從真實事件看軟件供應鏈攻擊的常見手法與防護
軟件供應鏈攻擊正成為一種越來越常見的非法獲取商業信息的犯罪方法。據研究機構Gartner預測,到2025年有45%的企業將會遭受供應鏈攻擊。
美國網絡安全和基礎設施安全局(CISA)將軟件供應鏈攻擊定義為一種網絡犯罪行為:“當網絡威脅分子滲入到組織第三方軟件供應商的系統,并在供應商將軟件發送給客戶之前使用惡意代碼來破壞軟件時,就代表著這種攻擊開始發生。受破壞的軟件在實際應用時會危及企業的數據或商業安全。”
軟件供應鏈包括業務軟件研發與銷售的任何環節,還涉及企業開發人員用來編寫或引用代碼的開源軟件平臺和公共存儲庫,還包括有權訪問企業數據的任何服務組織。以上這些環節共同構成了軟件供應鏈的潛在攻擊覆蓋面。軟件供應鏈攻擊之所以危險,是由于正規軟件供應商在無意中充當了黑客的攻擊推手。例如某一家供應商受到影響后,黑客可能會接觸到該供應商的所有客戶,覆蓋面比他們攻擊某一家目標企業更加廣泛。
據CISA聲稱,造成軟件供應鏈安全危險的主要原因有兩個:
1.第三方軟件產品通常需要特權訪問。
2.第三方軟件產品常常需要通過供應商自己的網絡和客戶網絡上的業務軟件進行頻繁交互。
軟件供應鏈攻擊有多種方式,為了降低這種風險,企業組織必須盡快了解用于執行攻擊的方法和自身存在的安全弱點。以下梳理了近兩年發生的五起真實軟件供應鏈攻擊事件,通過案例分析給出應對建議,以便組織更好防范供應鏈攻擊威脅,以免造成嚴重后果。
系統后門攻擊
2020年12月13日,SUNBURST后門首次披露。這種攻擊利用流行的SolarWinds Orion IT監控和管理套件來開發混入木馬的更新版。
后門瞄準運行Orion軟件的服務,多家《財富》500強、電信企業以及政府機構和大學都受到了該攻擊影響。就該事件而言,企業的主要防護弱點是應用程序服務器及其軟件更新路徑缺乏保護,針對這類攻擊的最佳對策就是進行更完善的設備監控。
報告顯示,指揮控制(C&C)域avsvmcloud[.]com早在2020年2月26日就注冊了。與其他類型的供應鏈攻擊一樣,SUNBURST后門潛伏了很長一段時期,以避免安全人員將軟件更新與異常攻擊行為聯系起來。
SUNBURST后門中特別值得關注的還有專用服務器淪為了攻擊目標。這種類型的服務器通常很少受到監控。防止SUNBURST后門式的攻擊需要在企業網絡的所有層面進行主動監控。
開源軟件漏洞
另一種令人擔憂的攻擊方式是開源軟件中的漏洞利用。去年底爆發Log4Shell/Log4j漏洞正是利用了基于Java的Apache實用程序Log4j。該漏洞允許黑客執行遠程代碼,包括能夠完全控制服務器。Log4Shell漏洞是一個零日漏洞,這意味著它在軟件供應商察覺之前就被攻擊者發現并利用。由于該漏洞是開源庫的一部分,因此運行Java的數億臺設備都可能受到影響。
堵住Log4Shell漏洞和類似漏洞需要全面清點企業網絡中的所有聯網設備。這意味著組織需要利用系統來發現設備、監控留意Log4Shell活動,并盡快修補受影響的設備。
托管服務及勒索軟件攻擊
利用供應鏈攻擊的主要目的是,鉆供應商漏洞的空子,并攻擊下游目標。這也正是勒索軟件團伙REvil在劫持Kaseya VSA后采取的手法,Kaseya VSA是一個用于IT系統及其客戶的遠程監控和托管服務平臺。
通過攻擊Kaseya VSA中的漏洞,REvil得以將勒索軟件發送給下游的多達1500家企業,他們都是Kaseya VSA的客戶。
就該事件而言,安全防護弱點是面向互聯網的設備、遠程管理的設備以及托管服務提供商的通信路徑。通常安全隱患問題是由供應商訪問內部IT系統引起的。避免此類情形的有效做法是,監控托管服務提供商使用的通信網絡。此外,通過行為分析跟蹤和發現任何可疑的行為,以阻止勒索軟件。
云基礎設施安全漏洞
并非所有軟件供應鏈攻擊都是由精英黑客團伙策劃并發起的。一名亞馬遜員工利用作為亞馬遜網絡服務(AWS)內部人員的便利,盜取了1億用戶的信用卡資料,結果使云上租戶Capital One遭到了嚴重的數據泄密。這次攻擊暴露了使用云基礎設施帶來的危險。
這種攻擊的主要特點是,利用客戶對云服務供應商給與的信任:如果云服務提供商受到威脅,客戶的數據也可能受到威脅。為了對付這種類型的攻擊,同樣是需要對服務中的訪問行為進行監控,并確保網絡邊緣的安全。
供應商自有設備(BYOD)漏洞
2022年3月,網絡安全企業Okta透露,由于其一家供應商(Sitel)遭到攻擊,其部分數據被竊取。后續的調查顯示,其原因歸咎于一名供應商員工在其個人筆記本電腦上提供客戶服務功能。雖然泄密程度有限:只有兩個Okta身份驗證系統被訪問,客戶賬戶或配置也沒有出現任何更改,但事件仍然反映出分包商設備和自帶設備策略在供應鏈攻擊者眼里是另一條有效的攻擊途徑。
每當添加額外設備,網絡上未受管理和未經批準的設備就會加大潛在的攻擊面。許多企業不知道連接了哪些設備、在運行哪些軟件以及采取了哪些預防措施來防范惡意軟件。若要盡量減小這方面的風險,就需要清點資產,限制對這些非授權設備的訪問。最后,應利用網絡監控和行為分析來阻止攻擊。
