供應鏈攻擊事件告訴我們，為什么應該警惕第三方供應商 - 網安

什么是供應鏈攻擊?

當有人以有權限訪問您系統和數據的外部合作伙伴或供應商的身份侵入您的系統時，就會發生供應鏈攻擊，也稱為價值鏈或第三方攻擊。與以往相比，隨著越來越多的供應商和服務提供商可以接觸到敏感數據，在過去幾年里，這極大地改變了普通企業受攻擊的范圍。

由于出現新型的攻擊，因此與供應鏈攻擊相關的風險從未如此之高，導致公眾對威脅的意識不斷提高以及監管機構加強監督。與此同時，攻擊者擁有比以往更多的資源和工具，可以創造一場完美的風暴。SolarWinds公司的攻擊事件就是一個典型的例子。

SolarWinds公司的攻擊事件凸顯了供應鏈風險

網絡工具供應商SolarWinds的18000名客戶曾受到單一民族國家的攻擊，這一消息變得越來越糟。根據《紐約時報》最近的一篇報道，SolarWinds公司的攻擊事件是由俄羅斯發起的，正如最初人們所認為的那樣，侵入了“幾十個”政府和企業網絡。多達250個組織機構受到影響，攻擊者利用了多個供應鏈層。

李維斯公司(Levi Strauss)副首席信息安全官史蒂夫·扎勒斯基(Steve Zalewski)表示，這違背了信任鏈。“這是所有第三方產品的大問題，”他說。“我們不會再將其產品放在內部使用。我們不得不依賴第三方的方式來建立這種信任，而這在國內或國際都沒有辦法做到。”

扎勒斯基表示，隨著企業越來越依賴于外部供應商，這一問題正在不斷惡化。他補充道，現在是時候該審視軟件行業的整個生態系統以解決這一問題了。“要徹底解決這一問題，我們需要的是一個國際信任鏈，就像一個全球PKI系統，”他說，“在這一系統中，我們可以就一套全球的工具和做法達成一致。”

不幸的是，沒有切實可行的方法來做到這一點。“我們需要一個法律、監管和集體層面上的防御，”扎勒斯基說。“但要做到這一點需要年復一年的漫長時間。”

安全評級公司Bitsight估計，SolarWinds公司的攻擊事件可能使網絡保險公司賠付高達9000萬美元。這還只是因為政府機構不購買網絡保險。此外，攻擊者想盡可能低調地竊取信息，因此并沒有對系統進行太大破壞。

2017年的另一次供應鏈攻擊事件也是由俄羅斯發起的，該攻擊事件的目標是烏克蘭的基礎設施，而作為此次攻擊的一部分，烏克蘭的會計軟件也遭到了破壞，并且該惡意軟件迅速傳播至其他國家。NotPetya病毒最終給馬士基、聯邦快遞和默克等跨國公司造成了超過100億美元的損失，并使業務運營中斷。

供應鏈攻擊對黑客而言很有吸引力，因為當常用軟件遭到破壞后，攻擊者可以有權限訪問所有使用該軟件的企業。

所有技術供應商都容易受到供應鏈攻擊

任何為其他組織機構生產軟件或硬件的公司都可能成為攻擊者的目標。單一民族國家的攻擊者擁有豐富的資源和技能，甚至可以侵入具備最高安全意識的公司。

甚至安全供應商也可能成為目標。例如，以SolarWinds公司攻擊事件為例，網絡安全供應商FireEye是被入侵的知名公司之一。FireEye公司表示，攻擊者沒有侵入面向客戶的系統，而只是使用滲透工具進行安全測試。這一攻擊事件的事實令人擔憂。

受到SolarWinds攻擊者入侵的其他供應商包括微軟公司和另一家安全供應商Malwarebytes。“考慮到SolarWinds公司攻擊事件的供應鏈屬性，以及需要高度警惕，我們立即對Malwarebytes公司所有的源代碼、構建和交付流程進行了徹底調查，包括對我們自己的軟件進行逆向工程，”公司首席執行官Marcin Kleczynski在一篇文章中說道。

電子郵件安全供應商Mimecast宣布，他們也受到了老練的網絡攻擊者入侵，并且有報道稱，該攻擊行為與SolarWinds攻擊事件的幕后黑手是同一個組織。

這些攻擊事件表明，任何供應商都很容易受到攻擊，并可能會遭到破壞。安全供應商Immuniweb表示，全球400強網絡安全公司中有97%的公司都在暗網上存在數據泄露或其他安全事故，并且有91家公司存在可被利用的網站安全漏洞。

這些類型的攻擊行為并不是最近才出現的。2011年，RSA Security公司承認其SecurID令牌遭到黑客攻擊。因此，該公司的一位客戶洛克希德·馬丁公司(Lockheed Martin)遭到了攻擊。

除了像SolarWinds攻擊事件這樣涉及到損害商業軟件供應商的攻擊行為之外，還有另外兩類供應鏈攻擊行為——針對開源軟件項目的攻擊和開源軟件案例的攻擊，其中，政府會直接干預其管轄范圍內的供應商產品。

開源供應鏈面臨的威脅

商業軟件并不是供應鏈攻擊的唯一目標。Sonatype公司的“2020年軟件供應鏈狀況報告”稱，針對開源軟件項目的供應鏈攻擊是企業面臨的一個主要問題，因為90%的應用程序都包含開源代碼，而其中11%的應用程序存在已知漏洞。

例如，在2017年艾奎法克斯公司(Equifax)的入侵事件中，該公司稱其損失了近20億美元，而攻擊者利用了一個未打補丁的Apache Struts漏洞。21%的公司表示，他們在過去12個月內遭遇過與開源代碼相關的攻擊。

最近，攻擊者已開始利用數百萬個基于Java應用程序中使用的開源Apache Log4日志庫中的漏洞。這些利用漏洞的行為很難進行識別和遏制。利用Log4j漏洞的一種情況是，允許在運行有漏洞的應用程序的服務器上遠程執行代碼，而無需進行身份驗證。這使得該漏洞在通用安全漏洞評分系統(CVSS)量表上獲得了10分的嚴重級。另一個漏洞可能導致發生拒絕服務狀態。

由于Log4j被用在許多商業應用程序中，因此組織機構可能并不知道自己事實上正在使用日志庫，而且容易受到攻擊。這就導致企業急于想明確自身所面臨的威脅和風險級別，并希望供應商能及時提供有效的補丁程序。

攻擊者不必等待某一漏洞神奇地出現在開源軟件中。在過去的幾年里，攻擊者已開始蓄意破壞開源代碼的開發或分發過程，而且這一做法正在奏效。根據Sonatype公司的調查，這類新一代攻擊行為比前一年增加了430%。

如何防范供應鏈攻擊

那么，企業能做些什么呢?一些監管架構(例如金融部門或醫療領域的監管架構)已提供了第三方風險測試，或者已制定了一些供應商需要遵守的標準。“在支付卡行業中，有一個軟件質量組件可用來測試移動支付組件的質量，”威爾遜說，這是指支付卡行業數據安全標準(PCI-DSS)。

還有一些更通用的框架，例如能力成熟度模型(CMM)、ISO 9001、通用標準(Common Criteria)、SOC 2等。“我非常喜歡CMM審核，”威爾遜說。“另一方面，我承認其所支付的成本。直到最近，唯一堅持使用通用標準的人就是情報人員。”

還有針對密碼模塊的FiPS-140認證。“這一認證真的很貴，”威爾遜說。“讓一款應用程序獲得FIPS-140認證需要花費一百萬美元，除非您向聯邦政府出售黑莓手機，否則您不會做該認證。”

企業已經習慣于廉價且快捷的軟件。“我們必須承認，幾十年來，我們一直以低廉的成本編寫軟件，而現在我們要自食其果了，”威爾遜說。

然而，如果企業開始要求進行更多的測試，或者監管機構介入，并強制要求進行更好的管理，那么審計成本可能會下降。“如果人們開始在測試環節上投入更多資金，那么測試企業將獲得更多收入，同時形成更多的競爭，”威爾遜說。還會有更多的創新，例如自動化測試。

扎勒斯基說，在李維斯公司，我們會對軟件供應商進行審查。“我們要求軟件供應商提供可證明和可審計的憑證，以證明自己已實施了某一安全框架，而且能夠證明自己符合該框架，”他說。然后，補充道，李維斯公司并沒有規定供應商必須要遵循某一特定的框架。“但我們希望你們能承諾，愿意寫下自己所采取的安全措施和做法，這樣我們才能確保供應商符合我們的要求。這就是我們管理風險的方式，也是您最應該做的事情。”

數據中心不應該做的一件事就是停止安裝補丁程序。事實上，李維斯公司的補丁管理流程意味著，在SolarWinds攻擊事件新聞傳出之前，SolarWinds軟件的修復程序就已安裝完成，從而可使公司免受其他攻擊者利用該漏洞進行攻擊。

但他承認，我們公司的系統無法發現SolarWinds更新程序中存在的惡意軟件。當然，沒有人能做到——FireEye和微軟公司也都沒有做到。扎勒斯基表示，該問題在于很難在更新程序中掃描可疑行為，因為更新程序的目的顯然是為了改變軟件的行為方式。

“這就是軟件工作方式的本質，”扎勒斯基說。“該問題是存在于生態系統中，以及該生態系統組成的方式上。不法分子正在尋找和利用這些漏洞。”

安全公司Deep Instinct的研究業務副總裁西蒙?奧倫(Shimon Oren)表示，對供應鏈的攻擊仍然比針對已知漏洞的攻擊要罕見得多。“我認為，未做修補的漏洞或未安裝安全更新程序所帶來的風險，遠遠超過了供應鏈受到攻擊的風險。”據IBM公司的“2020年數據泄露成本報告”稱，所有數據泄漏事件中有16%的根源是因為第三方軟件中的漏洞。

奧倫建議，企業不要拖延安裝補丁程序，而是要詢問自己的供應商，你們有什么機制來保護自身的軟件不受破壞。“他們持有什么樣的安全態度?他們目前有什么樣的代碼驗證機制?”

他表示，不幸的是，目前還沒有一套可用的標準，能專門解決軟件開發過程中的安全問題。“我認為沒有任何東西可以說明，您的代碼是安全的。”

一個致力于解決這一問題的組織是“信息和軟件質量聯盟”(Consortium for Information and Software Quality)，它是技術標準機構“對象管理組織”(Object Management Group)下屬的一個特殊興趣小組。例如，該組織正在制定的一個標準是等效于材料清單的一個軟件。該軟件可讓企業客戶了解自己所使用的軟件中包含哪些組件，以及這些組件中是否存在任何已知的安全問題。

“該軟件目前正在開發中，我們預計這一工作將在今年春天的某個時候完成，”執行董事比爾·柯蒂斯(Bill Curtis)說。他表示，微軟公司、Linux基金會和其他大公司(總共約有30家公司)都參與其中。

供應鏈風險評估方面的缺口

樂博法律事務所(Loeb & Loeb)隱私、安全和數據創新業務聯合主席、律師伊安?喬利(Ieuan Jolly)表示，進行適當的盡職調查至關重要，這項工作與企業與其供應商協商簽訂一份合同同等重要，甚至更為重要。如果某一供應商由于自身原因造成違約而倒閉，那么他的客戶將無法獲得任何損失賠償。如果這些客戶確實獲得了損失賠償，“但對于公司所遭受的聲譽損失而言，這一補償是遠遠不夠的，”他說。

根據萬事達卡公司旗下的RiskRecon公司和Cyentia Institute公司最近對風險管理專業人士進行的一項調查，其中79%的組織機構目前已制定了管理第三方風險的正式計劃。最常見的風險評估方法是問卷調查(84%的公司使用該方法)，和文件審查(69%的公司使用該方法)。一半的公司采用遠程評估，42%的公司采用網絡安全評級，34%的公司采用現場安全評估。

盡管問卷調查方法很受歡迎，但只有34%的風險專業人士表示，他們相信供應商的回答。然而，當發現問題時，81%的公司極少要求進行糾正，而只有14%的公司非常堅信，他們的供應商能滿足自身的安全要求。

RiskRecon公司的首席執行官兼聯合創始人凱利·懷特(Kelly White)表示，尤其是在SolarWinds攻擊事件之后，組織機構需要關注他們的軟件供應商，尤其是那些擁有訪問公司資產權限的軟件供應商。他表示，這包括增加評估標準以涵蓋整個軟件開發過程，“以確保擁有足夠的管理措施，可防止引入惡意代碼。”

懷特表示，現在也是需要對最低權限進行加倍關注的時候了。“在我擔任一家大型金融機構的首席信息安全官期間，任何需要與互聯網通信的軟件，其網絡訪問權限都會受到限制，只能訪問那些預先設定的更新站點，”他說。懷特之前在錫安銀行集團(Zions Bancorporation)擔任首席信息安全官。

懷特表示，這一策略不僅可防止軟件與惡意的命令和控制服務器進行通信，而且還可以在軟件試圖進行通信時發出警報。