縱觀5起大規模軟體供應鏈攻擊事件 安全盲區在這幾方面

在過去的幾年裡，駭客已經從只針對公司變成了針對企業的軟體供應鏈。脆弱的軟體供應鏈已經逐漸成為駭客獲取有價值商業資訊的方法。Gartner 的一項研究預測，到 2025 年，45% 的公司將遭受供應鏈攻擊。增強軟體安全，在軟體開發期間透過程式碼安全等測試，從源頭減少軟體中的缺陷及漏洞，有助於增強軟體自身抵禦網路攻擊的風險，也有助於提高軟體供應鏈安全性。

供應鏈攻擊可以透過各種方式發生，無論是透過注入企業軟體的惡意程式碼，還是透過公司使用的軟體中的漏洞。為了降低這種風險，公司應該瞭解用於執行攻擊的方法並瞭解公司的盲點。

本文將介紹最近發生的5起軟體供應鏈攻擊，以及第三方合作伙伴如何對公司構成安全風險。

什麼是軟體供應鏈攻擊?

CISA(美國網路安全和基礎設施安全域性)將軟體供應鏈攻擊定義為:“當網路威脅行為者侵入軟體供應商的網路，並在供應商將軟體傳送給客戶之前使用惡意程式碼破壞軟體時，就會發生這種攻擊。”被洩露的軟體會洩露客戶的資料或系統。”

軟體供應鏈包括軟體供應商，以及開發人員從中提取程式碼的任何開源軟體和公共儲存庫。還包括可以訪問企業資料的任何服務組織。總的來說，所有這些供應商都成倍地增加了潛在攻擊面。

軟體供應鏈攻擊尤其危險，因為軟體供應鏈是駭客的放大器。這意味著，當一個供應商受到影響時，駭客可以潛在地接觸到他們的任何客戶，這比他們攻擊單個目標公司的影響範圍更大。

根據 CISA 的說法，造成危險的主要原因有兩個：

1.第三方軟體產品通常需要特權訪問;

2.通常需要在供應商的網路和客戶網路上的供應商軟體之間進行頻繁的通訊。

攻擊者利用特權訪問和特權網路訪問通道作為他們的第一個訪問點。根據可用訪問級別的不同，攻擊者可以輕鬆地針對組織的許多裝置和級別。醫療保健等一些行業尤其容易受到攻擊，因為它們擁有大量受嚴格合規法規和法律約束的患者資料。

五次主要的供應鏈攻擊

軟體供應鏈攻擊越來越受到公眾的關注，因為它們可以對公司及其聲譽造成嚴重損害。例如，Log4j漏洞展示了公司依賴第三方軟體是多麼容易受到攻擊。其他備受矚目的攻擊，如SolarWinds SUNBURST攻擊和Kaseya VSA (REvil)攻擊，也提醒人們，供應鏈攻擊的破壞性多麼大。

SolarWinds SUNBURST 後門

2020年12月13日，SUNBURST後門首次披露。該攻擊利用流行的 SolarWinds Orion IT 監控和管理套件來開發木馬更新。

後門針對執行 Orion 軟體的服務，並針對美國財政部和商務部。還指出，財富 500 強和電信公司、其他政府機構和大學也可能受到影響。

在這種情況下，公司的主要盲點是應用程式伺服器及其軟體更新路徑。針對此類攻擊的最佳行動方案是監控裝置。

報告顯示，命令控制 (C&C) 域 avsvmcloud[.]com 早在 2020 年 2 月 26 日就註冊了。與其他型別的供應鏈攻擊一樣，SUNBURST 後門利用一段時間的休眠來避免將異常行為歸因於軟體更新。

SUNBURST後門尤其值得關注的是，專用伺服器也成為攻擊目標。通常，這些型別的伺服器的監控頻率較低。防止SUNBURST後門式攻擊建議對公司網路的所有級別進行主動監控。

Log4Shell / Log4j 漏洞利用和開源軟體漏洞

另一種令人擔憂的漏洞型別是開源軟體漏洞。Log4Shell / Log4j 漏洞利用了基於 Java 的 Apache 實用程式 Log4j。該漏洞允許駭客執行遠端程式碼，包括完全控制伺服器的能力。Log4Shell 漏洞利用是一個0day漏洞，這意味著它在軟體供應商意識到之前就被發現了。由於該漏洞利用是開源庫的一部分，因此執行 Java 的 30 億或更多裝置中的任何一個都可能受到影響。

解決Log4Shell 漏洞利用和類似漏洞需要擁有網路中所有聯網裝置的完整清單。這意味著利用系統來發現裝置、監控 Log4Shell 活動並儘快修補受影響的裝置。

Kaseya VSA 攻擊和託管服務和軟體勒索軟體

利用供應鏈攻擊的主要目的是利用供應商漏洞並攻擊下游目標。這正是勒索軟體組織 REvil 在劫持 Kaseya VSA 時所做的，Kaseya VSA 是一個用於 IT 系統及其客戶的遠端監控和託管服務平臺。

透過攻擊 Kaseya VSA 中的漏洞，REvil 能夠將勒索軟體向下遊傳送給多達 1,500 家 Kaseya VSA 客戶的公司。

在這種情況下，盲區是面向網際網路的裝置、遠端管理下的裝置和託管服務提供者的通訊路徑。這個問題是由允許供應商訪問內部IT系統引起的。避免出現這種情況的做法是監視託管服務提供者利用的通道。此外，行為分析應跟蹤任何意外行為並對其進行分析以阻止勒索軟體。

Capital One攻擊和雲基礎設施安全漏洞

並非所有攻擊都是由駭客組織精心策劃的。Capital One經歷了一次大規模的資料洩露事件，一名亞馬遜員工利用亞馬遜網路服務(AWS)的內幕資訊竊取了1億個信用卡資訊。這次攻擊暴露了利用雲基礎設施的危險。

這種攻擊的主要盲區是，利用雲服務提供商需要客戶對其供應商給予極大的信任。這也意味著如果雲提供商受到威脅，企業資料也可能受到威脅的風險。要對抗這些型別的攻擊，關鍵是對企業服務進行行為監控，並確保網路邊緣的安全。

自帶裝置 (BYOD) 漏洞和供應商裝置

2022年3月，全球知名的網路安全公司 Okta 透露，其供應商之一 (Sitel) 曾因一名員工在膝上型電腦上提供客戶服務功能而遭到破壞。儘管違規的程度有限，僅訪問了兩個 Okta 身份驗證系統，但沒有進行任何客戶帳戶或配置更改。儘管如此，分包商裝置和自帶裝置策略代表了攻擊者的額外攻擊媒介。

2022年3月，全球知名網路安全公司Okta透露，其供應商之一 (Sitel) 曾因一名員工在膝上型電腦上提供客戶服務功能而遭到破壞。此次入侵的範圍有限，僅訪問了兩個Okta認證系統，沒有客戶賬戶或配置更改。

每次新增其他裝置時，網路上未受管理和未經批准的裝置都會增加潛在的攻擊面。公司缺乏關於連線了哪些裝置、它們正在執行什麼軟體以及採取了哪些預防措施來防範惡意軟體的資訊。將這一領域的風險降至最低需要建立資產清單並限制對這些惡意裝置的訪問。最後，網路監控和行為分析可用於阻止攻擊。

文章來源：

https://www.cybersecurity-insiders.com/5-common-blind-spots-that-make-you-vulnerable-to-supply-chain-attacks/