Google內(nèi)部也用SolarWinds遭黑產(chǎn)品但未受影響

SolarWinds Orion Platform遭黑客滲透一案，已影響多個(gè)美國(guó)政府及知名企業(yè)。現(xiàn)在Google也坦承環(huán)境內(nèi)也有用SolarWinds產(chǎn)品，但強(qiáng)調(diào)Google產(chǎn)品及服務(wù)并未受相關(guān)攻擊的影響。

SolarWinds Orion平臺(tái)去年12月被發(fā)現(xiàn)遭植入惡意程序，受害組織涵蓋美國(guó)政府單位、盈利、非營(yíng)利單位及個(gè)人。始于去年12月上任的Google首任首席安全官Phil Venables指出，Google也有使用“受影響”的軟件和服務(wù)，但是使用很有限，而且Google內(nèi)部有防范供應(yīng)鏈安全風(fēng)險(xiǎn)的措施，即使發(fā)生這類情形也相當(dāng)有限，風(fēng)險(xiǎn)也會(huì)被控制住。此外，Google也對(duì)公司網(wǎng)絡(luò)和系統(tǒng)施以嚴(yán)密的監(jiān)控。他有信心沒有任何Google系統(tǒng)受到SolarWinds安全事件的影響。

為了打消外界的疑慮，Google舉例說明軟件開發(fā)過程及環(huán)境的安全性。包括Google Cloud有多層檢查和控制機(jī)制，包括Google自己設(shè)計(jì)的硬件、自己管控的固件，自行發(fā)布的OS image及經(jīng)過Google強(qiáng)化的hypervisor。Google Cloud上host機(jī)器也使用Titan芯片及強(qiáng)化VM（Shielded VM），還有實(shí)體的數(shù)據(jù)中心保全。

而在開發(fā)流程中，Google強(qiáng)調(diào)有二進(jìn)制授權(quán)（Binary Authorization），檢查軟件是在安全隔離環(huán)境下簽章開發(fā)而成，也僅有通過嚴(yán)格管控檢查的二進(jìn)制檔才準(zhǔn)給執(zhí)行，并且會(huì)持續(xù)受到驗(yàn)證，以避免惡意軟件被植入生產(chǎn)環(huán)境中。此外，工程師若想變更程序代碼和組態(tài)，也必須經(jīng)過其他至少一人的檢查。敏感的管理員活動(dòng)，還需要再取得人員許可。

Google并強(qiáng)調(diào)，萬一惡意軟件成功進(jìn)入Google軟件供應(yīng)鏈上游組件，到了設(shè)備端還有隔離技術(shù)，包括Android OS的應(yīng)用程序沙箱、容器沙箱gVisor及微服務(wù)容器BeyondProd等，作為最后一道防線。

Google之所以花了偌大篇幅解釋，是因?yàn)镾olarWinds產(chǎn)品遭黑事件中，如果受害者也是服務(wù)供應(yīng)商，則可能進(jìn)一步擴(kuò)大惡意程序感染范圍。例如黑客將木馬程序如Sunburst、Supernova嵌入在SolarWinds Orion的更新機(jī)制，成功下載到該公司客戶包括美國(guó)商務(wù)部、國(guó)土安全部、財(cái)政部、核子安全管理局，以及能源部的內(nèi)部系統(tǒng)。

微軟也證實(shí)其網(wǎng)絡(luò)環(huán)境中，有偵測(cè)到SolarWinds產(chǎn)品被植入的惡意程序，且攻擊者也曾訪問其軟件源碼。但微軟表示公司有完善的開發(fā)安全管控，因此惡意程序并未影響到其產(chǎn)品服務(wù)。