Microsoft открывает доступ к запросам CodeQL после взлома SolarWinds
Взлом SolarWinds потребовал большого количества ресурсов в сообществе кибербезопасности. Поскольку законодательные органы работают с экспертами по информационной безопасности и Силиконовой долиной, чтобы лучше бороться с последствиями, а также предотвращать подобные атаки в будущем, Microsoft представила общественности одно решение. В сообщении в блоге по безопасности технологический гигант продемонстрировал смягчение позиции в отношении исследований с открытым исходным кодом (по крайней мере, в этом расследовании) с помощью CodeQL. Это произошло вслед за разоблачением того, что Solorigate, представляющий собой DLL-файл, был скомпрометированным компонентом, с которого начался взлом SolarWinds.
В блоге команда безопасности Microsoft прямо заявляет, что они открывают запросы CodeQL для публики. Они называют этот подход «Githubification» исследований в области безопасности, делая явную ссылку на роль, которую GitHub играет в развитии технологий с открытым исходным кодом. CodeQL — это «механизм семантического анализа кода», который позволяет находить все варианты уязвимостей с помощью написания запросов. Затем запросы могут быть переданы в децентрализованную сеть, открытую для всех исследователей информационной безопасности.
Microsoft описывает подход с CodeQL следующим образом:
Мы использовали две разные тактики при поиске IoC Solorigate на уровне кода. Один подход ищет определенный синтаксис, который выделялся в IoC на уровне кода Solorigate; другой подход ищет общие семантические шаблоны для методов, присутствующих в IoC на уровне кода… Синтаксические запросы очень быстро пишутся и выполняются, предлагая при этом ряд преимуществ по сравнению с сопоставимыми поисками по регулярным выражениям; однако они ненадежны для злоумышленника, изменяющего имена и литералы, которые они используют. Семантические шаблоны ищут общие методы, используемые в импланте, такие как хеширование имен процессов, временные задержки перед обращением к серверам C2 и т. д. Они устойчивы к существенным изменениям, но их сложнее создавать и они требуют больших вычислительных ресурсов при анализе. много кодовых баз одновременно.
Многие в сообществе безопасности очень хорошо воспринимают новости CodeQL от Microsoft. У компании плохая репутация в мире информационной безопасности, и на то есть веские причины, но похоже, что они, по крайней мере, пытаются исправить свои ошибки, которые привели к такому катастрофическому взлому. В беседе с SCMagazine Ламар Бейли, старший директор по исследованиям в области безопасности в Tripwire, сказал следующее:
Благодаря более тесному сотрудничеству и партнерству мы увидим, как битва перевернется в нашу пользу, и положим конец крупным кибератакам, подобным тем, свидетелями которых мы были в последние месяцы.
Сотрудничество, какая новая концепция.