solarwinds что это такое
Вебинар Solarwinds и что у них нового в последней версии 2020.2
Solarwinds — очень известен своими решениями по мониторингу и удаленному управлению (Dameware). В этой статье мы расскажем об обновлениях платформы мониторинга Orion Solarwinds версии 2020.2 (вышла в июне 2020 года) и приглашаем вас на вебинар. Расскажем о решаемых задачах по мониторингу сетевых устройств и инфраструктуры, мониторингу flow- и span-трафика (а span Solarwinds тоже умеет, хотя, многие удивляются), мониторингу прикладного ПО, управлению конфигурациями, управлению адресным пространством и о реальных кейсах внедрения этого продукта у российских заказчиков — в первую очередь, в организациях банковской и нефтегазовой отрасли.
Вебинар проведем 19 августа в 10 утра совместно с компанией-дистрибьютором Аксофт.
А ниже под катом вы узнаете о новинках последней версии Solarwinds 2020.2. В конце статьи будет ссылка на онлайн-демо.
Платформа Orion Solarwinds — это различные модули для мониторинга и управления. Каждый из модулей получил расширение функционала, появилась поддержка новых устройств и протоколов.
Network Performance Monitor (NPM) 2020.2
Мониторинг до 1 000 000 элементов на одном экземпляре платформы Orion. По сравнению с версией 2018.2, в которой максимальное число элементов ограничивалось 400 000, рост производительности составил 250%. Кроме этого, увеличилась скорость холодного старта системы: слева версия 2020.2, справа версия 2019.4. Об улучшениях производительности можно узнать больше на этой странице в блоге Solarwinds.
Улучшились представления Solarwinds: создание и настройка текстовых полей, надписей или макетов, добавление пользовательских значков, добавление фигур, динамического фона, массовое администрирование и улучшенная работа с временной шкалой. Подробнее об улучшениях в части дашбордов можно узнать в блоге Solarwinds.
Модернизирован функционал создания кастомных дашбордов. Теперь представления можно создавать на основе языка запросов SWQL. Подробная информация в на странице блога Solarwinds.
Упрощение процесса обновления: возможность предварительного обновления, отчеты о плане обновления, автоматизация обновлений с помощью Orion SDK. Подробнее на этой странице.
Улучшение влияния состояния дисковых томов на статус родительского элемента инфраструктуры (ноды). Теперь влияет не только статус (доступен/не доступен), но и состояние утилизации дискового пространства. Можно также настраивать, что именно будет влиять на статус ноды. Подробности на этой странице.
Solarwinds разработал специальный SDK на базе PowerShell скриптов для загрузки языковых пакетов в систему. Может быть, когда-нибудь в Solarwinds появится и поддержка русского языка. Подробнее по этой ссылке.
Network Traffic Analyzer (NTA) 2020.2
Этот модуль улучшился по части поддержки распознавания трафика от VMware Virtual Distributed Switch (VDS) и интеграции с модулем Solarwinds IP Address Manager. Сейчас немного подробнее.
Анализ трафика крайне важен для понимания того, как нагрузки на элементы виртуальной инфраструктуры связаны и взаимодействуют между собой. Поддержка VDS помогает оценить влияние миграции и определить нагрузки с точки зрения трафика, который генерируется на других на виртуальных машинах, а также выявить зависимости от внешних сетевых служб.
VMware Virtual Distributed Switch коммутирует обмен данными между гипервизорами и на нём можно настроить экспорт данных по протоколу IPFIX.
После настройки отправки Netflow-трафика, в интерфейсе Solarwinds начнут появляться данные. О том, как настроить VMware VDS на отправку трафика на коллектор, можно прочитать в этой статье в блоге Solarwinds.
Улучшенная интеграция с IPAM позволяет повторно использовать уже созданные IP-группы, описывать точные условия отправки уведомления, которые ссылаются на трафик приложения с IP-группами или конкретными конечными точками.
При помощи IP-групп можно также описывать приложения, при этом в уведомлении будет указано это приложение. Подробнее об интеграции с IPAM в блоге Solarwinds.
Network Configuration Manager (NCM) 2020.2
Самое важное обновление — появление возможности одновременного обновления прошивки сразу нескольких устройств.
Другое обновление — появление встроенной базы с устройствами Cisco в статусе EOL и EOS. Подробнее в блоге Solarwinds.
IP Address Manager (IPAM) 2020.2
В центре внимания обновлений этого выпуска были пользовательские возможности и функциональность.
И модуль IPAM, и NTA имеют средства для создания и работы с группами IP, то есть коллекциями конечных точек или подсетей, которые ссылаются на группы конечных точек. Сейчас получаемый трафик можно характеризовать с точки зрения группы IP. Подробнее об обновлениях в IPAM в блоге Solarwinds.
User Device Tracker (UDT) 2020.2
Появилась поддержка технологии Cisco Viptela и устранены баги. Подробнее об обновлениях UDT читайте в блоге Solarwinds.
VoIP & Network Quality Manager (VNQM) 2020.2
В этом релизе появилась поддержка операций IPSLA от коммутационного центра Cisco Nexus для центров обработки данных. Для операций IPSLA, которые предварительно настроены на коммутаторах Cisco Nexus 3K, 7K и 9K, VNQM обнаружит их и запустит мониторинг. VNQM не включает возможности создания новых операций на устройствах. Ниже перечислены поддерживаемые операции.
В зависимости от платформы и конкретной операции, некоторые из них опрашиваются через командную строку. Для коммутаторов Cisco Nexus должны быть предоставлены текущие учетные данные CLI. Обратите внимание, что операции IPSLA не поддерживаются на коммутаторах серии Nexus 5K.
После настройки сбора данных по операциям, данные появятся в интерфейсе. Об обновлениях VNQM подробнее написано в блоге Solarwinds.
Log Analyzer 2020.2
Основное улучшение — добавление возможности анализа плоских файлов журналов. Эту аналитику можно использовать при расследовании причин возникновения нештатных ситуаций. Подробнее об обновлениях Log Analyzer можно узнать в блоге Solarwinds.
Server & Application Monitor (SAM) 2020.2
В SAM появились поллеры, которые можно привязывать к объектам мониторинга, их аж 23 штуки. При помощи поллеров можно снимать данные от PaaS, IaaS, локальных и гибридных инфраструктур. Поллеры подключаются через REST APIs к целевым системам: Azure, JetBrains, Bitbucket, Jira и другим. На скриншоте ниже приведён пример карты инфраструктуры, обнаруженной при помощи стандартного шаблона для Office 365 и шаблона поллера для Azure AD.
Для отображения собираемых данных в Solarwinds SAM предусмотрены готовые представления:
Следующее улучшение — расширение количества объектов мониторинга, которые поддерживает инсталляция Solarwinds, теперь это 550 000 компонентов или 40 000 нод (зависит от типа лицензий Solarwinds).
В версии SAM 2020.2 были обновлены некоторые шаблоны мониторинга, например, для JBoss и WildFly.
SAM 2020.2 получил сертификат Nutanix Ready Certified, который позволяет устанавливать SAM на гипервизоре Nutanix AHV и использовать Nutanix REST APIs для работы с AHV.
Появился мастер установки обновлений. При помощи него можно спланировать обновление и провести тестовую установку.
Solarwinds появился также и в магазине приложений AWS. В Azure он уже есть.
Узнать подробнее об обновлениях в модуле SAM можно узнать по ссылке.
Virtualization Manager (VMAN) 2020.2
Важное обновление этого модуля — появление поддержки визуализации на картах инфраструктуры Nutanix.
С версии 2020.2 VMAN отслеживает показатели хранения на всех уровнях среды Nutanix от уровня кластера и хоста до отдельных виртуальных машин и хранилищ данных.
Подробнее об обновлениях VMAN можно узнать в блоге Solarwinds.
Storage Resource Manager (SRM) 2020.2
Появилась поддержка мониторинга здоровья NetApp 7-Mode, расширилась поддержка сбора метрик с контроллеров массивов Dell EMC VNX/CLARiiON, а также появилась совместимость с FIPS. Об обновлениях в модуле SRM можно узнать в блоге Solarwinds.
Server Configuration Monitor (SCM) 2020.2
Появилась возможность аудита изменений баз данных.
Из коробки поддерживается аудит следующих баз данных: MS SQL Server (31 элемент), PostgreSQL (16 элемент) и MySQL (26 элемент).
И ещё одно улучшение — появился контроль атрибутов файла.
Обновления в модуле SCM подробнее описаны в блоге Solarwinds.
Web Performance Monitor (WPM) 2020.2
В новой версии появилась интеграция с инструментом для записи транзакций Pingdom. Pingdom — также часть Solarwinds. Подробнее об обновлениях WPM в блоге Solarwinds.
Database Performance Analyzer (DPA) 2020.2
Появилась поддержка глубокого анализа PostgreSQL. Анализ поддерживается для следующих типов БД:
Появилась поддержка следующих типов сертификатов для взаимодействия с БД:
Обновления модуля DPA подробнее описаны в блоге Solarwinds.
Enterprise Operations Console (EOC) 2020.2
В продукте улучшились типы представлений.
Подробнее об обновлениях модуля EOC в блоге Solarwinds.
Это все улучшения, о которых мы хотели рассказать. Если у вас есть вопросы, вы можете нам позвонить или задать их через форму обратной связи. А ещё не забудьте зарегистрироваться на предстоящий вебинар.
Другие наши статьи на Хабре о Solarwinds:
Solarwinds что это такое
Фото: Pavlo Gonchar / SOPA Images / Sipa USA / East News
Автоматические обновления компьютерных приложений считаются хорошим тоном в мире компьютерной безопасности. Тем не менее этот способ внедрения вредоносного кода уже неоднократно использовали хакеры. Атака на сервера компании SolarWinds стала самой масштабной: среди жертв тысячи организаций, в том числе Госдеп и Пентагон. США обвинили в атаке Россию — введенные президентом Джо Байденом новые санкции связаны в том числе и с этим взломом. «Медиазона» рассказывает, как атака через SolarWinds стала возможной, как ее обнаружили и почему она считается беспрецедентной.
«Взломы время от времени случаются»
«Сегодня США официально объявляют, что за широкомасштабной кибератакой с использованием платформы SolarWinds Orion и прочей IT-инфраструктуры стояла российская Служба внешней разведки (СВР), также известная как APT29, Cozy Bear и The Dukes, — говорится в сообщении на сайте Белого дома. — Доступ к системе распространения обновлений программного обеспечения SolarWinds предоставил СВР возможность взломать свыше 16 тысяч компьютерных систем по всему миру с потенциальной возможностью вмешательства в их работу. Эта кибератака затрагивает вопросы национальной безопасности и общественной безопасности».
В сообщении не утверждается, что все 16 тысяч компаний и ведомств были взломаны — но хакеры могли воспользоваться доступом к этим закрытым системам. Общее число пострадавших от взлома до сих пор выясняется. В опубликованных одновременно с приказом Байдена рекомендациях ФБР, Агентства национальной безопасности и Агентства кибербезопасности и инфраструктурной безопасности (CISA) говорится, что потенциальным жертвам взлома стоит помимо обновления ПО и прочих экстренных мер «исходить из того, что взломы время от времени случаются».
Белый дом подчеркивает, что кибератака на SolarWinds указывает на риски, «связанные с попытками России взламывать компании по всему миру через системы распространения [обновлений]». В связи с этим американские власти предупреждают о рисках сотрудничества с компаниями, которые «работают в России или хранят там пользовательские данные», а также каким-либо образом зависят от разработчиков или специалистов технической поддержки из России.
Британский МИД вслед за США обвинил СВР в причастности к кибератаке — к такому выводу пришли специалисты Центра правительственной связи (GCHQ). Дипломаты подчеркивают, что фактический доступ к внутренним сетям британских организаций удалось подтвердить только «в единичных случаях».
Представительница МИД России Мария Захарова поспешила ответить, что американские власти что-то «наворотили», и теперь «наш ответ неотвратим».
Служба внешней разведки отреагировала на решение Байдена пространным ответом о том, что «читать бред — занятие малоинтересное». «Во всем этом словоблудии самое неприятное вот что: «СВР России, также известная как. «. Извините, господа, но СВР России на весь мир известна с 1920 года как Иностранный отдел ВЧК, 5 отдел Первого управления НКВД СССР. С середины прошлого века — Первое главное управление КГБ СССР, а ныне — Служба внешней разведки Российской Федерации. За столетними славными страницами истории отечественной разведки стоит не только высочайший профессионализм, но и умение вести работу честно на благо нашей страны!» — подчеркнуло пресс-бюро СВР.
Жертвы атаки: Госдеп и Пентагон
О крупнейшей хакерской истории последних лет мир узнал с сообщения не самой известной широкой общественности калифорнийской компании FireEye, которая занимается кибербезопасностью: специалисты по взломам обнаружили, что кто-то взломал их самих. Компания остановилась в шаге от прямых обвинений, ограничившись формулировкой «кибершпионаж государственного уровня», однако источники американских газет тут же указали на предполагаемых взломщиков — хакеров, связанных с российской разведкой.
Вскоре выяснилось, что компания FireEye стала лишь последней целью хакеров, месяцами имевших доступ к внутренним системам американских министерств и компаний. Среди потенциальных пострадавших называли министерства торговли и финансов, компании Intel, VMware, Cisco, Nvidia и прочих IT-гигантов.
Источники Washington Post конкретизировали обвинения: «Российским хакерам, известным как APT29 и Cozy Bear и работающим в структуре российской Службы внешней разведки, удалось в некоторых случаях получить доступ к почтовым ящикам».
Аббревиатура с номером в американской официальной номенклатуре присваивается так называемым «перспективным устойчивым угрозам» кибернападений, сокращенно APT: APT28 — группировка Fancy Bear, APT29 — Cozy Bear. Моду на названия, связанные с медведями, ввела компания CrowdStrike, которая занимается предотвращением компьютерных атак и активно участвовала в расследовании взлома серверов Демократической партии США в 2015–2016 годах.
«Животные означают страну происхождения: русские — медведи, китайцы — панды, иранцы — котята, а северокорейцы — “чоллимы”, в честь мифического крылатого коня, — пересказывал Esquire в профайле основателя CrowdStrike, уроженца Москвы с американским гражданством Дмитрия Альперовича. — В компании есть традиция: аналитик, обнаруживший нового хакера, подбирает ему первую часть псевдонима. Группировка Cozy Bear получила свое название, потому что в их коде использовалось словечко coz. Код Fancy Bear в свою очередь содержал слово Sofacy, которое напомнило изучавшему их активность сотруднику песню Игги Азалии Fancy».
В FireEye присвоили нынешним взломщикам SolarWinds собственный идентификатор — UNC2452, а встроенному в обновление Orion коду — SUNBURST.
Тогда же, в декабре прояснился и «вектор атаки» — способ, использованный хакерами для получения доступа к внутренним системам. Аналитики атакованной FireEye изучили следы хакеров и выяснили, что зараженным оказался программный модуль Orion техасского разработчика SolarWinds — крупнейшего поставщика приложений для внутреннего IT-мониторинга, которые используют системные администраторы множества известных компаний и государственных учреждений.
Центр исследований и разработок компании FireEye. Фото: Arno Burgi / DPA / AP
«Продуктами конкурентов смехотворно сложно пользоваться, они не выдерживают сравнения. [SolarWinds] предложила первую по-настоящему удобную систему сетевого управления, и она моментально захватила рынок», — описывал положение компании на рынке бывший хакер Агентства национальной безопасности США Джейк Уильямс.
До взлома дела у SolarWinds шли только в гору — во втором квартале компания заключила крупнейшую в своей истории сделку и ожидала, что ее годовая выручка впервые превысит миллиард долларов.
Доминирующее положение SolarWinds в своей нише рынка в итоге и обеспечило масштабность заражения: хакеры еще весной добавили вредоносный код прямо в обновление к модулю Orion. Клиенты скачали его с официального сервера — в том числе компании FireEye, которая забила тревогу. Всего опасное обновление установили до 18 тысяч клиентов компании.
«Отключение подвергшихся заражению устройств является единственной известной на сегодняшний день мерой противодействия атаке», — напутствовали узнавших о возможном заражении в американском агентстве по кибербезопасности CISA.
Ключевую роль в оперативной реакции на взлом взяла на себя корпорация Microsoft, которая отозвала цифровые сертификаты зараженных файлов, чтобы операционная система Windows не позволяла их запускать, обновила стоп-листы встроенного антивируса Windows Defender и вместе с коллегами перехватила контроль над доменом avsvmcloud[.]com, который использовался хакерами для управления кодом.
Сама Microsoft также оказалась жертвой взлома: через офисное приложение Office 365 хакерам удалось получить доступ к имейлам сотрудников Национального управления информации и связи США (NTIA). Дальнейший список пострадавших американских ведомств только расширялся: Минэнерго, Национальное управление по ядерной безопасности (NNSA), Пентагон, Госдепартамент.
В Microsoft считают, что разработка уязвимости в SolarWinds потребовала участия «по меньшей мере тысячи очень профессиональных и способных» IT-специалистов.
Получившее всемирную известность благодаря разоблачениям Эдварда Сноудена Агентство национальной безопасности, которое само активно занимается кибершпионажем, также было клиентом SolarWinds и не знало о разворачивающейся атаке.
«Самыми постыдными примерами» New York Times называла беспечность Пентагона и министерства внутренней безопасности США, которые за месяц до скандала успели отчитаться о проведении президентских выборов без иностранного вмешательства. Это было в декабре — а в марте Associated Press узнала, что хакеры получили доступ к электронной почте главы трамповского министерства нацбезопасности Чада Вулфа и его сотрудников, занимавшихся отражением киберугроз.
Сбор данных и оценка полученной хакерами информации продолжаются до сих пор. На фоне расследования в программе SolarWinds был обнаружен второй бэкдор : SUPERNOVA вслед за лазейкой SUNBURST позволяла злоумышленникам запускать собственный код на компьютерах жертв, установивших обновление к модулю Orion — и тоже как минимум с марта прошлого года.
Новый вредоносный код оказался столь качественным и незаметным, что его могли пропустить не только автоматические системы проверки, но и человек. «Интересный поворот событий: расследование инцидента с SolarWinds привело к обнаружению дополнительного вредоносного ПО, которое также задействует Orion, но оно, вероятно, не связано с нынешним взломом и было использовано другим злоумышленником», — отметили в Microsoft.
Как хакеры проникли в SolarWinds
Взлом SolarWinds произошел давно: в октябре 2019 года клиенты компании впервые получили обновления, отправленные злоумышленниками с официальных серверов, но без вредоносного кода — исследователи пока считают, что это была подготовительная фаза операции.
SolarWinds давно предупреждали, что с безопасностью есть проблемы. В 2017 году руководству тщетно предлагали назначить директора по кибербезопасности, а в 2019-м один из менеджеров хвастался, что «нам везет, и это замечательно».
Компании действительно везло: в том же 2019 году исследователь Винот Кумар обнаружил, что доступ к сервису с обновлениями можно получить по паролю solarwinds123, после чего предупредил компанию и получил ответ, что это была «ошибка конфигурации». Хотя считается, что для нынешнего взлома SolarWinds не использовался именно этот пароль, общая картина идентична: даже после обнаружения вредоносного кода в апдейте Orion компания несколько дней не закрывала к нему доступ.
Более того, до взлома на сайте SolarWinds в разделе с информацией даже была страница, на которой предлагалось отключить сканирование пользовательскими антивирусами папки с файлами Orion «для лучшей работы» приложения; после публикаций о взломе страницу удалили.
This is nuts. Solarwinds had a support page (now removed) advising users to DISABLE antivirus scanning for Orion products’ folders. pic.twitter.com/ptUKR4zQ8d
This is nuts. Solarwinds had a support page (now removed) advising users to DISABLE antivirus scanning for Orion products’ folders. pic.twitter.com/ptUKR4zQ8d
This is nuts. Solarwinds had a support page (now removed) advising users to DISABLE antivirus scanning for Orion products’ folders. pic.twitter.com/ptUKR4zQ8d
This is nuts. Solarwinds had a support page (now removed) advising users to DISABLE antivirus scanning for Orion products’ folders. pic.twitter.com/ptUKR4zQ8d
Скандал случился на закате карьеры главы SolarWinds Кевина Томпсона, для которого декабрь и без того должен был стать последним месяцем работы после 14 лет во главе компании. «Мы по-прежнему лучшая история в софтвере», — обращался он к коллегам и инвесторам в своем последнем финансовом отчете.
Уходившая администрация Дональда Трампа по поводу взлома высказывалась противоречиво: госсекретарь Майк Помпео и уже уволенный генпрокурор Уильям Барр обвиняли в кибератаке абстрактных «русских», а сам президент намекал, что это «мог быть» Китай. Представители Джо Байдена еще до инаугурации говорили, что собираются предпринять «не только санкции, но и прочие вещи и шаги, которые необходимы для снижения возможностей иностранных акторов для осуществления подобных атак».
«Ответственно заявляем: нападения в информационном пространстве противоречат внешнеполитическим принципам нашей страны, ее национальным интересам и пониманию того, как выстраиваются отношения между государствами. Россия не проводит «наступательных» операций в виртуальной среде», — заверяли в декабре в российском посольстве в Вашингтоне.
Представительница МИД Мария Захарова тогда называла обвинения в адрес России бездоказательными и ложными — особенно на фоне «киберпандемии». Пресс-секретарь президента Дмитрий Песков безучастно отмечал, что «именно Соединенные Штаты стали жертвой этой хакерской атаки и, определенно, эта дискуссия не имеет к нам никакого отношения, потому что Россия не причастна к таким атакам, в частности, к этой».
Редактор: Дмитрий Трещанин
Оформите регулярное пожертвование Медиазоне!