攻击者更喜欢攻击薄弱环节,Web供应链中到处都是薄弱环节。SolarWinds后门感染了数万家公司和至少250个联邦机构。越南政府认证机构遭遇新型复杂攻击。年复一年层出不穷的网络安全事件让公司和高管们认识到他们的系统容易受到供应链攻击。脆弱的。正如业内专家指出的那样,SolarWinds事件清楚地表明,一些网络攻击几乎无法检测到。此外,SolarWinds事件普遍暴露了政府和私营行业网络的脆弱性,促使国家安全委员会成立了一个网络统一协调工作组,以协调事件的调查和缓解。与大多数供应链攻击类似,在SolarWinds事件中,恶意代码在合法软件更新(进入SolarWinds的Orion平台)期间被插入并隐藏在经过数字签名的代码组件中。说到供应链攻击,不得不提两个关键的致灾因素:盲目信任和链长复杂。然而,这两个因素几乎存在于当前运行的每个Web应用程序和网站中。Web供应链是大量第三方代码和数千种衍生代码的大杂烩。今天,Web应用程序通常包含数千个模块(也称为代码依赖项)。每个模块都有自己的依赖关系,因此每个Web应用程序都可以快速积累成千上万的第三方代码。不要忘记,每个代码也代表着攻击面的扩大,尤其是考虑到第三方通常没有多少资源可用于安全维护。我们已经多次看到只需一个恶意用户就可以发起严重的Web供应链攻击。2019年的一份研究报告探讨了依赖网络第三方代码的潜在副作用。作者指出的一个关键问题是网络上缺乏权限隔离,所有第三方代码都与内部开发的代码具有相同的权限。一段被黑客入侵的第三方代码可以通过供应链将恶意代码一直偷偷带到合法的软件更新,就像SolarWinds事件中发生的那样。但当涉及到网络供应链时,情况就变得更糟了。研究人员发现,仅20个维护者账户就可以触及整个网络生态系统的一半,这意味着只要对其中一个账户进行黑客攻击,就可能引发全球网络供应链攻击,影响数百万家公司。另一种称为Magecart或网络抓取的网络供应链攻击方法也在取得进展。此方法会在第三方脚本(例如聊天小部件)中注入恶意代码,当用户访问特定网页时,这些脚本会加载受感染的代码。在Magecart网页抓取攻击中,恶意代码收集支付表单提交的所有信用卡数据,并将其秘密发送到攻击者的服务器。这些方法是否会导致黑客国家猖獗的网络攻击?研究人员在多起事件中指出了网络供应链攻击与黑客国家之间的明确联系。我们知道,攻击者总是喜欢攻击薄弱环节,而Web供应链中到处都是薄弱环节,这些都是显而易见的目标。正如SolarWinds事件所表明的,公司无法承担供应链攻击的严重风险。解决Web供应链攻击需要立即采取行动,了解这一安全弱点,并积极寻找减少攻击面的方法。事实上,企业和机构必须尽量减少对第三方代码的依赖,加强自己的代码审查,并使用各种机制来检测运行时的恶意客户端行为。恶意客户端行为检测策略逐渐受到关注,因为这种策略可以帮助企业实时检测恶意行为,而不依赖于签名。因此,运行时监控可以大大减少检测和阻止攻击源所需的时间。Web供应链攻击的复杂性不断上升,经常利用客户端代码的混乱状态。企业要打赢这场Web供应链之战,最有力的武器就是坚定地提升应用安全。
