随着开源、云原生等技术的应用,软件供应链开始向多元化发展。此举虽然加速了技术创新和升级,但也让供应链安全成为全球企业的“严重担忧”。根据2021年7月发布的《2020年中国网络安全报告》,软件供应链攻击已成为2020年最具影响力的高级威胁之一。根据卡巴斯基最新的IT安全经济报告,大约三分之一的大型企业遭受过供应链攻击,而对企业的平均财务影响高达140万美元,成为年度损失最高的攻击类型。巧合的是,2021年10月19日,Cyentia发布了《信息风险洞察研究》(IRIS)报告。数据显示,在前50名多方数据泄露事件中,发现规模较大的事件平均涉及31家企业,企业经济损失中值高达90美元的网络安全事件万美元,而典型的网络安全事件造成的损失仅为20万美元左右。Cyentia指出,供应链攻击是造成多方数据泄露的主要原因。如果企业没有做好应对供应链攻击的准备,就会面临多方数据泄露的风险,这给企业带来的经济损失要比单方数据更大。泄漏事件要高得多。2021年7月发生的Kaseya供应链攻击事件也证明了这一观点。在此次攻击中,俄罗斯勒索组织REvil给网络安全行业上了深刻的一课:波及17个国家、数千家公司和机构、数百万台设备被加密,索要赎金高达7000万美元。迄今为止最大的供应链盛会。从这里,我们也可以看出供应链攻击的恐怖。只要一家供应链企业倒闭,其客户和合作伙伴就会受到攻击,连锁反应将是全球性的、灾难性的。的。什么是供应链攻击供应链是指参与创建和交付最终解决方案或产品的流程、人员、组织和发行人。在网络安全中,供应链涉及大量资源(硬件和软件)、存储(云或本地)、分发机制(网络应用程序、在线商店)和管理软件。所谓供应链攻击,顾名思义,就是针对供应链发起的网络攻击,攻击通过供应链延伸至相关合作伙伴和下游企业客户。因此,供应链攻击至少可以分为两部分:一是对供应链的攻击;二是对供应链的攻击。另一种是对客户企业的攻击。完整的供应链攻击以供应链为跳板,最终将供应链中的问题放大并传导至下游企业,产生连锁反应,破坏力巨大。目前,供应链攻击通常与APT攻击和勒索攻击相结合。攻击者的最终目的是对企业设备、系统或数据进行加密,从而勒索企业获取暴利。由于供应链攻击涉及供应商和企业用户两大组织,直接增加了事件处理、取证分析和整体事件管理的复杂性。这意味着企业应对攻击的应急响应流程也将变得更加复杂,系统恢复时间也将更长。正因为如此,供应链攻击往往会造成难以想象的严重后果。Imperva分享了五种典型的攻击方式,分别是:利用供应商产品注入(典型如SolarWinds事件)利用第三方应用(如邮件/浏览器漏洞)利用开源代码库中包含的漏洞依赖混淆恶意接管(作为社区项目维护者,注入恶意代码)从以上五种典型的攻击方式,我们也可以发现,有些供应链攻击(如依赖混淆)企业可以提前预防,但有些供应链攻击(如注入供应商的产品)企业束手无策。供应链攻击事件快速增加,企业承受着难以承受的痛苦。2020年12月13日,随着FireEye发布攻击报告,SolarWinds供应链攻击开始进入公众视野。无论是微软、谷歌等大公司的紧急应对,还是美国政府机构FBI的迅速介入,都让人感到“事情不妙”。在最终结果出来之前,几乎没有人相信这次袭击会造成如此严重的后果。12月14日,SolarWinds向美国证券交易委员会(SEC)提交了一份供应链攻击事件报告。报告显示,微软、英伟达、思科、德勤、VMWare等众多世界巨头,以及美国国务院、五角大楼、国土安全部、商务部、财政部等一大批政府机构、司法部、网络安全和基础设施局,都在受害者名单中。这样的情况在以前几乎是不可想象的,也让供应链攻击成为网络安全领域关注的焦点之一。此后,供应链攻击“大事件”层出不穷。2021年3月,占全球航空份额90%的通信和IT厂商SITA遭遇供应链攻击,直接引发了航空业的“大地震”。德国汉莎航空、新西兰航空、泰国航空、大韩航空、日本航空等航空公司的业务受到影响,甚至出现了大规模的数据泄露事件。又如上述国际软件服务商Kaseya供应链攻击事件,给无数国际大公司造成了损失。严重的后果导致美国政府和微软等IT巨头迅速介入并进行紧急应对。供应链攻击的严重后果进一步激发了网络攻击的动力,当越来越多的攻击者转向供应链时,供应链攻击事件如雪花般纷飞。总体来看,2020年以来,供应链攻击呈现爆发式增长态势,给企业带来了难以承受的痛苦。2021年6月,奇安信发布?。数据显示,2020年全年,奇安信代码安全实验室共检测代码33501173行,共发现安全缺陷3387642个,其中高危缺陷361812个。整体缺陷密度为10.11个/千线,高危缺陷密度为1.08个/千线。根据PaloAltoNetworks安全咨询部门Unit42发布的《2021年下半年云威胁报告》,63%用于构建云基础设施的第三方代码模板包含不安全配置,96%部署在云基础设施中的第三方容器应用程序包含已知漏洞。除了分析数据外,Unit42的研究人员还受一家大型SaaS提供商的委托,对其软件开发环境进行了红队演练。在短短三天内,Unit42研究人员发现了软件开发过程中的严重缺陷,足以让客户容易受到SolarWinds和Kaseya等攻击。也就是说,由于之前对供应链安全建设的不重视,如今很多地方都隐藏着漏洞和威胁。一旦这些漏洞被攻击者利用,SolarWinds事件和Kaseya事件很可能再次上演。对此,欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出,现在攻击者已经将注意力转移到供应商身上。与2020年相比,供应链攻击预计在2021年会增加四倍,而且这些攻击对企业的影响也越来越大,包括系统停机、金钱损失和声誉受损。早在2017年,NotPetya勒索病毒就利用供应链更新发动攻击,影响了全球59个国家的政府部门、医院、银行、机场等系统,造成的损失超过100亿美元。此前,CrowdStrike发布的调查数据也说明了这个问题。调查结果显示,2018年,三分之二的受访企业遭遇过软件供应链攻击;90%的企业因软件供应链攻击遭受财产损失,平均损失超过110万美元;80%受影响的公司受访者表示,软件供应链攻击将成为未来三年最大的网络威胁之一。现在,三年过去了,预言成真了,供应链攻击已经成为严重的网络威胁。BlueVoyant发布的最新报告指出,在刚刚过去的2020年,供应链风险急剧上升,全球约93%的大中型企业组织因供应链薄弱而直接受损。SolarWinds漏洞和勒索软件攻击等活动尤其突出了组织面临的供应链攻击风险。对下一代软件供应链的攻击正在爆发随着开源、云原生等技术的广泛应用,对下一代软件供应链的威胁也在逐渐爆发。全球开源技术正在快速成长和应用,这是业内人士的感受。数据显示,GitHub的活跃代码仓库和活跃用户分别增长了35.3%和21.2%;Gitee的代码仓库和用户数量分别增长了192%和162%。与此同时,企业“借用”开源代码也越来越普遍,但其安全性却难以保证。比如2021年10月28日,抖音前端宣布开源UI库SemiDesign,随即发现其代码中有阿里巴巴同类产品AntDesign的痕迹。试想,如果抖音是开源的,“借用”的行为就不会被发现,这反过来又证明“开源代码借用”是一件很“普遍”的事情。根据Sonatype最新发布的《2021年软件供应链状况报告》,全球对开源代码的强劲需求导致软件供应链攻击同比增长650%。全球开发者已累计从第三方开源生态系统“借用”了超过2.2万亿个开源软件包或组件,以加快上市速度。然而,这些开源软件和组件中存在各种漏洞,大大增加了供应链攻击的风险。CVE官网统计显示,2020年发布的开源漏洞中,未被CVE官方收录的漏洞有1362个,占2020年发布漏洞总数的23.78%;未被CVE官方收录的数据呈上升趋势,且增速逐年上升,2018年相比2017年增速达到133.52%。越来越多的数据表明,下一代供应链攻击正在来临,其显着特点是刻意针对“上游”开源组件,进行更加主动的攻击。此时,攻击者不再被动等待漏洞出现,而是主动向为供应链提供支持的开源项目中注入新的漏洞。因此,下一代软件供应链攻击将更加隐蔽,攻击下游企业的时间也会更多,危险性也会更高。与国外相比,国内也存在下一代软件供应链攻击的风险。究其原因,2020年以来,国内开源技术蓬勃发展,但其安全性不容乐观。根据奇安信发布的《2021中国软件供应链安全分析报告》,国内企业软件项目中80%以上存在已知高危开源软件漏洞;平均而言,每个软件项目都有66个已知的开源软件漏洞。2020年检测到的1364个开源软件项目总体缺陷密度为14.96个千行,高危缺陷密度为0.95个千行。可见,国产开源技术的安全性堪忧,后续下一代软件供应链的风险也将居高不下。供应链安全已经脱离了企业的控制。与日益增长的供应链攻击威胁相比,下游企业缺乏针对性、有效的防护手段。这意味着,即使企业自身具备更好的安全能力,也依然难以有效防范和应对供应链攻击。这与食品供应链相同。当生产食品的原料含有不健康的成分(例如不合格或过量的添加剂)时,生产出来的食品很可能不健康。软件供应链安全也是如此。如果上游提供的“代码”有问题,那么企业使用的产品也有问题。最重要的是,企业无法确定哪些产品存在问题,无法解决上游企业代码的问题,自然无法防控。反之,攻击者可以利用供应商的渠道,成功渗透到企业内部,发起攻击。就好比你身边的好朋友突然拿刀捅你,心算或者无心算,受伤的概率会非常高。众所周知,软件供应链可分为开发、交付、运营三大环节,每一个环节都可能引入供应链安全风险并遭受攻击。通过对软件开发商和供应商的攻击,攻击者可以通过供应链分发恶意软件以获得对源代码、构建流程或更新机制的访问权限。由于这些恶意软件来自可信的供应商渠道和数字签名,很容易绕过企业现有的安全防护体系,完成下一次攻击。随着网络攻击的利润和潜力不断增加,供应链攻击表现出了非凡的耐心。许多攻击者长期潜伏在企业内部,一旦爆发,将给企业造成严重损失。同时,企业对供应链攻击的应急响应流程过于??繁琐、耗时过长,难以在黄金时间内完成应急响应和数据恢复。这也是为什么在下游企业爆发后,供应链攻击往往能取得良好效果的原因。巨头开始应对供应链攻击面对迫在眉睫的供应链攻击威胁,越来越多的企业和有识之士意识到,仅靠单一企业无法应对供应链攻击。清除“安全威胁”。考虑到这一点,微软、英特尔和高盛在可信计算组(TCG)内组建了一个新的工作组,专注于供应链安全。未来,该小组将在TCG的支持下,开发、定义和推广开源和供应商中立的行业标准以及可信计算平台的标准,例如广泛使用的可信平台模块(TPM)。其中,有两点非常关键:提供设备真实性保证;帮助组织从网络安全攻击中恢复。但是,要做到这两点显然并不容易,给企业带来的成本会非常高,这会降低企业采取相应防护措施的主观意愿。这意味着新成立的供应链安全小组是时候真正有所作为了。还有很长的路要走。此外,在2021年8月举行的白宫网络安全会议上,苹果、微软、IBM、亚马逊也在积极制定相关计划,提升供应链安全。其中,美国将全面加强与供应商的合作,将采用多因素认证进一步保障安全;亚马逊还表示,将为用户免费提供多重身份验证设备以提高安全性,并将提供安全意识培训。我国也在不断加强供应链的安全保障。为切实提高开源技术的安全性,近日,中国人民银行等五部门联合发布《关于规范金融业开源技术应用与发展的意见》,以提高应用水平和自主可控性,促进开源健康持续发展技术。事实上,在国家/行业层面制定相应的监管政策要求和标准是应对供应链攻击的有效措施。同时,还应建立国家级/行业级软件供应链安全风险分析平台,将软件供应链安全相关工作纳入产品评估、系统评估等工作。当然,最重要的是,我们要对供应链攻击保持足够的警惕,凝聚行业力量共同应对。《意见》中提到,企业用户在购买软件和应用开源技术时,应充分评估,建立健全使用规范,确保安全底线。
