Google內(nèi)部也用SolarWinds遭黑產(chǎn)品但未受影響

SolarWinds Orion Platform遭黑客滲透一案，已影響多個美國政府及知名企業(yè)?，F(xiàn)在Google也坦承環(huán)境內(nèi)也有用SolarWinds產(chǎn)品，但強調(diào)Google產(chǎn)品及服務并未受相關攻擊的影響。

SolarWinds Orion平臺去年12月被發(fā)現(xiàn)遭植入惡意程序，受害組織涵蓋美國政府單位、盈利、非營利單位及個人。始于去年12月上任的Google首任首席安全官Phil Venables指出，Google也有使用“受影響”的軟件和服務，但是使用很有限，而且Google內(nèi)部有防范供應鏈安全風險的措施，即使發(fā)生這類情形也相當有限，風險也會被控制住。此外，Google也對公司網(wǎng)絡和系統(tǒng)施以嚴密的監(jiān)控。他有信心沒有任何Google系統(tǒng)受到SolarWinds安全事件的影響。

為了打消外界的疑慮，Google舉例說明軟件開發(fā)過程及環(huán)境的安全性。包括Google Cloud有多層檢查和控制機制，包括Google自己設計的硬件、自己管控的固件，自行發(fā)布的OS image及經(jīng)過Google強化的hypervisor。Google Cloud上host機器也使用Titan芯片及強化VM（Shielded VM），還有實體的數(shù)據(jù)中心保全。

而在開發(fā)流程中，Google強調(diào)有二進制授權（Binary Authorization），檢查軟件是在安全隔離環(huán)境下簽章開發(fā)而成，也僅有通過嚴格管控檢查的二進制檔才準給執(zhí)行，并且會持續(xù)受到驗證，以避免惡意軟件被植入生產(chǎn)環(huán)境中。此外，工程師若想變更程序代碼和組態(tài)，也必須經(jīng)過其他至少一人的檢查。敏感的管理員活動，還需要再取得人員許可。

Google并強調(diào)，萬一惡意軟件成功進入Google軟件供應鏈上游組件，到了設備端還有隔離技術，包括Android OS的應用程序沙箱、容器沙箱gVisor及微服務容器BeyondProd等，作為最后一道防線。

Google之所以花了偌大篇幅解釋，是因為SolarWinds產(chǎn)品遭黑事件中，如果受害者也是服務供應商，則可能進一步擴大惡意程序感染范圍。例如黑客將木馬程序如Sunburst、Supernova嵌入在SolarWinds Orion的更新機制，成功下載到該公司客戶包括美國商務部、國土安全部、財政部、核子安全管理局，以及能源部的內(nèi)部系統(tǒng)。

微軟也證實其網(wǎng)絡環(huán)境中，有偵測到SolarWinds產(chǎn)品被植入的惡意程序，且攻擊者也曾訪問其軟件源碼。但微軟表示公司有完善的開發(fā)安全管控，因此惡意程序并未影響到其產(chǎn)品服務。