境外黑客組織利用SonarQube漏洞攻擊事件及原因分析
隨著軟件產業的快速發展,現代軟件大多數是被“組裝”出來的,不是被“開發”出來的。各類信息系統的軟件供應鏈也越發復雜多元,復雜的軟件供應鏈會引入一系列的安全問題,導致信息系統的整體安全防護難度越來越大。如今軟件供應鏈已經成為國內外對抗的焦點,直接影響關鍵基礎設施和重要信息系統安全。
01、近期某軟件供應鏈安全事件及原因分析
近期SonarQube軟件供應鏈安全事件頻發,充分揭露出軟件開發使用第三方組件,帶來了便利同時也帶來了巨大的軟件供應鏈安全風險,直接影響到各行業安全健康發展。在“無科技不軟件”背景下,軟件新業態對關鍵核心技術的依賴程度越來越高,一旦供應鏈某個環節出現問題,將對我國各行業的安全造成重大影響。
事件詳情描述:
2021年10月,ATW黑客團伙在境外論壇第一次出售我國單位相關系統的源代碼,并稱能直接訪問到內部系統。隨后該黑客組織又陸續發布我國多家重要單位的系統源代碼、用戶數據、數據庫,我們追蹤ATW活躍記錄,整理出以下時間軸:
深入分析ATW事件就會發現,此次持續性的源碼泄露事件根本原因在于各企業的SonarQube平臺被入侵。SonarQube系統在默認配置下,會將通過審計的源代碼上傳至SonarQube平臺。攻擊者利用該漏洞,可在未授權的情況下獲取SonarQube平臺上的程序源代碼,輕松竊取項目源代碼數據。
進一步講,此次事件不只是單純的代碼泄露事件或是攻擊事件,而是SonarQube平臺安全事件、乃至供應鏈安全事件,這也再次反應了我國供應鏈安全的嚴峻現狀。
事實上,長久以來,軟件供應鏈安全的重要性和迫切性已逐漸被行業公認,主要體現在以下幾個方面:
1)開源軟件和第三方組件的使用遍布所有軟件中,第三方庫組件代碼量占全部軟件代碼量的80%以上。然而,第三方組件卻是黑客最容易利用的軟件,一旦某一個第三方組件漏洞被利用,使用該第三方組件的所有軟件都會被利用。
2)第三方組件庫主要在美國,Github作為最大的第三方代碼庫,幾乎囊括了90%以上的第三方開源組件,我國管理機構難以對其使用進行安全審計,并建立合理的分發監管制度。
3)源代碼是軟件的原始形態,位于軟件供應鏈的源頭。源代碼安全已成為軟件供應鏈安全的基礎,然而面對源代碼安全,主要依靠人工方式去檢測軟件供應鏈中的風險,導致效率低,漏報高,且過度依賴海外產品,國內缺乏可有效分析軟件成分、測量供應鏈安全的技術和手段。
我國經數年發展在軟件供應鏈方面已取得一定成果,如開源軟件基金會、軟件供應鏈安全標準和管理辦法等。但目前我國在軟件供應鏈安全方面的基礎比較薄弱,更缺乏一套極為關鍵的軟件供應鏈安全檢測系統,能及時有效的發現、分析、處置、防護軟件供應鏈安全風險,整體提升軟件供應鏈安全水平。
02、國內外軟件供應鏈安全檢測技術研究進展
美國在軟件供應鏈安全檢測技術上早有布局
美國國防部下屬的DARPA(美國國防高級研究計劃局)4年內投入$59,000,000(約3.5億人民幣),來嘗試解決軟件供應鏈安全檢測問題。在2013 年,DARPA高調發布一項旨在針對關鍵系統、軟件、固件進行惡意軟件供應鏈中的后門自動檢測的項目—VET,時長5年,參與方涵蓋主要軍工企業、高校。工業界近一兩年也開始把目光投到軟件供應鏈安全這個命題之上,雖然還沒有規模化的研究體系,但是從業界動態上來看,主要大型研究機構和企業已經開始了自己的研究和實踐。例如在作為安全行業業界風向標的美國RSA2018會議上,聚集了6場次關于軟件供應鏈安全技術的主題演講,可見對這個方向可能爆發新型、重大安全威脅事件的預判是一線研究與企業一致的看法。
我國在軟件供應鏈安全檢測技術上有所嘗試
盡管國內的安全對抗(CTF、DefCon)比賽層出不窮,比賽形式多種多樣,比賽數以千計,但本質上都是手工方式的比賽,不是自動化的方法。人自身的能力是比賽最大競爭力,帶來的問題是技術無法落地。為此,2018年阿里巴巴舉辦了軟件供應鏈安全大賽,旨在通過自動化的方式發現軟件中的后門,該比賽歷時1年,匯聚了國內外多個著名戰隊,包括了中科院信工所的G15, 北京大學的SeBOT、北航的Lancet、國防科大的Holiday、360等,比賽中藍軍戰隊模擬軟件供應鏈中的“黑客”經驗在代碼中故意植入后門,而紅軍必須要采用全自動的方法快速發現后門。該比賽受到了國內外廣泛關注,是國內第一次也是目前唯一一次采用軟件供應鏈安全檢測的嘗試。阿里巴巴軟件供應鏈安全比賽之后,盡管掀起了一股軟件供應鏈安全檢測技術的熱風,但由于在技術門檻高、完全自動化運行等特點,也導致了缺乏參與基礎,只有十幾個隊伍在參與。由此目前的軟件供應鏈檢測技術還是停留在人工檢測水平,與美國相比相去甚遠。
技術門檻相對較高,國外工具在該領域處于壟斷
軟件供應鏈安全檢測技術本質上說是代碼后門檢測的技術應用,也就是代碼分析技術的應用。代碼分析技術作為軟件編譯技術的分支,多年來處于國外壟斷狀態,因為其對編譯技術基礎要求高,底層算法能力要求強。國內已出現了一些廠商,典型的如核心源于北京大學的鴻漸科技、中科院的中科天齊、港科大的源傘等,由于國內團隊成立時間短,尚未形成足夠的積累完全取代國外工具。如新思的Coverity、BlackDuck、Perforce的Klocwork等。
軟件成分分析工具能夠在一定程度上解決第三方組件的安全檢測問題,但目前大多數軟件開發企業并沒有足夠重視,相關的標準也沒有強制實施。
從技術上看,目前國產軟件成分分析工具也和國外同類工具無論從檢測粒度、效率到庫的積累數量,均存在差距,需要一段時間技術沉淀。相對于軟件成分分析,代碼后門檢測技術我國基本處于起步階段,也沒有像美國DARPA這樣專項基金投入。國內僅有的代碼分析技術團隊,由于市場和政策等原因沒有在該方向發力,導致后門檢測目前均為手動檢測,存在非常大的不確定性。
03、供應鏈安全保障工作落地建議
當前,非常多的安全服務企業已經針對供應鏈安全保障工作提出了詳細的可行建議,此處不再贅述基本流程,我們著重說明以下兩點:
供應鏈安全下的DEVSECOPS和安全左移
實施任何工作和工具都不能獨立于組織原有流程之外,理想的供應鏈安全保障工作應該是借助自動化工具,將工具工作流和安全管控工作流融入企業原有研發流程,從而實現安全左移達到安全問題早發現的目標,并支撐DEVSECOPS的建設以保障敏捷變更的安全。
大型企業建立自己的可信代碼倉庫
相對于檢測工作,建立組織的可信代碼倉庫是一個夯實基礎、意義深遠、去除大量重復工作的過程,這就要求對應的自動化工具具備可信組件識別、相似漏洞分析、漏洞影響范圍定位、洞悉組織資產清單、將漏洞發現和可信代碼倉庫識別進行整合閉環的能力。
04、相關政策
尤其是當下中美戰略博弈越發復雜,國內急迫突破國外技術壟斷。各單位部門也陸續出臺相關政策,共同保障供應鏈安全工作,推進國內整個安全行業的高質量發展。
《關于規范金融業開源技術應用與發展的意見》
近期中央網信辦、工信部、人民銀行等部門發布《關于規范金融業開源技術應用與發展的意見》,進一步規范金融機構合理應用開源技術,提高應用水平和自主可控能力。
網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)
工信部網絡安全管理局發布網絡安全產業高質量發展的三年行動計劃征求意見稿,意見稿指出,未來的網絡安全行業發展目標包括技術創新和企業發展,重點任務之一是加強共性基礎支撐,加快發展源代碼分析、組件成分分析等軟件供應鏈安全工具,提升網絡安全產品安全開發水平。
中國信通院《金融行業開源白皮書》
開源軟件市場巨大,從基礎軟件到應用軟件都充斥著大量的開源軟件。受金融機構轉型推動和生態合作伙伴影響,為滿足金融用戶的實際需求,開源技術已經逐步成為金融機構構建信息系統的重要選擇。金融行業采用開源技術已經成為一種趨勢,開源技術可以助力金融機構提高科技實力、協助保障信息系統安全、進一步推動企業科技創新和業務創新。
公安部網絡安全等級保護2.0
等保 2.0 標準首次提出安全開發流程的要求,應在軟件開發過程中對安全性進行測試,在軟件安裝前對可能存在的惡意代碼進行檢測,應在軟件交付前檢測其中可能存在的惡意代碼,應保證開發單位提供軟件源代碼,并審查軟件中可能存在的后門和隱蔽信道。
