軟件供應(yīng)鏈攻擊正成為一種越來越常見的非法獲取商業(yè)信息的犯罪方法,。據(jù)研究機(jī)構(gòu)Gartner預(yù)測,,到2025年有45%的企業(yè)將會遭受供應(yīng)鏈攻擊,。
美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)將軟件供應(yīng)鏈攻擊定義為一種網(wǎng)絡(luò)犯罪行為:“當(dāng)網(wǎng)絡(luò)威脅分子滲入到組織第三方軟件供應(yīng)商的系統(tǒng),,并在供應(yīng)商將軟件發(fā)送給客戶之前使用惡意代碼來破壞軟件時(shí),就代表著這種攻擊開始發(fā)生,。受破壞的軟件在實(shí)際應(yīng)用時(shí)會危及企業(yè)的數(shù)據(jù)或商業(yè)安全,。”
軟件供應(yīng)鏈包括業(yè)務(wù)軟件研發(fā)與銷售的任何環(huán)節(jié),,還涉及企業(yè)開發(fā)人員用來編寫或引用代碼的開源軟件平臺和公共存儲庫,,還包括有權(quán)訪問企業(yè)數(shù)據(jù)的任何服務(wù)組織。以上這些環(huán)節(jié)共同構(gòu)成了軟件供應(yīng)鏈的潛在攻擊覆蓋面,。軟件供應(yīng)鏈攻擊之所以危險(xiǎn),,是由于正規(guī)軟件供應(yīng)商在無意中充當(dāng)了黑客的攻擊推手。例如某一家供應(yīng)商受到影響后,,黑客可能會接觸到該供應(yīng)商的所有客戶,,覆蓋面比他們攻擊某一家目標(biāo)企業(yè)更加廣泛。
據(jù)CISA聲稱,,造成軟件供應(yīng)鏈安全危險(xiǎn)的主要原因有兩個(gè):
1 第三方軟件產(chǎn)品通常需要特權(quán)訪問,。
2 第三方軟件產(chǎn)品常常需要通過供應(yīng)商自己的網(wǎng)絡(luò)和客戶網(wǎng)絡(luò)上的業(yè)務(wù)軟件進(jìn)行頻繁交互。
軟件供應(yīng)鏈攻擊有多種方式,,為了降低這種風(fēng)險(xiǎn),,企業(yè)組織必須盡快了解用于執(zhí)行攻擊的方法和自身存在的安全弱點(diǎn)。以下梳理了近兩年發(fā)生的五起真實(shí)軟件供應(yīng)鏈攻擊事件,,通過案例分析給出應(yīng)對建議,,以便組織更好防范供應(yīng)鏈攻擊威脅,以免造成嚴(yán)重后果,。
系統(tǒng)后門攻擊
2020年12月13日,,SUNBURST后門首次披露。這種攻擊利用流行的SolarWinds Orion IT監(jiān)控和管理套件來開發(fā)混入木馬的更新版,。
后門瞄準(zhǔn)運(yùn)行Orion軟件的服務(wù),,多家《財(cái)富》500強(qiáng),、電信企業(yè)以及政府機(jī)構(gòu)和大學(xué)都受到了該攻擊影響,。就該事件而言,企業(yè)的主要防護(hù)弱點(diǎn)是應(yīng)用程序服務(wù)器及其軟件更新路徑缺乏保護(hù),,針對這類攻擊的最佳對策就是進(jìn)行更完善的設(shè)備監(jiān)控,。
報(bào)告顯示,指揮控制(C&C)域avsvmcloud[.]com早在2020年2月26日就注冊了,。與其他類型的供應(yīng)鏈攻擊一樣,,SUNBURST后門潛伏了很長一段時(shí)期,以避免安全人員將軟件更新與異常攻擊行為聯(lián)系起來,。
SUNBURST后門中特別值得關(guān)注的還有專用服務(wù)器淪為了攻擊目標(biāo),。這種類型的服務(wù)器通常很少受到監(jiān)控,。防止SUNBURST后門式的攻擊需要在企業(yè)網(wǎng)絡(luò)的所有層面進(jìn)行主動監(jiān)控。
開源軟件漏洞
另一種令人擔(dān)憂的攻擊方式是開源軟件中的漏洞利用,。去年底爆發(fā)Log4Shell/Log4j漏洞正是利用了基于Java的Apache實(shí)用程序Log4j,。該漏洞允許黑客執(zhí)行遠(yuǎn)程代碼,包括能夠完全控制服務(wù)器,。Log4Shell漏洞是一個(gè)零日漏洞,,這意味著它在軟件供應(yīng)商察覺之前就被攻擊者發(fā)現(xiàn)并利用。由于該漏洞是開源庫的一部分,,因此運(yùn)行Java的數(shù)億臺設(shè)備都可能受到影響,。
堵住Log4Shell漏洞和類似漏洞需要全面清點(diǎn)企業(yè)網(wǎng)絡(luò)中的所有聯(lián)網(wǎng)設(shè)備。這意味著組織需要利用系統(tǒng)來發(fā)現(xiàn)設(shè)備,、監(jiān)控留意Log4Shell活動,,并盡快修補(bǔ)受影響的設(shè)備。
托管服務(wù)及勒索軟件攻擊
利用供應(yīng)鏈攻擊的主要目的是,,鉆供應(yīng)商漏洞的空子,,并攻擊下游目標(biāo)。這也正是勒索軟件團(tuán)伙REvil在劫持Kaseya VSA后采取的手法,,Kaseya VSA是一個(gè)用于IT系統(tǒng)及其客戶的遠(yuǎn)程監(jiān)控和托管服務(wù)平臺,。
通過攻擊Kaseya VSA中的漏洞,REvil得以將勒索軟件發(fā)送給下游的多達(dá)1500家企業(yè),,他們都是Kaseya VSA的客戶,。
就該事件而言,安全防護(hù)弱點(diǎn)是面向互聯(lián)網(wǎng)的設(shè)備,、遠(yuǎn)程管理的設(shè)備以及托管服務(wù)提供商的通信路徑,。通常安全隱患問題是由供應(yīng)商訪問內(nèi)部IT系統(tǒng)引起的。避免此類情形的有效做法是,,監(jiān)控托管服務(wù)提供商使用的通信網(wǎng)絡(luò),。此外,通過行為分析跟蹤和發(fā)現(xiàn)任何可疑的行為,,以阻止勒索軟件,。
云基礎(chǔ)設(shè)施安全漏洞
并非所有軟件供應(yīng)鏈攻擊都是由精英黑客團(tuán)伙策劃并發(fā)起的。一名亞馬遜員工利用作為亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)內(nèi)部人員的便利,,盜取了1億用戶的信用卡資料,,結(jié)果使云上租戶Capital One遭到了嚴(yán)重的數(shù)據(jù)泄密。這次攻擊暴露了使用云基礎(chǔ)設(shè)施帶來的危險(xiǎn),。
這種攻擊的主要特點(diǎn)是,,利用客戶對云服務(wù)供應(yīng)商給與的信任:如果云服務(wù)提供商受到威脅,客戶的數(shù)據(jù)也可能受到威脅。為了對付這種類型的攻擊,,同樣是需要對服務(wù)中的訪問行為進(jìn)行監(jiān)控,,并確保網(wǎng)絡(luò)邊緣的安全。
供應(yīng)商自有設(shè)備(BYOD)漏洞
2022年3月,,網(wǎng)絡(luò)安全企業(yè)Okta透露,,由于其一家供應(yīng)商(Sitel)遭到攻擊,其部分?jǐn)?shù)據(jù)被竊取,。后續(xù)的調(diào)查顯示,,其原因歸咎于一名供應(yīng)商員工在其個(gè)人筆記本電腦上提供客戶服務(wù)功能。雖然泄密程度有限:只有兩個(gè)Okta身份驗(yàn)證系統(tǒng)被訪問,,客戶賬戶或配置也沒有出現(xiàn)任何更改,,但事件仍然反映出分包商設(shè)備和自帶設(shè)備策略在供應(yīng)鏈攻擊者眼里是另一條有效的攻擊途徑。
每當(dāng)添加額外設(shè)備,,網(wǎng)絡(luò)上未受管理和未經(jīng)批準(zhǔn)的設(shè)備就會加大潛在的攻擊面,。許多企業(yè)不知道連接了哪些設(shè)備、在運(yùn)行哪些軟件以及采取了哪些預(yù)防措施來防范惡意軟件,。若要盡量減小這方面的風(fēng)險(xiǎn),,就需要清點(diǎn)資產(chǎn),限制對這些非授權(quán)設(shè)備的訪問,。最后,,應(yīng)利用網(wǎng)絡(luò)監(jiān)控和行為分析來阻止攻擊。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
