以设计确保安全
时间:2022-03-15 00:45:02 | 来源:行业动态
时间:2022-03-15 00:45:02 来源:行业动态
针对此次安全事件,SolarWinds积极与行业专家合作实施增强的安全实践,以确保公司产品和环境不再受到各种攻击。SolarWinds提出以设计确保安全(Secure by Design)的理念,涉及基础设施、软件开发和人员三个方面。
具体而言,在基础设施层面,通过模拟攻击等行为和事件,思考如何面对、减缓甚至消除对整个系统攻击带来的后果;对于整个软件开发而言,我们需要确保整个软件开发周期的韧性,面对攻击的时候要有各种各样的手段进行抵御;站在人员的角度,从工具、技巧和程序把整个网络安全的概念带到每天的工作和软件开发当中,并且开展一系列配套的程序和流程。
围绕以设计确保安全,SolarWinds在三个不同的领域采取了多项行动:首先是保障内部环境,通过和CrowdStrike合作,大大提高了整个基础设施、基础环境的可视化。SolarWinds更好地实现了对整个软件环境、运营环境的监测,从而了解无论是人还是网络的信息是不是存在任何异常。SolarWinds也针对所有的用户重设了访问权限,并检查了整个用户服务系统的访问。此外,SolarWinds实施了多因素身份的验证(MFA),尤其是对多层次的验证,针对具有高优先级的客户使用YubiKey软件,保护硬件密钥、软件密钥等环境,进行更安全的身份验证工作,并和更多专业的合作机构在内部开展了一系列审计活动。
因为攻击是针对供应链,所以SolarWinds重新设计自动构建过程,包括检查过去两年Orion当中的代码以及其它需要检查的内容是不是过期,中间是不是有被攻击、被植入、被更改,包括不断地进行举证,以确保SolarWinds产品代码的安全性和完整性。
SolarWinds不光从源代码开始,而是对整个产品构建流程和进程,以及环境和源代码持续不断地进行综合审计。同时,SolarWinds与CrowdStrike、微软、SecurityWorks、Rapid7等众多合作伙伴一起实现多层安全性的合作。
SolarWinds致力于成为提供功能强大、价格适中且安全的解决方案的一流供应商,在IT管理网络方面有着完整的解决方案。SolarWinds愿意带头发动整个行业力量,将SolarWinds打造成安全软件环境、开发流程和产品的榜样。Tim最后说。