最新消息顯示，美國(guó)和英國(guó)正式將俄羅斯對(duì)外情報(bào)局(SVR)認(rèn)定為SolarWinds 黑客入侵事件的幕后黑手。為此，美國(guó)財(cái)政部已對(duì)俄羅斯實(shí)施全面制裁，包括制裁了六家俄方企業(yè)，并計(jì)劃驅(qū)逐俄羅斯駐華盛頓大使館的 10 名官員。

近年來(lái)，軟件供應(yīng)鏈攻擊安全問(wèn)題頻頻發(fā)生。調(diào)查顯示，這些攻擊造成的企業(yè)損失平均超過(guò)100萬(wàn)美元，因此，防御供應(yīng)鏈攻擊是十分必要的。現(xiàn)在我們來(lái)盤點(diǎn)下SolarWinds 供應(yīng)鏈攻擊的事件始末、影響，以及帶給企業(yè)的一些思考。

什么是軟供應(yīng)鏈攻擊?

[[395662]]

想知道供應(yīng)鏈攻擊，就得先了解下什么是供應(yīng)鏈。

供應(yīng)鏈?zhǔn)侵干a(chǎn)及流通過(guò)程中，涉及將產(chǎn)品或服務(wù)提供給最終用戶活動(dòng)的上游與下游企業(yè)所形成的網(wǎng)鏈結(jié)構(gòu)。整個(gè)過(guò)程涉及原料供貨商、供應(yīng)商、制造商、倉(cāng)儲(chǔ)商、運(yùn)輸商、分銷商、零售商以及終端客戶。

供應(yīng)鏈結(jié)構(gòu)基本呈“線性”模式，所以當(dāng)供應(yīng)鏈上游出現(xiàn)干擾時(shí)，必將影響下游。也就是說(shuō)，當(dāng)惡意攻擊者在受信任的第三方合作伙伴或提供商的軟件上安裝惡意軟件，就有可能依賴供應(yīng)鏈上的信任關(guān)系逃避傳統(tǒng)安全產(chǎn)品的檢查,潛入目標(biāo)網(wǎng)絡(luò)，實(shí)施非法攻擊。這類型的攻擊就是供應(yīng)鏈攻擊。

??

SolarWinds 黑客入侵事件就屬于典型的供應(yīng)鏈攻擊。

SolarWinds是美國(guó)知名的基礎(chǔ)網(wǎng)絡(luò)管理軟件供應(yīng)商，全球大概有33,000名客戶使用其旗下的Orion網(wǎng)絡(luò)監(jiān)控軟件。惡意攻擊者將惡意代碼隱藏在Orien軟件更新包中，通過(guò)受信任的供應(yīng)鏈自動(dòng)分發(fā)給下游的33,000名客戶。一旦用戶更新該軟件，惡意代碼就會(huì)以與應(yīng)用相同的信任和權(quán)限運(yùn)行，攻擊者進(jìn)而獲得用戶系統(tǒng)的訪問(wèn)權(quán)。

通過(guò)這種方式，黑客“隔山打牛”完成了對(duì)Orion客戶——美國(guó)五角大樓和國(guó)土安全部、能源部、財(cái)政部、微軟、Fireeye和其他組織的攻擊。

??

愈演愈烈的軟供應(yīng)鏈攻擊

目前，供應(yīng)鏈攻擊的頻率和成熟度在不斷提高。根據(jù)行業(yè)估計(jì)，供應(yīng)鏈攻擊現(xiàn)在占所有網(wǎng)絡(luò)攻擊的50%，去年同比激增了 78%。多達(dá)三分之二的公司經(jīng)歷了至少一次供應(yīng)鏈攻擊事件。同時(shí)，80%的IT專業(yè)人士認(rèn)為軟件供應(yīng)鏈攻擊將是他們的企業(yè)在未來(lái)三年面臨的最大網(wǎng)絡(luò)威脅之一。

以下是供應(yīng)鏈攻擊的常用攻擊方式：

• 損害軟件更新服務(wù)器。黑客通過(guò)入侵公司用來(lái)分發(fā)軟件更新的服務(wù)器，竊取或偽造證書簽名的軟件更新，將惡意軟件帶進(jìn)攻擊目標(biāo)。一旦應(yīng)用程序自動(dòng)更新，就會(huì)迅速感染大量系統(tǒng)。
• 獲得對(duì)軟件基礎(chǔ)結(jié)構(gòu)的訪問(wèn)權(quán)限。黑客使用社會(huì)工程學(xué)技術(shù)滲透到開(kāi)發(fā)基礎(chǔ)架構(gòu)中，破壞構(gòu)建環(huán)境和服務(wù)器，從而在軟件編譯和簽名之前將惡意代碼注入軟件。而一旦軟件進(jìn)行了數(shù)字簽名，就很難檢測(cè)出惡意代碼。
• 攻擊第三方代碼庫(kù)。惡意軟件還通過(guò)第三方代碼(例如源代碼存儲(chǔ)庫(kù)、軟件開(kāi)發(fā)工具包和開(kāi)發(fā)人員在其應(yīng)用程序中使用的框架)傳遞。如果網(wǎng)絡(luò)罪犯訪問(wèn)該存儲(chǔ)庫(kù)，則他們可以像授權(quán)開(kāi)發(fā)人員一樣更改代碼，這提供了將惡意代碼添加到產(chǎn)品核心的機(jī)會(huì)。

其中，源代碼存儲(chǔ)庫(kù)成為下一代軟件供應(yīng)鏈攻擊的主要媒介。Synopsys在《2020軟件供應(yīng)鏈報(bào)告》中指出，當(dāng)前超過(guò)90%的現(xiàn)代應(yīng)用融入了開(kāi)源組件，其中11%OSS組件中存在已知漏洞。而同時(shí)，針對(duì)開(kāi)源項(xiàng)目的網(wǎng)絡(luò)攻擊數(shù)量同比增加了430%。下一代軟供應(yīng)鏈攻擊方式正在興起。

??

企業(yè)該如何應(yīng)對(duì)供應(yīng)鏈攻擊

供應(yīng)鏈攻擊，已經(jīng)成為APT攻擊中的常用攻擊手段，該攻擊方法存在以下特點(diǎn)：

• 攻擊面廣，危害極大。由于軟件供應(yīng)鏈?zhǔn)且粋€(gè)完整的流動(dòng)過(guò)程,因此在軟件供應(yīng)鏈上發(fā)生的攻擊具有擴(kuò)散性。一旦突破供應(yīng)鏈的上游一環(huán)，便會(huì)“傷及一片”，對(duì)大量的軟件供應(yīng)商和最終用戶造成影響。
• 潛伏周期長(zhǎng)，檢測(cè)困難。因?yàn)閻阂獯a是跟隨”可信任”的軟件更新進(jìn)入到內(nèi)網(wǎng)環(huán)境中，所以具有高度隱藏性。它可以欺騙并繞過(guò)外部防護(hù)，然后在目標(biāo)網(wǎng)絡(luò)環(huán)境中建立高權(quán)限賬戶，不斷地訪問(wèn)并攻擊新的目標(biāo)。而且,不少軟件供應(yīng)鏈攻擊者不直接攻擊供應(yīng)商,而是利用供應(yīng)商來(lái)規(guī)避公司的網(wǎng)絡(luò)安全機(jī)制檢測(cè)風(fēng)險(xiǎn)。因此,想要從根源上就檢測(cè)出攻擊行為十分困難。

?[[395663]]?

面對(duì)越來(lái)愈頻繁的供應(yīng)鏈攻擊，需要上下游企業(yè)的共同努力，通過(guò)共同建立聯(lián)防聯(lián)控體系，提升遭受供應(yīng)鏈攻擊時(shí)的響應(yīng)處置和恢復(fù)能力。

(1) 對(duì)于上游的軟件供應(yīng)商和開(kāi)發(fā)人員

我們建議：

• 構(gòu)建安全的軟件更新程序，強(qiáng)化軟件開(kāi)發(fā)生命周期管理。
• 制定針對(duì)供應(yīng)鏈攻擊的事件響應(yīng)流程，及時(shí)準(zhǔn)確地通知客戶。
• 加強(qiáng)員工安全意識(shí)培訓(xùn)，避免被攻擊者釣魚(yú)攻擊。
• 建立“快速升級(jí)態(tài)勢(shì)”，快速響應(yīng)新的零日漏洞。

(2) 對(duì)于下游的廠商

我們建議：

• 應(yīng)用零信任原則強(qiáng)化內(nèi)部環(huán)境，包括加強(qiáng)賬號(hào)驗(yàn)證、令牌驗(yàn)證、訪問(wèn)源校驗(yàn)等，持續(xù)性驗(yàn)證訪問(wèn)用戶身份，收斂攻擊暴露面，降低攻擊成功概率。這樣，即使惡意代碼進(jìn)入了內(nèi)部環(huán)境，也無(wú)法越權(quán)訪問(wèn)。
• 采取部署蜜罐等基于行為的攻擊檢測(cè)解決方案，抵御復(fù)雜的供應(yīng)鏈攻擊，提高防御速度。一旦攻擊者進(jìn)行橫向滲透，遍布全網(wǎng)的蜜罐就能快速感知。同時(shí)，蜜罐會(huì)將數(shù)據(jù)集中到本地威脅情報(bào)上，利用大數(shù)據(jù)分析和機(jī)器學(xué)習(xí)技術(shù)，生成完整的攻擊者“畫像”，從而主動(dòng)防御新的攻擊。這樣，即使供應(yīng)鏈攻擊者更新源代碼，也能快速發(fā)現(xiàn)。
• 建立縱深防御體系，聯(lián)動(dòng)威脅情報(bào)產(chǎn)品，快速攔截攻擊，全局視角提升對(duì)威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置。