2020年12月,發(fā)生了迄今為止最著名的供應(yīng)鏈攻擊事件發(fā)生。為了過濾敏感的國防相關(guān)信息,該公司利用Solarwinds最常用的Orion軟件管理平臺來攻擊美國聯(lián)邦機(jī)構(gòu)、主要技術(shù)公司和主要政府承包商。受害者名單中包括美國國務(wù)院、能源部、國土安全部以及微軟和思科等大公司。諸如Asus, Codecov,Kaseya, and Accellion等軟硬件供應(yīng)商遭受網(wǎng)絡(luò)攻擊的許多類似事件的信息,隨后也被相繼曝光。
過去的幾年里,越來越多的大型企業(yè)的安全團(tuán)隊和高級政府組織經(jīng)歷了新形式的網(wǎng)絡(luò)攻擊。此攻擊利用組織的軟件生態(tài)系統(tǒng)的供應(yīng)鏈(以及不太常見的硬件組件)注入惡意代碼,這些代碼后被用來危害對應(yīng)的實體。過去十年間,供應(yīng)鏈攻擊已經(jīng)存在,但自2020年以來,它們在頻率、規(guī)模和復(fù)雜程度上呈指數(shù)級增長,這使得減少供應(yīng)鏈攻擊變得更加困難。
01 什么是供應(yīng)鏈攻擊?
供應(yīng)鏈攻擊是一種多階段的破壞行為,通常由最復(fù)雜的攻擊組織執(zhí)行,例如高級持續(xù)威脅(APT)組。供應(yīng)鏈攻擊的目的是利用目標(biāo)組織與其軟件供應(yīng)商之間的信任關(guān)系,允許未經(jīng)授權(quán)的代碼在預(yù)設(shè)的受保護(hù)系統(tǒng)或分段/孤立的網(wǎng)絡(luò)中執(zhí)行。
供應(yīng)鏈攻擊主要為以下三個階段:
第一階段:攻擊目標(biāo)軟件平臺的網(wǎng)絡(luò)。此平臺通常是目標(biāo)組織使用的通用IT管理產(chǎn)品。此階段的目標(biāo)是尋找并到達(dá)該供應(yīng)商的研發(fā)或DevOps環(huán)境,并將惡意代碼注入下一個軟件版本或即將分發(fā)給供應(yīng)商客戶的數(shù)據(jù)或配置更新信息。
第二階段:注入惡意代碼。軟件平臺的客戶會允許供應(yīng)商直接或相對容易地遠(yuǎn)程訪問他們的企業(yè)網(wǎng)絡(luò),從而保持持續(xù)的軟件更新和升級,攻擊者就會利用這一點來實施網(wǎng)絡(luò)攻擊。供應(yīng)商和客戶之間的開放接口使惡意代碼(捆綁并隱藏在來自供應(yīng)商的合法代碼中)被注入目標(biāo)企業(yè)。由于這種惡意代碼似乎來自一個公認(rèn)的可信來源,各個組織的安全系統(tǒng)很難檢測到它們。
第三階段:獲取網(wǎng)絡(luò)控制權(quán)及特定資源。供應(yīng)商的軟件平臺通常由目標(biāo)組織的IT團(tuán)隊使用,這意味著他們在各組織的網(wǎng)絡(luò)中擁有高級的管理訪問權(quán)限。這使得攻擊者更容易實施第三階段的攻擊。為了達(dá)到其惡意目標(biāo),第三階段需要通過數(shù)據(jù)過濾、組件禁用或物理損害來獲得各組織網(wǎng)絡(luò)的控制權(quán),進(jìn)而獲得他們想要利用的特定資產(chǎn)/資源。不幸的是,惡意代碼常被認(rèn)為是值得信賴的供應(yīng)商軟件包的一部分,從而獲取了用戶的訪問權(quán)限。這意味著,犯罪者都可以“四處游蕩”,而不引起與未授權(quán)行為相關(guān)的安全警報,直至進(jìn)程最后或者已造成全部損害。
供應(yīng)鏈攻擊的“損害足跡”
供應(yīng)鏈攻擊可以影響熱門軟件產(chǎn)品的整個用戶群,因此該攻擊具有非常廣的潛在“損害足跡”。這意味著它們不僅可以破壞Solarwinds和Asus 等相對少數(shù)的高價值機(jī)構(gòu)和企業(yè),還可以用于有政治動機(jī)的攻擊組織。它們還可以通過攻擊眾多廣泛使用的軟件產(chǎn)品來制造破壞,甚至癱瘓一個國家。
這種看似理論性的設(shè)想已在2017年成為現(xiàn)實。一個可能與俄羅斯政府有關(guān)聯(lián)的攻擊集團(tuán)利用了一家名為M.E.Doc的烏克蘭通用會計軟件供應(yīng)商。它將惡意代碼注入M.E.Doc的產(chǎn)品中,并用其攻擊了眾多烏克蘭的組織機(jī)構(gòu)。這基本上讓該國政府和大部分商業(yè)部門陷入停滯。從切爾諾貝利核反應(yīng)堆的監(jiān)測系統(tǒng)到國際機(jī)場,這場攻擊導(dǎo)致了數(shù)十億美元的直接和間接損失。
抵御供應(yīng)鏈攻擊的困境
迄今為止,幾乎沒有任何可用的安全產(chǎn)品或程序能夠有效且持續(xù)地阻止供應(yīng)鏈攻擊的大多數(shù)變體。一項眾創(chuàng)調(diào)查發(fā)現(xiàn),84%的受訪者表示,供應(yīng)鏈攻擊是未來三年對他們組織的最大網(wǎng)絡(luò)威脅之一。63%的受訪者表示,由于這些頻繁的安全事件,他們對軟件供應(yīng)商(包括微軟等主要供應(yīng)商)失去了信任。
受到這些攻擊威脅的企業(yè)可以通過嚴(yán)格的供應(yīng)商審核、謹(jǐn)慎管理軟件更新和實施零信任等方法來減少網(wǎng)絡(luò)攻擊的風(fēng)險。然而,供應(yīng)鏈在大多數(shù)情況下是非常復(fù)雜且不透明的。它們涉及到許多開源組件,一直監(jiān)控和審計這些組件的供應(yīng)商是不現(xiàn)實的。因此,盡管這些措施可能很重要,但它們遠(yuǎn)遠(yuǎn)不足以有效緩解供應(yīng)鏈攻擊。
如何有效減少供應(yīng)鏈攻擊?
01 可行的方向和方法
更加有效地減少供應(yīng)鏈攻擊,有許多可行的方向和方法。軟件供應(yīng)商必須提高其持續(xù)集成和持續(xù)交付/部署(CI/CD)過程的可見性,從而在軟件被封存并投放市場之前檢測到惡意代碼注入。至關(guān)重要的是,目標(biāo)組織應(yīng)該部署運行時的環(huán)境檢測和預(yù)防工具。這些工具可以識別軟件產(chǎn)品在其環(huán)境中未經(jīng)授權(quán)的或異常行為,并阻止其訪問本應(yīng)超出其能力范圍的網(wǎng)絡(luò)資源。
02 移動目標(biāo)防御技術(shù)如何抵御供應(yīng)鏈攻擊?
移動目標(biāo)防御(MTD)是一種在企業(yè)網(wǎng)絡(luò)中實現(xiàn)有效運行時保護(hù)的技術(shù)。MTD隨機(jī)變化可信的運行時應(yīng)用程序代碼,因此沒有兩臺機(jī)器看起來完全一樣,甚至一個系統(tǒng)也會隨著時間的推移而不斷變化。它允許您隨機(jī)變化一些底層操作系統(tǒng)組件、常用服務(wù)和庫api。在可信應(yīng)用程序認(rèn)識到修改后的運行時環(huán)境后,MTD會阻止任何軟件組件,但不會忘記留下的陷阱。
03 為何MTD技術(shù)可以有效抵御供應(yīng)鏈攻擊?
這種方法之所以如此有效,是因為它具有在內(nèi)存中執(zhí)行修改的能力,在這種情況下,試圖檢查、修改甚至繞過的惡意軟件會被立即捕獲和阻止。這些周期性的內(nèi)存隨機(jī)變化讓對手很難在一個地方進(jìn)行訓(xùn)練,從而難以重新或在其他機(jī)器上使用其訓(xùn)練的結(jié)果。
?
-
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3085瀏覽量
59469
發(fā)布評論請先 登錄
相關(guān)推薦
評論