2020 年 12 月 14 日，向美國政府和私營企業提供網絡監控軟件的 SolarWinds 報告了歷史上最大的網絡攻擊之一，破壞了多達 18,000 個組織和公司的數據。由一個可能由外國政府支持的未知組織發起的所謂“Sunburst”攻擊始于 2020 年 3 月，并滲透到美國情報和國防組織以及微軟和思科系統等公司。

由于 Sunburst 這么多月都未被發現，網絡安全專家仍在評估其影響以及攻擊是否已被完全遏制。前美國國土安全顧問 Thomas P. Bossert警告說，將攻擊者從美國網絡中驅逐可能需要數年時間，同時允許他們繼續監控、破壞或篡改數據。雖然很少有人嘗試評估恢復成本，但肯定會達到數十億美元。美國參議員理查德·德賓將這次襲擊描述為宣戰。

被利用的漏洞是什么？

黑客利用了 SolarWinds 松懈的安全性。利用的漏洞向量是 FTP 服務器的弱密碼且可能已泄露。

在 SolarWinds 站穩腳跟后，攻擊者修改了 Orion 軟件更新的源代碼，以包含后門惡意軟件，該惡意軟件通過現有的軟件補丁發布管理系統進行編譯、簽名和交付。被利用的缺陷包括不受信任的開源和第三方軟件、代碼簽名的弱點以及惡意軟件通過軟件開發生命周期時不正確的代碼完整性檢查。

隨著用戶安裝 SolarWinds Onion 更新木馬，攻擊者獲得了一個后門來進入目標網絡、滲透 Microsoft Office 365 帳戶、偽造安全斷言標記語言 (SAML) 令牌以偽裝成合法用戶并濫用單點登錄 (SSO) 聯合身份驗證機制，以獲取升級權限和非法訪問其他本地服務以及云服務。

避免類似 Sunburst 的黑客入侵的主要方法如下：

通過防止利用軟件分發漏洞加強開發系統和更新服務器安全

通過禁止惡意軟件訪問攻擊者的 C2（命令和控制）渠道并限制憑據濫用來降低組織軟件供應鏈風險。

PUF 如何防止類似 Sunburst 的攻擊

信任根 (RoT) 是在硬件中實現的一組功能，始終受設備操作系統的信任。它包含用于加密功能的密鑰并啟用安全啟動過程。可信平臺模塊 (TPM) 是 RoT 的一個示例。美國國防部 (DoD) 要求其新的計算機資產包括 TPM 1.2 或更高版本。DoD 旨在使用 TPM 進行設備識別、身份驗證、加密和設備完整性驗證。

物理不可克隆功能 (PUF) 可以進一步增強 RoT 安全性。PUF 是一種物理定義的“指紋”，用作半導體的唯一身份，具有防篡改特性，可用于安全認證。RoT 最安全的實現是在硬件中，它可以免受惡意軟件攻擊。因此，基于芯片的PUF可以為安全提供堅實的基礎。

我們相信，PUF 將在減輕類似 Sunburst 的黑客攻擊方面發揮關鍵作用，這要歸功于它們執行數字認證和身份認證的能力。基于 PUF 的 RoT 可以通過以下方式發揮關鍵作用：

防止未經授權訪問軟件開發系統和服務器。基于 PUF 的 RoT 解決方案可以與 Microsoft 身份驗證協議（例如 NetLogon）或其他無密碼開放身份驗證標準（如 FIDO（快速在線身份驗證））一起使用，并促進基于使用身份驗證密鑰對的簽名創建的更強大的多因素身份驗證。

即使在開發人員的平臺上也能確保源代碼的完整性。黑客進入 SolarWinds 的系統及其開發者平臺，將木馬嵌入到其代碼庫中。如果為版本控制部署了完整性檢查，SolarWinds 工程師可能會發現他們的代碼已被更改。可以用代碼標記 PUF 密鑰以創建散列摘要以確保源代碼的完整性。

確保更新程序的機密性和完整性。一旦保證了代碼庫的完整性，就保證了最終程序的完整性。然后，通過OTA（online-trust-architecture）更新用戶的程序，需要對程序進行加密和哈希處理，以便用戶接收到正確的程序。啟用 PUF 的芯片安全邊界內的加密引擎可以生成密鑰以執行加密和完整性功能。

我們可以防范未來的攻擊嗎？

很明顯，傳統的基于軟件的安全解決方案在檢測或緩解 Sunburst 攻擊方面是無效的。我們提倡更有效的模式。

PUF 可以為安全基礎提供不可偽造的用戶身份和憑證、強大的身份驗證和用于代碼簽名的密鑰，以及安全啟動、更新和訪問控制等功能。根據 ENISA 的物聯網安全指南，PUF 被推薦為一項關鍵技術。PUF 預計將提供強大的 RoT 作為安全措施（例如，固件簽名或安全啟動）的基礎，以及明確的設備識別/身份驗證以確保給定芯片/設備是真實的。PUFsecurity 提供了我們的 NeoPUF 技術作為 RoT 解決方案，以保護 IoT 供應鏈。在這個堅實的基礎上，我們樂觀地認為，軟件供應鏈的增強型 PUF 解決方案可以抵御未來類似 Sunburst 的攻擊。

我們希望 SolarWinds 黑客攻擊能夠推動根本性改革。盡管互聯網技術呈指數級增長，但安全措施的發展通常是事后才考慮的。我們提倡對黑客進行多層次的防御，包括更好的管理實踐、改進的軟件安全性和硬件級別的重要保護措施。我們公司 PUFsecurity 多年來一直專注于這些威脅，并提供了一系列可以整合到其他公司芯片中的知識產權。

參考：

高度規避的攻擊者利用 SolarWinds 供應鏈通過 SUNBURST 后門危害多個全球受害者 火眼公司

SolarWinds Sunburst 攻擊：您需要知道什么以及如何保持保護 – Check Point 軟件

近期 Sunburst 目標攻擊概述 (trendmicro.com)

SunBurst：下一個級別的隱身 (reversinglabs.com)

Hsu, Charles，“A Must for AI/IOT Era PUF based Hardware Security”，第 30屆VLSI Design/CAD Symposium的主題演講，2019 年 8 月 8 日。

PUF：人工智能和物聯網的關鍵技術（design-reuse.com）

由芯片運行，由芯片保護 – NeoPUF 解決方案的硬件安全 (design-reuse.com)

ENISA，“物聯網安全指南：物聯網安全供應鏈”，2020 年 11 月

審核編輯 黃昊宇