美国网络安全和基础设施安全局(CISA)将软件供应链攻击定义为一种网络犯罪行为:“当网络威胁分子渗入到组织第三方软件供应商的系统,并在供应商将软件发送给客户之前使用恶意代码来破坏软件时,就代表着这种攻击开始发生。受破坏的软件在实际应用时会危及企业的数据或商业安全。”
软件供应链包括业务软件研发与销售的任何环节,还涉及企业研发人员用来编写或引用代码的开源软件平台和公共存储库,还包括有权访问企业数据的任何服务组织。以上这些环节共同构成了软件供应链的潜在攻击覆盖面。软件供应链攻击之所以危险,是由于正规软件供应商在无意中充当了黑客的攻击推手。例如某一家供应商受一定的影响后,黑客可能会接触到该供应商的全部客户,覆盖面比他们攻击某一家目标企业更加广泛。
2、第三方软件产品常常一定要通过供应商自己的网络和客户网络上的业务软件进行频繁交互。
软件供应链攻击有多种方式,为降低这种风险,企业组织一定要尽快了解用于执行攻击的方法和自身存在的安全弱点。以下梳理了近两年发生的五起真实软件供应链攻击事件,通过案例分析给出应对建议,以便组织更好防范供应链攻击威胁,防止造成严重后果。
2020年12月13日,SUNBURST后门首次披露。这种攻击利用流行的SolarWinds Orion IT监控和管理套件来开发混入木马的更新版。
后门瞄准运行Orion软件的服务,多家《财富》500强、电信企业和政府机构和大学都受到了该攻击影响。就该事件而言,企业的主要防护弱点是应用程序服务器及其软件更新路径缺乏保护,针对这类攻击的最佳对策就是进行更完善的设备监控。
报告显示,指挥控制(C&C)域avsvmcloud[.]com早在2020年2月26日就注册了。与别的类型的供应链攻击一样,SUNBURST后门潜伏了很长一段时期,以避免安全人员将软件更新与异常攻击行为联系起来。
SUNBURST后门中特别需要我们来关注的还有专用服务器沦为了攻击目标。这种类型的服务器通常很少受到监控。防止SUNBURST后门式的攻击需要在企业网络的所有层面进行主动监控。
另一种令人担忧的攻击方式是开源软件中的漏洞利用。去年底爆发Log4Shell/Log4j漏洞正是利用了基于Java的Apache实用程序Log4j。该漏洞允许黑客执行远程代码,包括能够完全控制服务器。Log4Shell漏洞是一个零日漏洞,这在某种程度上预示着它在软件供应商察觉之前就被攻击者发现并利用。由于该漏洞是开源库的一部分,因此运行Java的数亿台设备都可能受到影响。
堵住Log4Shell漏洞和类似漏洞需要全面清点企业网络中的所有联网设备。这在某种程度上预示着组织需要利用系统来发现设备、监控留意Log4Shell活动,并尽快修补受影响的设备。
利用供应链攻击的最大的目的是,钻供应商漏洞的空子,并攻击下游目标。这也正是勒索软件团伙REvil在劫持Kaseya VSA后采取的手法,Kaseya VSA是一个用于IT系统及其客户的远程监控和托管服务平台。
通过攻击Kaseya VSA中的漏洞,REvil得以将勒索软件发送给下游的多达1500家企业,他们都是Kaseya VSA的客户。
就该事件而言,安全防护弱点是面向互联网的设备、远程管理的设备和托管服务提供商的通信路径。通常安全风险隐患问题是由供应商访问内部IT系统引起的。避免此类情形的有效做法是,监控托管服务提供商使用的通信网络。此外,通过行为分析跟踪和发现任何可疑的行为,以阻止勒索软件。
并非所有软件供应链攻击都是由精英黑客团伙策划并发起的。一名亚马逊员工利用作为亚马逊网络服务(AWS)内部人员的便利,盗取了1亿用户的信用卡资料,结果使云上租户Capital One遭到了严重的数据泄密。这次攻击暴露了使用云基础设施带来的危险。
这种攻击的主要特征是,利用客户对云服务供应商给与的信任:如果云服务提供商受到威胁,客户的数据也可能受到威胁。为了对付这种类型的攻击,同样是需要对服务中的访问行为进行监控,并确保网络边缘的安全。
2022年3月,网络安全企业Okta透露,由于其一家供应商(Sitel)遭到攻击,其部分数据被窃取。后续的调查显示,其原因归咎于一名供应商员工在其个人笔记本电脑上提供客户服务功能。虽然泄密程度有限:只有两个Okta身份验证系统被访问,客户账户或配置也没再次出现任何更改,但事件仍然反映出分包商设备和自带设备策略在供应链攻击者眼里是另一条有效的攻击途径。
每当添加额外设备,网络上未受管理和未经批准的设备就会加大潜在的攻击面。许多企业不知道连接了哪些设备、在运行哪些软件以及采取了哪些预防措施来防范恶意软件。若要尽量减小这方面的风险,就需要清点资产,限制对这些非授权设备的访问。最后,应利用网络监控和行为分析来阻止攻击。