此外,工程師若想變更程式碼和組態,也必須經過其他至少一人的檢查。敏感的管理員活動,還需要再取得人員許可。

Google並強調,萬一惡意軟體成功進入Google軟體供應鏈上游元件,到了裝置端還有隔離技術,包括Android OS的應用程式沙箱、容器沙箱gVisor及微服務容器BeyondProd等,作為最後一道防線。

Google之所以花了偌大篇幅解釋,是因為SolarWinds產品遭駭事件中,如果受害者也是服務供應商,則可能進一步擴大惡意程式感染範圍。例如駭客將木馬程式如Sunburst、Supernova嵌入在SolarWinds Orion的更新機制,成功下載到該公司客戶包括美國商務部、國土安全部、財政部、核子安全管理局,以及能源部的內部系統。

微軟也證實其網路環境中,有偵測到SolarWinds產品被植入的惡意程式,且攻擊者也曾存取其軟體原始碼。但微軟表示公司有完善的開發安全控管,因此惡意程式並未影響到其產品服務。


熱門新聞

Advertisement