5、应用安全：从案例到核心原则

应用安全：从案例到核心原则

1. 软件安全失败案例

在当今数字化时代，软件安全问题日益凸显，以下是几个典型的软件安全失败案例。
- SolarWinds攻击事件 ：攻击者利用SolarWinds数字签名的恶意dll文件，其中包含SUNBURST，可与命令和控制（C2）服务器通信。攻击者精心隐藏活动，等待一段时间后执行命令，伪装成合法的Orion流量，并使用阻止列表来躲避法医和防病毒工具。插件进入目标系统后，采用删除 - 创建 - 执行 - 删除 - 创建的模式，劫持合法任务，进行恶意活动后再恢复正常。此次攻击持续数月，直到攻击者入侵FireEye才被发现。这表明面对如此复杂的攻击，仅依靠常规的加密和清理手段是不够的，我们需要转变思维，假设系统已被入侵，并快速做出响应。
- Accellion攻击事件 ：许多组织因各种原因保留旧软件，Accellion的File Transfer Appliance（FTA）产品近20年且接近生命周期尾声时，在2020年底遭到网络攻击。攻击者先窃取Accellion的数据，然后直接攻击其客户，目标是窃取数据和勒索钱财。他们通过对document_root.html文件进行SQL注入攻击获取密钥，生成合法访问令牌，再利用这些令牌访问sftp_account_edit.php文件，进行OS命令注入，创建shell，进而上传更复杂的工具，窃取信息并转移到客户服务器。Accellion的医疗客户需根据HIPAA违规通知规则通知受影响的患者、媒体和卫生与公众服务部，随后引发了诉讼，近350万患者的受保护健康信息（PHI）被盗。这凸显了组织无法停用旧软件的广泛影响，组织必须制定并坚持日落和生命周期结束政策