最新消息显示,美国和英国正式认定俄罗斯外国情报局(SVR)为SolarWinds黑客事件的幕后黑手。为此,美国财政部对俄罗斯实施全面制裁,包括制裁6家俄罗斯公司,并计划驱逐俄罗斯驻华盛顿大使馆的10名官员。近年来,软件供应链攻击和安全问题频发。据调查,这些攻击给企业造成的平均损失超过100万美元。因此,防范供应链攻击是非常必要的。下面我们来盘点一下SolarWinds供应链攻击的事件和影响,以及对企业的一些反思。什么是软供应链攻击?想要了解供应链攻击,首先要了解什么是供应链。供应链是指在生产和流通过程中,上下游企业参与向最终用户提供产品或服务的活动而形成的网络链结构。整个过程涉及原材料供应商、供应商、制造商、仓储商、运输商、分销商、零售商和最终客户。供应链结构基本上处于“线性”模式,所以当供应链上游出现扰动时,必然会影响到下游。也就是说,当恶意攻击者在可信赖的第三方合作伙伴或提供商的软件上安装恶意软件时,就有可能依靠供应链中的信任关系逃避传统安全产品的检查,潜入目标网络,并进行非法攻击。这种类型的攻击是供应链攻击。SolarWinds黑客攻击是典型的供应链攻击。SolarWinds是美国知名的基础网络管理软件提供商。全球约有33,000名客户使用其Orion网络监控软件。恶意攻击者将恶意代码隐藏在Orien软件更新包中,这些更新包通过受信任的供应链自动分发给下游的33,000名客户。一旦用户更新软件,恶意代码就会以与应用程序相同的信任和权限运行,从而使攻击者能够访问用户的系统。就这样,黑客们“翻山越岭”,完成了对猎户座客户——五角大楼和国土安全部、能源部、财政部、微软、火眼等部门的攻击。软供应链攻击愈演愈烈目前,供应链攻击的频率和成熟度都在增加。据行业估计,供应链攻击现在占所有网络攻击的50%,同比激增78%。多达三分之二的公司经历过至少一次供应链攻击事件。与此同时,80%的IT专业人士认为,软件供应链攻击将是他们的组织在未来三年内面临的最大网络威胁之一。以下是供应链攻击的常见攻击媒介:破坏软件更新服务器。黑客通过侵入公司用于分发软件更新、窃取或伪造证书签名的软件更新的服务器,将恶意软件带到目标。一旦应用程序自动更新,就会迅速感染大量系统。获得对软件基础设施的访问权。黑客使用社会工程技术渗透开发基础设施,破坏构建环境和服务器,并在软件编译和签名之前将恶意代码注入软件。一旦软件经过数字签名,就很难检测到恶意代码。攻击第三方代码库。恶意软件还通过第三方代码传播,例如开发人员在其应用程序中使用的源代码存储库、软件开发工具包和框架。如果网络犯罪分子获得了此存储库的访问权限,他们就可以像授权开发人员一样更改代码,这就提供了将恶意代码添加到产品核心的机会。其中,源代码库成为下一代软件供应链攻击的主要载体。Synopsys在《2020软件供应链报告》中指出,目前超过90%的现代应用程序都包含开源组件,11%的OSS组件存在已知漏洞。与此同时,针对开源项目的网络攻击数量同比增长了430%。下一代软供应链攻击正在出现。企业应如何应对供应链攻击?供应链攻击已经成为APT攻击中常见的攻击方式。这种攻击方式具有以下特点:攻击范围广,危害大。由于软件供应链是一个完整的流程,因此针对软件供应链的攻击具有扩散性。一旦突破了供应链的上游环节,就会“伤及一部份”,波及一大批软件供应商和终端用户。潜伏期长,检测困难。因为恶意代码是在“受信任”的软件更新之后进入内网环境的,所以它具有很高的隐蔽性。它可以欺骗和绕过外部防御,然后在目标网络环境中建立高权限账户,不断访问和攻击新的目标。而且,软件供应链中的很多攻击者并不直接攻击供应商,而是利用供应商来规避公司网络安全机制检测到的风险。因此,很难从根源上检测到攻击行为。面对越来越频繁的供应链攻击,需要上下游企业共同努力,共同建立联防联控体系,提高供应链攻击时的响应和恢复能力。(1)对于上游软件供应商和开发商,我们建议:构建安全的软件更新程序,加强软件开发生命周期管理。针对供应链攻击制定事件响应流程,及时准确地通知客户。加强员工安全意识培训,避免受到攻击者的钓鱼攻击。建立“快速升级态势”,快速应对新的零日漏洞。(2)对于下游厂商,我们建议:应用零信任原则加强内部环境,包括加强账户验证、令牌验证、访问源验证等,持续验证访问用户的身份,减少攻击暴露面,并降低攻击成功的概率。这样,即使恶意代码进入内部环境,也无法获得未授权访问。部署蜜罐等基于行为的攻击检测方案,防御复杂的供应链攻击,提高防御速度。一旦攻击者横向渗透,全网蜜罐都能快速感知。同时,蜜罐将数据集中于本地威胁情报,利用大数据分析和机器学习技术生成攻击者的完整“画像”,从而主动防御新的攻击。这样,即使供应链攻击者更新了源代码,也能很快被发现。建立纵深防御体系,联动威胁情报产品,快速拦截攻击,从全局视角提升威胁的发现、识别、理解、分析和响应能力。
