背景介绍2020年12月,全球见证了迄今为止规模最大、最复杂的网络间谍攻击之一——SolarWinds攻击。在这次攻击中,攻击者通过将恶意代码注入SolarWinds开发的流行网络管理平台的合法软件更新来破坏美国联邦机构和众多企业的网络。据悉,FireEye在追踪名为“UNC2452”的攻击时发现,2020年3月至2020年6月期间发布的SolarWindsOrion软件版本均受到供应链攻击影响。攻击者在此期间发布的2019.4-2020.2.1版本植入了恶意后门应用。这些程序使用SolarWinds数字证书来绕过验证,与攻击者的通信会伪装成OrionImprovementProgram(OIP)协议并将结果隐藏在很多合法的插件配置文件中,从而达到隐藏的目的本身。现在,几个月过去了,美国政府和私营企业仍在努力探索此次攻击的全部范围,但这一事件无疑引起了人们对研究人员多年来一直强调的一个问题的广泛关注:软件供应链的安全性。随着组织争先恐后地调查他们的系统和数据是否可能受到SolarWinds入侵的损害,高管、董事会和客户发现供应链攻击威胁的范围超出了这一事件,并且减轻与之相关的风险并不容易事物。在发生像SolarWinds这样的软件供应链漏洞之后,安全领导者和专家表示CISO应该关注这些最重要的问题。CISO应该关注的5个问题1.即使不使用后门软件,我们是否仍然存在风险?在类似SolarWinds的攻击之后,企业领导者应该询问IT和网络安全经理他们的组织是否影响了软件。如果答案是肯定的,那么公司应该立即启动事件响应计划来识别、遏制和消除威胁,并确定对业务的影响程度。如果答案是否定的,并不意味着该组织是安全的。后续问题应该是:我们的合作伙伴、承包商或供应商是否受到损害?因为,一是供应链攻击影响广泛;第二,公司通常会向其他方提供对其数据或网络和服务器权限的访问权限。重要的是,我们要了解软件供应链攻击是复杂的,并且随着时间的推移会加剧其影响这一事实。一个名为“Winnti”(也称为Barium或APT4)的中国网络间谍组织自2017年以来就进行了此类攻击。当时,该组织在Netsarang官方发布的服务器管理软件Xshell中植入了后门;同年,该集团设法在流行的系统优化工具CCleaner中植入恶意代码,并为超过200万台计算机提供恶意更新。2019年,该组织利用华硕官方服务器和数字签名推送恶意软件ShadowHammer。研究人员认为,所有这些攻击都可以相互关联,一次攻击提供了执行下一次攻击的途径。在2月份的白宫新闻发布会上,负责网络和新兴技术的副国家安全顾问安妮·纽伯格(AnneNeuberger)承认了这一威胁,并警告说,政府需要数月时间才能确定攻击的全部范围。“截至2月,9个联邦机构和大约100家私营企业遭到入侵,大约18,000个实体下载了恶意更新,”她说。“因此,可以肯定地说,潜在访问的规模已经远远超出了已知的范围。妥协的数量。许多受到损害的私营公司都是技术公司,其产品可用于发起额外的入侵。”NorthropGrumman副首席信息安全官(CISO)MikeRaeder认为,董事会需要针对此类攻击的技术,以便更深入地了解。从长远来看,董事会应该通过包括前CIO或CISO来实现自身多元化。“在他们有能力提出更多问题之前,确保我们的董事会了解更广泛的网络风险至关重要,”他说。“当然,即使他们不问这些问题,网络领导者也有责任与董事会讨论整个组织的情况。”企业内部的网络风险程度。当然,我们还需要超越企业网络来了解风险。当我们谈论软件供应链时,我们一定要问我们的软件供应商他们是否在使用SolarWinds或任何易受攻击的产品。第三方企业的风险同样会转移到我们的组织。”2、我们目前的安全计划是否涵盖软件供应链威胁?防御软件供应链攻击的主要问题是他们滥用用户和供应商之间的信任关系,对特定软件执行其功能的合法访问和特权。从用户的角度来看,他们下载的软件来自信誉良好的来源,并通过正确的分发或更新渠道进行了数字签名。用户没有能力对其基础设施中部署的软件更新进行逆向工程或代码分析,而且一般企业不是安全供应商,也没有具备这些技能的员工。组织必须假设他们可能无法检测到最初的软件供应链入侵。但是,他们可以采取措施来防止和检测攻击的第二阶段,其中包括尝试下载额外的工具和有效载荷、尝试与外部命令和控制服务器通信,以及尝试横向移动到其他系统等。3.如果像FireEye这样的政府机构和安全供应商受到威胁,我们如何保护自己?Webb说,组织需要关注其安全程序的成熟度。每个组织可能都内置了防火墙、入侵检测和预防系统、DNS控制和其他创建边界的防御措施,但他们并没有投入大量精力来强化其内部环境。组织可以检测横向移动活动(例如试图滥用管理凭证),但这通常需要高级监控和行为检测工具以及大型安全运营中心的支持,这对于中小型组织来说实在是太多了。这些组织可以做的是确保他们拥有基本的安全保护措施,并尽可能强化所有系统和内部环境。例如,在Avalon的案例中,其内部网络上的通信是加密的,因此,一旦遭到破坏,攻击者就无法从流量中提取凭据或其他有用信息,即使他们可以拦截它。所有DNS流量都必须通过防火墙和DNS过滤器,并且所有允许服务器连接的URL都必须列入白名单。这确保了如果服务器受到威胁,恶意代码无法到达命令和控制服务器并下载其他恶意工具或执行恶意命令。部署后,所有服务器都需要经过一个强化过程,在这个过程中,一切都被锁定和阻止,然后根据需要将连接列入白名单。数据库也是如此。访问数据库的服务器只能看到它完成工作所需的内容。更新仅从内部服务器提供,而不是直接从Internet提供,以防止受感染的服务器打开外部连接。用户绝不能使用管理员凭据登录,并且只能使用白名单上的应用程序。最终用户、Windows服务器和Linux服务器位于不同的目录中,因此即使一个目录遭到破坏,整个环境也不会受到破坏。七年前,我们开始应用零信任原则,这实际上只是根据您信任的内容和它们应该做的事情来管理设备,Webb说。其他一切都是不可信的,应该被阻止。如果有什么东西试图违反这条规则,你就得提高警惕:为什么这个系统要试图做一些我不打算做的事情?事实上,发现并报告SolarWinds攻击的公司FireEye也成为目标。据悉,攻击者将一个辅助设备添加到员工的账户中,以绕过多重身份验证。这种行为被迅速检测到并标记为可疑,随后对该员工进行了询问。韦伯说,这可能就是答案:坚持零信任和行为管理。如果某事违反了您的零信任原则,则必须对其进行调查。4.软件供应链攻击是否会导致对供应商和供应商进行更严格的审查?一些组织在选择软件解决方案或服务时可能会考虑供应商的漏洞管理实践:他们如何处理外部漏洞报告?他们多久发布一次安全更新?他们的安全通信是什么样的?他们会发布详细的建议吗?他们是否拥有旨在减少软件漏洞数量的安全软件开发生命周期?用于测试和其他安全合规性报告的信息。然而,对于像SolarWinds这样的攻击,软件开发组织需要超越这一点并投资于更好地保护他们自己的开发基础设施和环境,因为他们越来越多地成为攻击者的目标,并且可能通过他们使用的工具。软件组件成为软件供应链攻击的受害者。他们还需要在应用程序设计阶段考虑用户面临的风险,并通过仅授权执行操作所需的权限和应用程序来限制对应用程序的权限和访问,从而限制入侵的可能影响。我们的责任是对供应链施加压力:你必须加强你的产品和服务,韦伯说。供应商应该很清楚,他们的代码必须接受测试和审计,不是每年一次,而是每月一次或在任何部署之前。业务领导者需要推动IT领导者确保他们只与信誉良好的供应商以及已采取下一步措施保护组织正在使用的代码的供应商合作。凤凰城大学信息安全副校长LarrySchwarberg表示,对于许多组织而言,朝着这个方向迈出的第一步将是确定他们所有的软件和SaaS供应商,并明确定义新应用程序和服务的启用流程。许多组织都存在“影子IT”问题,即不同的团队在未经安全团队审查和批准的情况下自行购买和部署硬件和软件资产。这无疑加剧了锁定应用程序和强制执行最低权限访问的难度。Schwarberg补充说,随着合同和订阅续订的涌入,组织应该向他们的软件和服务提供商询问有关渗透测试以及如何测试他们的软件和限制来自供应链的潜在影响的更深入的问题。从安全角度全面评估软件供应商并不容易,并且需要许多公司可能不具备的资源和专业知识,但是,审计组织可能会使用此事件作为催化剂并围绕它构建更多功能。5.这种类型的攻击是否仅由APT组织和民族国家黑客进行?迄今为止,许多备受瞩目的软件供应链攻击(包括SolarWinds攻击和ShadowPad攻击)都被归因于与政府有可疑关系的APT组织。根据大西洋理事会对过去十年披露的115起软件供应链攻击和漏洞的分析,在过去10年披露的115起软件供应链攻击和漏洞中,至少有27起是国家发起的。但进行软件供应链攻击所需的技能和资源并不局限于传统的网络间谍组织。多年来的各种攻击都涉及对开源组件或合法应用程序的后门版本进行后门处理,这些合法应用程序由受感染的下载服务器提供,很可能是出于经济动机。甚至还有一个涉及勒索软件的案例。在过去的几年中,许多勒索软件团伙采用了以前只在APT组织中看到的复杂技术,包括内存进程注入、深度侦察、手动黑客攻击以及使用系统管理工具、无文件恶意软件等的横向移动。一些勒索软件团伙还针对托管服务提供商(MSP),这在概念上类似于软件供应链攻击:针对可以通过业务关系获得对其他公司的特权访问的组织。如今,越来越多的网络雇佣军团体在地下网络犯罪活动中向政府和私人实体出售黑客服务。随着越来越多的组织开始采用这种攻击媒介,所有组织,无论规模或行业如何,都可能通过软件供应链入侵成为APT式攻击的受害者。
