虹科技術(shù)|如何阻止供應(yīng)鏈攻擊？

2020年12月，發(fā)生了迄今為止最著名的供應(yīng)鏈攻擊事件發(fā)生。為了過(guò)濾敏感的國(guó)防相關(guān)信息，該公司利用Solarwinds最常用的Orion軟件管理平臺(tái)來(lái)攻擊美國(guó)聯(lián)邦機(jī)構(gòu)、主要技術(shù)公司和主要政府承包商。受害者名單中包括美國(guó)國(guó)務(wù)院、能源部、國(guó)土安全部以及微軟和思科等大公司。諸如Asus, Codecov,Kaseya, and Accellion等軟硬件供應(yīng)商遭受網(wǎng)絡(luò)攻擊的許多類似事件的信息，隨后也被相繼曝光。

過(guò)去的幾年里，越來(lái)越多的大型企業(yè)的安全團(tuán)隊(duì)和高級(jí)政府組織經(jīng)歷了新形式的網(wǎng)絡(luò)攻擊。此攻擊利用組織的軟件生態(tài)系統(tǒng)的供應(yīng)鏈（以及不太常見的硬件組件）注入惡意代碼，這些代碼后被用來(lái)危害對(duì)應(yīng)的實(shí)體。過(guò)去十年間，供應(yīng)鏈攻擊已經(jīng)存在，但自2020年以來(lái)，它們?cè)陬l率、規(guī)模和復(fù)雜程度上呈指數(shù)級(jí)增長(zhǎng)，這使得減少供應(yīng)鏈攻擊變得更加困難。

01 什么是供應(yīng)鏈攻擊？

供應(yīng)鏈攻擊是一種多階段的破壞行為，通常由最復(fù)雜的攻擊組織執(zhí)行，例如高級(jí)持續(xù)威脅（APT）組。供應(yīng)鏈攻擊的目的是利用目標(biāo)組織與其軟件供應(yīng)商之間的信任關(guān)系，允許未經(jīng)授權(quán)的代碼在預(yù)設(shè)的受保護(hù)系統(tǒng)或分段/孤立的網(wǎng)絡(luò)中執(zhí)行。

供應(yīng)鏈攻擊主要為以下三個(gè)階段：

第一階段：攻擊目標(biāo)軟件平臺(tái)的網(wǎng)絡(luò)。此平臺(tái)通常是目標(biāo)組織使用的通用IT管理產(chǎn)品。此階段的目標(biāo)是尋找并到達(dá)該供應(yīng)商的研發(fā)或DevOps環(huán)境，并將惡意代碼注入下一個(gè)軟件版本或即將分發(fā)給供應(yīng)商客戶的數(shù)據(jù)或配置更新信息。

第二階段：注入惡意代碼。軟件平臺(tái)的客戶會(huì)允許供應(yīng)商直接或相對(duì)容易地遠(yuǎn)程訪問(wèn)他們的企業(yè)網(wǎng)絡(luò)，從而保持持續(xù)的軟件更新和升級(jí)，攻擊者就會(huì)利用這一點(diǎn)來(lái)實(shí)施網(wǎng)絡(luò)攻擊。供應(yīng)商和客戶之間的開放接口使惡意代碼（捆綁并隱藏在來(lái)自供應(yīng)商的合法代碼中）被注入目標(biāo)企業(yè)。由于這種惡意代碼似乎來(lái)自一個(gè)公認(rèn)的可信來(lái)源，各個(gè)組織的安全系統(tǒng)很難檢測(cè)到它們。

第三階段：獲取網(wǎng)絡(luò)控制權(quán)及特定資源。供應(yīng)商的軟件平臺(tái)通常由目標(biāo)組織的IT團(tuán)隊(duì)使用，這意味著他們?cè)诟鹘M織的網(wǎng)絡(luò)中擁有高級(jí)的管理訪問(wèn)權(quán)限。這使得攻擊者更容易實(shí)施第三階段的攻擊。為了達(dá)到其惡意目標(biāo)，第三階段需要通過(guò)數(shù)據(jù)過(guò)濾、組件禁用或物理?yè)p害來(lái)獲得各組織網(wǎng)絡(luò)的控制權(quán)，進(jìn)而獲得他們想要利用的特定資產(chǎn)/資源。不幸的是，惡意代碼常被認(rèn)為是值得信賴的供應(yīng)商軟件包的一部分，從而獲取了用戶的訪問(wèn)權(quán)限。這意味著，犯罪者都可以“四處游蕩”，而不引起與未授權(quán)行為相關(guān)的安全警報(bào)，直至進(jìn)程最后或者已造成全部損害。

供應(yīng)鏈攻擊的“損害足跡”

供應(yīng)鏈攻擊可以影響熱門軟件產(chǎn)品的整個(gè)用戶群，因此該攻擊具有非常廣的潛在“損害足跡”。這意味著它們不僅可以破壞Solarwinds和Asus 等相對(duì)少數(shù)的高價(jià)值機(jī)構(gòu)和企業(yè)，還可以用于有政治動(dòng)機(jī)的攻擊組織。它們還可以通過(guò)攻擊眾多廣泛使用的軟件產(chǎn)品來(lái)制造破壞，甚至癱瘓一個(gè)國(guó)家。

這種看似理論性的設(shè)想已在2017年成為現(xiàn)實(shí)。一個(gè)可能與俄羅斯政府有關(guān)聯(lián)的攻擊集團(tuán)利用了一家名為M.E.Doc的烏克蘭通用會(huì)計(jì)軟件供應(yīng)商。它將惡意代碼注入M.E.Doc的產(chǎn)品中，并用其攻擊了眾多烏克蘭的組織機(jī)構(gòu)。這基本上讓該國(guó)政府和大部分商業(yè)部門陷入停滯。從切爾諾貝利核反應(yīng)堆的監(jiān)測(cè)系統(tǒng)到國(guó)際機(jī)場(chǎng)，這場(chǎng)攻擊導(dǎo)致了數(shù)十億美元的直接和間接損失。

抵御供應(yīng)鏈攻擊的困境

迄今為止，幾乎沒(méi)有任何可用的安全產(chǎn)品或程序能夠有效且持續(xù)地阻止供應(yīng)鏈攻擊的大多數(shù)變體。一項(xiàng)眾創(chuàng)調(diào)查發(fā)現(xiàn)，84%的受訪者表示，供應(yīng)鏈攻擊是未來(lái)三年對(duì)他們組織的最大網(wǎng)絡(luò)威脅之一。63%的受訪者表示，由于這些頻繁的安全事件，他們對(duì)軟件供應(yīng)商（包括微軟等主要供應(yīng)商）失去了信任。

受到這些攻擊威脅的企業(yè)可以通過(guò)嚴(yán)格的供應(yīng)商審核、謹(jǐn)慎管理軟件更新和實(shí)施零信任等方法來(lái)減少網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。然而，供應(yīng)鏈在大多數(shù)情況下是非常復(fù)雜且不透明的。它們涉及到許多開源組件，一直監(jiān)控和審計(jì)這些組件的供應(yīng)商是不現(xiàn)實(shí)的。因此，盡管這些措施可能很重要，但它們遠(yuǎn)遠(yuǎn)不足以有效緩解供應(yīng)鏈攻擊。

如何有效減少供應(yīng)鏈攻擊？

01 可行的方向和方法

更加有效地減少供應(yīng)鏈攻擊，有許多可行的方向和方法。軟件供應(yīng)商必須提高其持續(xù)集成和持續(xù)交付/部署（CI/CD）過(guò)程的可見性，從而在軟件被封存并投放市場(chǎng)之前檢測(cè)到惡意代碼注入。至關(guān)重要的是，目標(biāo)組織應(yīng)該部署運(yùn)行時(shí)的環(huán)境檢測(cè)和預(yù)防工具。這些工具可以識(shí)別軟件產(chǎn)品在其環(huán)境中未經(jīng)授權(quán)的或異常行為，并阻止其訪問(wèn)本應(yīng)超出其能力范圍的網(wǎng)絡(luò)資源。

02 移動(dòng)目標(biāo)防御技術(shù)如何抵御供應(yīng)鏈攻擊？

移動(dòng)目標(biāo)防御（MTD）是一種在企業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn)有效運(yùn)行時(shí)保護(hù)的技術(shù)。MTD隨機(jī)變化可信的運(yùn)行時(shí)應(yīng)用程序代碼，因此沒(méi)有兩臺(tái)機(jī)器看起來(lái)完全一樣，甚至一個(gè)系統(tǒng)也會(huì)隨著時(shí)間的推移而不斷變化。它允許您隨機(jī)變化一些底層操作系統(tǒng)組件、常用服務(wù)和庫(kù)api。在可信應(yīng)用程序認(rèn)識(shí)到修改后的運(yùn)行時(shí)環(huán)境后，MTD會(huì)阻止任何軟件組件，但不會(huì)忘記留下的陷阱。

03 為何MTD技術(shù)可以有效抵御供應(yīng)鏈攻擊？

這種方法之所以如此有效，是因?yàn)樗哂性趦?nèi)存中執(zhí)行修改的能力，在這種情況下，試圖檢查、修改甚至繞過(guò)的惡意軟件會(huì)被立即捕獲和阻止。這些周期性的內(nèi)存隨機(jī)變化讓對(duì)手很難在一個(gè)地方進(jìn)行訓(xùn)練，從而難以重新或在其他機(jī)器上使用其訓(xùn)練的結(jié)果。

?