從solar winds駭客入侵事件中看供應鏈安全
最新訊息顯示,美國和英國正式將俄羅斯對外情報局(SVR)認定為SolarWinds 駭客入侵事件的幕後黑手。為此,美國財政部已對俄羅斯實施全面制裁,包括制裁了六家俄方企業,並計劃驅逐俄羅斯駐華盛頓大使館的 10 名官員。
近年來,軟體供應鏈攻擊安全問題頻頻發生。調查顯示,這些攻擊造成的企業損失平均超過100萬美元,因此,防禦供應鏈攻擊是十分必要的。現在我們來盤點下SolarWinds 供應鏈攻擊的事件始末、影響,以及帶給企業的一些思考。
什麼是軟供應鏈攻擊?
想知道供應鏈攻擊,就得先了解下什麼是供應鏈。
供應鏈是指生產及流透過程中,涉及將產品或服務提供給終端使用者活動的上游與下游企業所形成的網鏈結構。整個過程涉及原料供貨商、供應商、製造商、倉儲商、運輸商、分銷商、零售商以及終端客戶。
供應鏈結構基本呈“線性”模式,所以當供應鏈上游出現干擾時,必將影響下游。也就是說,當惡意攻擊者在受信任的第三方合作伙伴或提供商的軟體上安裝惡意軟體,就有可能依賴供應鏈上的信任關係逃避傳統安全產品的檢查,潛入目標網路,實施非法攻擊。這型別的攻擊就是供應鏈攻擊。
SolarWinds 駭客入侵事件就屬於典型的供應鏈攻擊。
SolarWinds是美國知名的基礎網路管理軟體供應商,全球大概有33,000名客戶使用其旗下的Orion網路監控軟體。惡意攻擊者將惡意程式碼隱藏在Orien軟體更新包中,透過受信任的供應鏈自動分發給下游的33,000名客戶。一旦使用者更新該軟體,惡意程式碼就會以與應用相同的信任和許可權執行,攻擊者進而獲得使用者系統的訪問權。
透過這種方式,駭客“隔山打牛”完成了對Orion客戶——美國五角大樓和國土安全部、能源部、財政部、微軟、Fireeye和其他組織的攻擊。
愈演愈烈的軟供應鏈攻擊
目前,供應鏈攻擊的頻率和成熟度在不斷提高。根據行業估計,供應鏈攻擊現在佔所有網路攻擊的50%,去年同比激增了 78%。多達三分之二的公司經歷了至少一次供應鏈攻擊事件。同時,80%的IT專業人士認為軟體供應鏈攻擊將是他們的企業在未來三年面臨的最大網路威脅之一。
以下是供應鏈攻擊的常用攻擊方式:
損害軟體更新伺服器。駭客透過入侵公司用來分發軟體更新的伺服器,竊取或偽造證書籤名的軟體更新,將惡意軟體帶進攻擊目標。一旦應用程式自動更新,就會迅速感染大量系統。
獲得對軟體基礎結構的訪問許可權。駭客使用社會工程學技術滲透到開發基礎架構中,破壞構建環境和伺服器,從而在軟體編譯和簽名之前將惡意程式碼注入軟體。而一旦軟體進行了數字簽名,就很難檢測出惡意程式碼。
攻擊第三方程式碼庫。惡意軟體還透過第三方程式碼(例如原始碼儲存庫、軟體開發工具包和開發人員在其應用程式中使用的框架)傳遞。如果網路罪犯訪問該儲存庫,則他們可以像授權開發人員一樣更改程式碼,這提供了將惡意程式碼新增到產品核心的機會。
其中,原始碼儲存庫成為下一代軟體供應鏈攻擊的主要媒介。Synopsys在《2020軟體供應鏈報告》中指出,當前超過90%的現代應用融入了開源元件,其中11%OSS元件中存在已知漏洞。而同時,針對開源專案的網路攻擊數量同比增加了430%。下一代軟供應鏈攻擊方式正在興起。
企業該如何應對供應鏈攻擊
供應鏈攻擊,已經成為APT攻擊中的常用攻擊手段,該攻擊方法存在以下特點:
1、攻擊面廣,危害極大。由於軟體供應鏈是一個完整的流動過程,因此在軟體供應鏈上發生的攻擊具有擴散性。一旦突破供應鏈的上游一環,便會“傷及一片”,對大量的軟體供應商和終端使用者造成影響。
2、潛伏週期長,檢測困難。因為惡意程式碼是跟隨”可信任”的軟體更新進入到內網環境中,所以具有高度隱藏性。它可以欺騙並繞過外部防護,然後在目標網路環境中建立高許可權賬戶,不斷地訪問並攻擊新的目標。而且,不少軟體供應鏈攻擊者不直接攻擊供應商,而是利用供應商來規避公司的網路安全機制檢測風險。因此,想要從根源上就檢測出攻擊行為十分困難。
面對越來愈頻繁的供應鏈攻擊,需要上下游企業的共同努力,透過共同建立聯防聯控體系,提升遭受供應鏈攻擊時的響應處置和恢復能力。
對於上游的軟體供應商和開發人員
我們建議:
1、構建安全的軟體更新程式,強化軟體開發生命週期管理。
2、制定針對供應鏈攻擊的事件響應流程,及時準確地通知客戶。
3、加強員工安全意識培訓,避免被攻擊者釣魚攻擊。
4、建立“快速升級態勢”,快速響應新的零日漏洞。
對於下游的廠商
我們建議:
1、應用零信任原則強化內部環境,包括加強賬號驗證、令牌驗證、訪問源校驗等,持續性驗證訪問使用者身份,收斂攻擊暴露面,降低攻擊成功機率。這樣,即使惡意程式碼進入了內部環境,也無法越權訪問。
2、採取部署蜜罐等基於行為的攻擊檢測解決方案,抵禦複雜的供應鏈攻擊,提高防禦速度。一旦攻擊者進行橫向滲透,遍佈全網的蜜罐就能快速感知。同時,蜜罐會將資料集中到本地威脅情報上,利用大資料分析和機器學習技術,生成完整的攻擊者“畫像”,從而主動防禦新的攻擊。這樣,即使供應鏈攻擊者更新原始碼,也能快速發現。
3、建立縱深防禦體系,聯動威脅情報產品,快速攔截攻擊,全域性視角提升對威脅的發現識別、理解分析、響應處置。
相關文章
- 從SolarWinds攻擊事件中看安全事件
- SolarWinds供應鏈攻擊事件分析事件
- 軟體供應鏈安全如何受到駭客的威脅
- 軟體供應鏈安全
- 再談“開源軟體供應鏈安全”
- 解決軟體供應鏈安全問題
- 安全快報 | NIST 更新網路安全供應鏈風險管理指南
- Kubernetes 時代的安全軟體供應鏈
- 聚合供應鏈系統開發方案(供應商鏈)
- 從Console中看看jQuery的原型鏈jQuery原型
- 安全從供應鏈開始:DevSecOps敏捷安全大會2021即將舉行dev敏捷
- 中國信通院首屆3SCON軟體供應鏈安全會議成功召開 聚焦軟體供應鏈全鏈路安全
- 構建安全程式碼 防止供應鏈攻擊
- DevSecOps 如何解決供應鏈安全問題dev
- 英國NCSC針對供應鏈安全釋出新的網路安全指南
- 聚合供應鏈管理系統開發結構(電商供應鏈)
- 突破供應鏈管理瓶頸,SCM供應鏈協同系統提升冷鏈物流行業整體供應鏈協同效率行業
- 聚合供應鏈管理中臺系統搭建開發(電商供應鏈)
- NSA 和 CISA分享保護軟體供應鏈安全指南
- 影響軟體供應鏈安全的10大風險因素
- 跨境電商供應鏈平臺方案,提供全鏈條的跨境供應鏈服務
- 統信劉聞歡:開源作業系統供應鏈安全要從“根”上做起作業系統
- 縱觀5起大規模軟體供應鏈攻擊事件 安全盲區在這幾方面事件
- 敏捷供應鏈(轉載)敏捷
- 利用可信的IT供應鏈供應商作為切入點 黑客逐漸瞄準供應鏈攻擊黑客
- 【供應鏈】供應鏈高手必須掌握的79個專業術語
- 電商供應鏈管理系統開發|聚合供應鏈API對接商城API
- 紡織服裝行業智慧供應鏈管理系統完善供應鏈體系,加速企業智慧供應鏈轉型行業
- 網路安全行政命令:保護軟體供應鏈
- 供應鏈架構——從企業到產業B2B架構產業
- 工業網際網路供應鏈的安全問題及應對思路
- 每日安全資訊:NCSC 釋出最常被駭客入侵的密碼列表密碼
- 高通處理器曝安全隱患 駭客可輕易入侵手機
- 如何理解服裝產業鏈及供應鏈產業
- 數字生態系統安全演進:軟體供應鏈中的API安全API
- 汽車行業供應鏈管理解決方案:打造企業協同智慧供應鏈行業
- 數字化供應鏈解決方案,輕鬆打造企業智慧供應鏈管理
- 3分鐘講透供應鏈管理系統!智慧供應鏈管理解決方案