www.ydisp.cn/oss/202207/13/639c0ac2970d1ae8ba2792295515344763059c.png"style="width:453px;能见度:可见;height:298px;"data-type="inline">美国网络安全和基础设施安全局(CISA)将软件供应链攻击定义为一种网络犯罪:“当网络威胁参与者渗透到组织的第三方系统时软件这种攻击始于恶意代码在软件交付给客户之前被用来破坏软件。被破坏的软件在实际使用时可能会危及企业的数据或业务安全。“软件供应链包括业务开发和销售中的任何环节软件。它还涉及企业开发人员用来编写或引用代码的开源软件平台和公共存储库。它还包括有权访问公司数据的任何服务组织。这些环节共同构成了软件供应链的潜在攻击范围。软件供应链攻击是危险的,因为合法的软件供应商不知不觉地充当了黑客的攻击推动者。例如,一个供应商受到影响后,黑客可能会接触到该供应商的所有客户,覆盖范围比他们攻击某个目标企业的范围更广。CISA认为,软件供应链存在安全风险的主要原因有两个:1.第三方软件产品通常需要特权访问。2、第三方软件产品经常需要与供应商自有网络和客户网络上的业务软件进行频繁交互。攻击软件供应链的方式有很多种。为了降低这种风险,企业组织必须尽快了解执行攻击所使用的方法以及自身存在的安全弱点。下面梳理了近两年发生的五起真实的软件供应链攻击事件,并通过案例分析给出了应对措施,使组织能够更好地防范供应链攻击的威胁,避免造成严重的后果。系统后门攻击2020年12月13日SUNBURST后门27日首次公开。该攻击使用流行的SolarWindsOrionIT监控和管理套件开发混合木马的更新版本。该后门针对运行Orion软件的服务,许多财富500强公司、电信公司、政府机构和大学都受到了攻击的影响。在此次事件中,企业的主要防御弱点是应用服务器及其软件更新路径缺乏保护。针对此类攻击的最佳对策是更好的设备监控。据报道,命令与控制(C&C)域avsvmcloud[.]com早在2020年2月26日就被注册了。与其他类型的供应链攻击一样,SUNBURST后门在很长一段时间内处于休眠状态,以防止安全人员将软件更新与异常攻击行为联系起来。SUNBURST后门中特别值得关注的是专用服务器的目标。这种类型的服务器通常很少被监控。防止SUNBURST后门式攻击需要在企业网络的各个级别进行主动监控。开源软件漏洞另一个令人担忧的攻击媒介是开源软件漏洞。去年年底爆发的Log4Shell/Log4j漏洞利用了基于Java的Apache实用程序Log4j。该漏洞允许黑客执行远程代码,包括完全控制服务器。Log4Shell漏洞是一个零日漏洞,这意味着它在软件供应商意识到之前就被攻击者发现并利用了。由于该漏洞是开源库的一部分,因此可能会影响数亿运行Java的设备。堵塞Log4Shell漏洞和类似漏洞需要对企业网络上所有连接的设备进行全面清点。这意味着组织需要利用系统来发现设备、监控Log4Shell活动并尽快修补受影响的设备。托管服务和勒索软件攻击利用供应链攻击的主要目的是利用供应商漏洞并攻击下游目标。这正是勒索软件团伙REvil在劫持KaseyaVSA后所做的,KaseyaVSA是一个为IT系统及其客户提供的远程监控和托管服务平台。通过利用KaseyaVSA中的漏洞,REvil能够向下游多达1,500家企业发送勒索软件,这些企业都是KaseyaVSA的客户。就此事件而言,安全弱点是面向互联网的设备、远程管理的设备以及与托管服务提供商的通信路径。安全漏洞通常是由供应商访问内部IT系统引起的。避免此类情况的有效方法是监控托管提供商使用的通信网络。此外,通过行为分析跟踪和发现任何可疑行为以阻止勒索软件。云基础设施安全漏洞并非所有软件供应链攻击都是由精英黑客团伙策划和发起的。一名亚马逊员工利用其作为亚马逊网络服务(AWS)内部人员的身份窃取了1亿用户的信用卡详细信息,导致云租户CapitalOne发生严重数据泄露。这次攻击暴露了使用云基础设施所带来的危险。这种攻击的主要特征是利用客户对云服务提供商的信任:如果云服务提供商受到威胁,客户的数据也可能受到威胁。为了应对这类攻击,还需要对服务中的访问行为进行监控,保证网络边缘的安全。供应商自有设备(BYOD)漏洞2022年3月,网络安全公司Okta透露,由于其供应商之一(Sitel)受到攻击,其部分数据被盗。随后的调查显示,原因是供应商员工在其个人笔记本电脑上执行客户服务功能。虽然漏洞有限:仅访问了两个Okta身份验证系统,并且未对客户帐户或配置进行任何更改,但该事件仍然反映出分包商设备和BYOD策略是供应链攻击者眼中的另一条有效途径。攻击途径。每次添加额外的设备时,网络上未经管理和未经批准的设备都会增加潜在的攻击面。许多企业不知道连接了哪些设备、正在运行哪些软件以及采取了哪些预防措施来防范恶意软件。最大限度地降低这种风险需要清点资产并限制对这些未经授权的设备的访问。最后,应利用网络监控和行为分析来阻止攻击。
