從solar winds駭客入侵事件中看供應鏈安全

廣州錦行科技發表於2021-04-25

最新訊息顯示,美國和英國正式將俄羅斯對外情報局(SVR)認定為SolarWinds 駭客入侵事件的幕後黑手。為此,美國財政部已對俄羅斯實施全面制裁,包括制裁了六家俄方企業,並計劃驅逐俄羅斯駐華盛頓大使館的 10 名官員。

從solar winds駭客入侵事件中看供應鏈安全

近年來,軟體供應鏈攻擊安全問題頻頻發生。調查顯示,這些攻擊造成的企業損失平均超過100萬美元,因此,防禦供應鏈攻擊是十分必要的。現在我們來盤點下SolarWinds 供應鏈攻擊的事件始末、影響,以及帶給企業的一些思考。


什麼是軟供應鏈攻擊?

想知道供應鏈攻擊,就得先了解下什麼是供應鏈。

供應鏈是指生產及流透過程中,涉及將產品或服務提供給終端使用者活動的上游與下游企業所形成的網鏈結構。整個過程涉及原料供貨商、供應商、製造商、倉儲商、運輸商、分銷商、零售商以及終端客戶。

供應鏈結構基本呈“線性”模式,所以當供應鏈上游出現干擾時,必將影響下游也就是說,當惡意攻擊者在受信任的第三方合作伙伴或提供商的軟體上安裝惡意軟體,就有可能依賴供應鏈上的信任關係逃避傳統安全產品的檢查,潛入目標網路,實施非法攻擊。這型別的攻擊就是供應鏈攻擊。

從solar winds駭客入侵事件中看供應鏈安全

SolarWinds 駭客入侵事件就屬於典型的供應鏈攻擊。

SolarWinds是美國知名的基礎網路管理軟體供應商,全球大概有33,000名客戶使用其旗下的Orion網路監控軟體。惡意攻擊者將惡意程式碼隱藏在Orien軟體更新包中,透過受信任的供應鏈自動分發給下游的33,000名客戶。一旦使用者更新該軟體,惡意程式碼就會以與應用相同的信任和許可權執行,攻擊者進而獲得使用者系統的訪問權

透過這種方式,駭客“隔山打牛”完成了對Orion客戶——美國五角大樓和國土安全部、能源部、財政部、微軟、Fireeye和其他組織的攻擊。

從solar winds駭客入侵事件中看供應鏈安全


愈演愈烈的軟供應鏈攻擊

目前,供應鏈攻擊的頻率和成熟度在不斷提高。根據行業估計,供應鏈攻擊現在佔所有網路攻擊的50%,去年同比激增了 78%。多達三分之二的公司經歷了至少一次供應鏈攻擊事件。同時,80%的IT專業人士認為軟體供應鏈攻擊將是他們的企業在未來三年面臨的最大網路威脅之一

以下是供應鏈攻擊的常用攻擊方式:


  • 損害軟體更新伺服器。駭客透過入侵公司用來分發軟體更新的伺服器,竊取或偽造證書籤名的軟體更新,將惡意軟體帶進攻擊目標。一旦應用程式自動更新,就會迅速感染大量系統。


  • 獲得對軟體基礎結構的訪問許可權。駭客使用社會工程學技術滲透到開發基礎架構中,破壞構建環境和伺服器,從而在軟體編譯和簽名之前將惡意程式碼注入軟體。而一旦軟體進行了數字簽名,就很難檢測出惡意程式碼。


  • 攻擊第三方程式碼庫。惡意軟體還透過第三方程式碼(例如原始碼儲存庫、軟體開發工具包和開發人員在其應用程式中使用的框架)傳遞。如果網路罪犯訪問該儲存庫,則他們可以像授權開發人員一樣更改程式碼,這提供了將惡意程式碼新增到產品核心的機會。


其中,原始碼儲存庫成為下一代軟體供應鏈攻擊的主要媒介。Synopsys在《2020軟體供應鏈報告》中指出,當前超過90%的現代應用融入了開源元件,其中11%OSS元件中存在已知漏洞。而同時,針對開源專案的網路攻擊數量同比增加了430%。下一代軟供應鏈攻擊方式正在興起。

從solar winds駭客入侵事件中看供應鏈安全


企業該如何應對供應鏈攻擊

供應鏈攻擊,已經成為APT攻擊中的常用攻擊手段,該攻擊方法存在以下特點

1、攻擊面廣,危害極大。由於軟體供應鏈是一個完整的流動過程,因此在軟體供應鏈上發生的攻擊具有擴散性。一旦突破供應鏈的上游一環,便會“傷及一片”,對大量的軟體供應商和終端使用者造成影響。

2、潛伏週期長,檢測困難。因為惡意程式碼是跟隨”可信任”的軟體更新進入到內網環境中,所以具有高度隱藏性。它可以欺騙並繞過外部防護,然後在目標網路環境中建立高許可權賬戶,不斷地訪問並攻擊新的目標而且,少軟體供應鏈攻擊者不直接攻擊供應商,而是利用供應商來規避公司的網路安全機制檢測風險。因此,想要從根源上就檢測出攻擊行為十分困難。

從solar winds駭客入侵事件中看供應鏈安全

面對越來愈頻繁的供應鏈攻擊,需要上下游企業的共同努力,透過共同建立聯防聯控體系,提升遭受供應鏈攻擊時的響應處置和恢復能力


對於上游的軟體供應商和開發人員

我們建議:

1、構建安全的軟體更新程式,強化軟體開發生命週期管理。

2、制定針對供應鏈攻擊的事件響應流程,及時準確地通知客戶。

3、加強員工安全意識培訓,避免被攻擊者釣魚攻擊。

4、建立“快速升級態勢”,快速響應新的零日漏洞。



對於下游的廠商

我們建議:

1、應用零信任原則強化內部環境,包括加強賬號驗證、令牌驗證、訪問源校驗等,持續性驗證訪問使用者身份,收斂攻擊暴露面,降低攻擊成功機率。這樣,即使惡意程式碼進入了內部環境,也無法越權訪問。

2、採取部署蜜罐等基於行為的攻擊檢測解決方案,抵禦複雜的供應鏈攻擊提高防禦速度一旦攻擊者進行橫向滲透,遍佈全網的蜜罐就能快速感知。同時,蜜罐會將資料集中到本地威脅情報利用大資料分析和機器學習技術生成完整的攻擊者“畫像”,從而主動防禦新的攻擊。這樣,即使供應鏈攻擊者更新原始碼,也能快速發現。

3、建立縱深防禦體系,聯動威脅情報產品,快速攔截攻擊,全域性視角提升對威脅的發現識別、理解分析、響應處置。

相關文章