Google Cloud von SolarWinds Attacke kaum betroffen

Phil Venables, Google Clouds erster Chief Information Security Office (CISO), trat seinen Job Mitte Dezember an, als die USA gerade begannen, das Ausmaß des Software-Lieferketten-Malware-Angriffs zu verstehen.

Der Hack betraf das US-Finanzministerium, die National Telecommunications and Information Administration (NTIA) des US-Handelsministeriums, das Justizministerium, den Quellcode von Microsoft sowie das National Institutes of Health (NIH) des US-Gesundheitsministeriums, das Department of Homeland Security (DHS) und seine Cybersecurity and Infrastructure Agency (CISA), das US-Außenministerium, die National Nuclear Security Administration (NNSA), das US-Energieministerium (DOE), mehrere US-Bundesstaaten sowie Cisco, Intel und VMWare. US-Behörden beschuldigen die russischen Regierung, Hintermänner des Angriffs zu sein.

Venables besteht darauf, dass keine Google-Systeme von dem Angriff betroffen waren. Es ist eine wichtige Botschaft von Google in einer Zeit, in der Hacks das Vertrauen in bekannte Software-Lieferanten untergraben haben, was wiederum Googles 12-Milliarden-Dollar-Jahresgeschäft in der Cloud bedroht. „Basierend auf dem, was heute über den Angriff bekannt ist, sind wir zuversichtlich, dass keine Google-Systeme von dem SolarWinds-Ereignis betroffen waren“, sagte Venables in einem Blogpost.

„Wir nutzen die betroffene Software und Dienste nur in sehr begrenztem Umfang, und unser Ansatz zur Minderung von Sicherheitsrisiken in der Lieferkette bedeutete, dass jede zufällige Nutzung begrenzt und eingedämmt war. Diese Kontrollen wurden durch eine ausgefeilte Überwachung unserer Netzwerke und Systeme unterstützt.“

Venables teilte auch einige Top-Tipps, mit denen Google sich und seine Kunden vor Bedrohungen in der Software-Lieferkette schützt. Dieser spezielle Angriff machte deutlich, wie vernetzt die gesamte Softwarebranche ist und wie verwundbar das Ökosystem aufgrund von Annahmen ist, die in die Systeme eingebaut sind, die verwendet werden, um Updates von bekannten und vertrauenswürdigen Lieferanten zu erhalten. Hacker drangen in SolarWinds ein und pflanzten Malware in Software-Updates für Orion ein, die einen Stützpunkt boten, von dem aus sich Angreifer in Netzwerken von Unternehmen und Behörden bewegen konnten.

Forscher von Crowdstrike haben letzte Woche aufgedeckt, dass bei dem Angriff auf die Kunden von SolarWinds eine dritte Malware über offizielle Software-Updates eingesetzt wurde. SolarWinds hat letzte Woche offengelegt, dass die Angreifer die Verteilung von Malware über Orion-Updates mindestens seit September 2019 getestet haben, was auf die Planung des Angriffs hinweist.

Laut Venables verwendet Google Frameworks für sichere Entwicklung und kontinuierliche Tests, um häufige Programmierfehler zu erkennen und zu vermeiden. „Unser eingebetteter Security-by-default-Ansatz berücksichtigt auch eine Vielzahl von Angriffsvektoren auf den Entwicklungsprozess selbst, einschließlich Risiken in der Lieferkette“, sagt er. Vertrauenswürdiges Cloud Computing bei Google Cloud bedeute die Kontrolle über Hardware und Software.

„Wir verlassen uns nicht auf eine einzige Sache, um unsere Sicherheit zu gewährleisten, sondern bauen stattdessen Schichten von Prüfungen und Kontrollen auf, die von Google entwickelte Hardware, von Google kontrollierte Firmware, von Google kuratierte Betriebssystem-Images, einen von Google gehärteten Hypervisor sowie physische Sicherheit und Dienstleistungen für das Rechenzentrum umfassen“, betont Venables.

„Wir bieten Zusicherungen in diesen Sicherheitsebenen durch Roots of Trust, wie Titan Chips für Google-Host-Maschinen und Shielded Virtual Machines. Durch die Kontrolle der Hardware und des Sicherheitsstapels können wir die Grundlagen unserer Sicherheitslage in einer Weise aufrechterhalten, wie es viele andere Anbieter nicht können. Wir glauben, dass dieses Maß an Kontrolle zu einem geringeren Risiko in der Lieferkette für uns und unsere Kunden führt.“

Google stellt außerdem sicher, dass die Software in einer genehmigten isolierten Build-Umgebung aus ordnungsgemäß eingechecktem, überprüftem und getesteten Code erstellt und signiert wird. Das Unternehmen setzt diese Kontrollen dann während der Bereitstellung durch, abhängig von der Sensibilität des Codes.

„Binärdateien dürfen nur ausgeführt werden, wenn sie solche Kontrollprüfungen bestehen, und wir überprüfen die Einhaltung der Richtlinien kontinuierlich während der gesamten Lebensdauer des Auftrags. Dies ist eine kritische Kontrolle, die dazu dient, die Möglichkeiten eines potenziell böswilligen Insiders oder eines anderen Bedrohungsakteurs, der sein Konto benutzt, einzuschränken, um bösartige Software in unsere Produktionsumgebung einzuschleusen“, erklärt Venables.

Schließlich stellt Google sicher, dass mindestens eine Person außer dem Autor nachweislich Code- und Konfigurationsänderungen überprüft, die von seinen Entwicklern eingereicht werden. „Sensible administrative Aktionen erfordern normalerweise zusätzliche menschliche Genehmigungen. Wir tun dies, um unerwartete Änderungen zu verhindern, egal ob es sich um Fehler oder bösartige Eingriffe handelt.“