「聯合身分管理系統」會在系統中儲存使用者的憑證。之後使用者要登入外部服務,例如亞馬遜雲端運算(Amazon Web Services, AWS)的時候,就可以直接跟管理系統要求憑證,轉交給第三方,證明自己是合法使用者。
駭客在SolarWinds攻擊中就是利用這種機制,它使用一個「黃金SAML」(Security Assertion Markup Language,安全聲明標記語言)繞過使用者的同意,直接向第三方「證明」自己的身分。他用Orion軟體連結雲端服務,偽裝成所有想要偽裝的身分,甚至是企業的執行長和IT管理員。因為它沒有聯絡「聯合身分管理系統」,該系統從頭到尾都不知道自己被繞過了。
零信任的各種意義
最近駭客使用IT管理軟體的方式,就是俗稱「就地取材」的攻擊手法。他們會躲在現有的管理軟體中,很長一段時間不會被發現。以前的駭客通常會直接向系統寄送惡意檔案,但防毒軟體現在都會監控所有靜態硬碟,也就是所謂的「死碟掃描」(Dead Disk Scan);所以駭客現在都放棄入侵硬碟,改為利用電腦運作中的漏洞。只要找到漏洞,就可以躲在電腦中不被發現。
高階駭客還會在各台主機間不斷轉移,獲取越來越高的權限。這也表示他們必須仔細研究當地的網路環境,躲開所有監視工具,躲開所有明確要求系統管理員認證的目標,避免留下足跡。要應付這種入侵,目前主流的方法就是「零信任」。
根據美國國防部的《零信任參考架構》(Zero Trust Reference Architecture),「零信任模型的基本原則,就是所有位於安全範圍外的參與者、系統、網路、服務,在登入時都需要驗證。這種戲劇性的典範轉移,是為了保護我們的基礎建設、網路、資料。過去只需要驗證一次之後就能持續登入,現在每位使用者、每台設備、每個應用程式、每筆交易都必須重新驗證。」
南方衛理公會大學(Southern Methodist University)安全長喬治‧芬尼(George Finney)在提到SolarWinds事件時指出,「零信任足以防止入侵嗎?大概不夠。但我堅信零信任原則只要更普遍應用,人們就能更早發現這類攻擊,阻斷它的傳播,降低它的傷害。」而且因為在SolarWinds攻擊中使用的Orion軟體,似乎打從一開始就能完全繞過認證,無論是人工或程式規則,似乎都不會注意到入侵。而且駭客還會刻意擾亂通訊,讓監控者更難發現網路已被入侵。