2020年12月，發(fā)生了迄今為止最著名的供應(yīng)鏈攻擊事件發(fā)生。為了過濾敏感的國防相關(guān)信息，該公司利用Solarwinds最常用的Orion軟件管理平臺來攻擊美國聯(lián)邦機(jī)構(gòu)、主要技術(shù)公司和主要政府承包商。受害者名單中包括美國國務(wù)院、能源部、國土安全部以及微軟和思科等大公司。諸如Asus, Codecov,Kaseya, and Accellion等軟硬件供應(yīng)商遭受網(wǎng)絡(luò)攻擊的許多類似事件的信息，隨后也被相繼曝光。

過去的幾年里，越來越多的大型企業(yè)的安全團(tuán)隊(duì)和高級政府組織經(jīng)歷了新形式的網(wǎng)絡(luò)攻擊。此攻擊利用組織的軟件生態(tài)系統(tǒng)的供應(yīng)鏈（以及不太常見的硬件組件）注入惡意代碼，這些代碼后被用來危害對應(yīng)的實(shí)體。過去十年間，供應(yīng)鏈攻擊已經(jīng)存在，但自2020年以來，它們在頻率、規(guī)模和復(fù)雜程度上呈指數(shù)級增長，這使得減少供應(yīng)鏈攻擊變得更加困難。

01 什么是供應(yīng)鏈攻擊？

供應(yīng)鏈攻擊是一種多階段的破壞行為，通常由最復(fù)雜的攻擊組織執(zhí)行，例如高級持續(xù)威脅（APT）組。供應(yīng)鏈攻擊的目的是利用目標(biāo)組織與其軟件供應(yīng)商之間的信任關(guān)系，允許未經(jīng)授權(quán)的代碼在預(yù)設(shè)的受保護(hù)系統(tǒng)或分段/孤立的網(wǎng)絡(luò)中執(zhí)行。

供應(yīng)鏈攻擊主要為以下三個階段：

第一階段：攻擊目標(biāo)軟件平臺的網(wǎng)絡(luò)。此平臺通常是目標(biāo)組織使用的通用IT管理產(chǎn)品。此階段的目標(biāo)是尋找并到達(dá)該供應(yīng)商的研發(fā)或DevOps環(huán)境，并將惡意代碼注入下一個軟件版本或即將分發(fā)給供應(yīng)商客戶的數(shù)據(jù)或配置更新信息。

第二階段：注入惡意代碼。軟件平臺的客戶會允許供應(yīng)商直接或相對容易地遠(yuǎn)程訪問他們的企業(yè)網(wǎng)絡(luò)，從而保持持續(xù)的軟件更新和升級，攻擊者就會利用這一點(diǎn)來實(shí)施網(wǎng)絡(luò)攻擊。供應(yīng)商和客戶之間的開放接口使惡意代碼（捆綁并隱藏在來自供應(yīng)商的合法代碼中）被注入目標(biāo)企業(yè)。由于這種惡意代碼似乎來自一個公認(rèn)的可信來源，各個組織的安全系統(tǒng)很難檢測到它們。

第三階段：獲取網(wǎng)絡(luò)控制權(quán)及特定資源。供應(yīng)商的軟件平臺通常由目標(biāo)組織的IT團(tuán)隊(duì)使用，這意味著他們在各組織的網(wǎng)絡(luò)中擁有高級的管理訪問權(quán)限。這使得攻擊者更容易實(shí)施第三階段的攻擊。為了達(dá)到其惡意目標(biāo)，第三階段需要通過數(shù)據(jù)過濾、組件禁用或物理損害來獲得各組織網(wǎng)絡(luò)的控制權(quán)，進(jìn)而獲得他們想要利用的特定資產(chǎn)/資源。不幸的是，惡意代碼常被認(rèn)為是值得信賴的供應(yīng)商軟件包的一部分，從而獲取了用戶的訪問權(quán)限。這意味著，犯罪者都可以“四處游蕩”，而不引起與未授權(quán)行為相關(guān)的安全警報(bào)，直至進(jìn)程最后或者已造成全部損害。

供應(yīng)鏈攻擊的“損害足跡”

供應(yīng)鏈攻擊可以影響熱門軟件產(chǎn)品的整個用戶群，因此該攻擊具有非常廣的潛在“損害足跡”。這意味著它們不僅可以破壞Solarwinds和Asus 等相對少數(shù)的高價(jià)值機(jī)構(gòu)和企業(yè)，還可以用于有政治動機(jī)的攻擊組織。它們還可以通過攻擊眾多廣泛使用的軟件產(chǎn)品來制造破壞，甚至癱瘓一個國家。

這種看似理論性的設(shè)想已在2017年成為現(xiàn)實(shí)。一個可能與俄羅斯政府有關(guān)聯(lián)的攻擊集團(tuán)利用了一家名為M.E.Doc的烏克蘭通用會計(jì)軟件供應(yīng)商。它將惡意代碼注入M.E.Doc的產(chǎn)品中，并用其攻擊了眾多烏克蘭的組織機(jī)構(gòu)。這基本上讓該國政府和大部分商業(yè)部門陷入停滯。從切爾諾貝利核反應(yīng)堆的監(jiān)測系統(tǒng)到國際機(jī)場，這場攻擊導(dǎo)致了數(shù)十億美元的直接和間接損失。

抵御供應(yīng)鏈攻擊的困境

迄今為止，幾乎沒有任何可用的安全產(chǎn)品或程序能夠有效且持續(xù)地阻止供應(yīng)鏈攻擊的大多數(shù)變體。一項(xiàng)眾創(chuàng)調(diào)查發(fā)現(xiàn)，84%的受訪者表示，供應(yīng)鏈攻擊是未來三年對他們組織的最大網(wǎng)絡(luò)威脅之一。63%的受訪者表示，由于這些頻繁的安全事件，他們對軟件供應(yīng)商（包括微軟等主要供應(yīng)商）失去了信任。

受到這些攻擊威脅的企業(yè)可以通過嚴(yán)格的供應(yīng)商審核、謹(jǐn)慎管理軟件更新和實(shí)施零信任等方法來減少網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。然而，供應(yīng)鏈在大多數(shù)情況下是非常復(fù)雜且不透明的。它們涉及到許多開源組件，一直監(jiān)控和審計(jì)這些組件的供應(yīng)商是不現(xiàn)實(shí)的。因此，盡管這些措施可能很重要，但它們遠(yuǎn)遠(yuǎn)不足以有效緩解供應(yīng)鏈攻擊。

如何有效減少供應(yīng)鏈攻擊？

01 可行的方向和方法

更加有效地減少供應(yīng)鏈攻擊，有許多可行的方向和方法。軟件供應(yīng)商必須提高其持續(xù)集成和持續(xù)交付/部署（CI/CD）過程的可見性，從而在軟件被封存并投放市場之前檢測到惡意代碼注入。至關(guān)重要的是，目標(biāo)組織應(yīng)該部署運(yùn)行時的環(huán)境檢測和預(yù)防工具。這些工具可以識別軟件產(chǎn)品在其環(huán)境中未經(jīng)授權(quán)的或異常行為，并阻止其訪問本應(yīng)超出其能力范圍的網(wǎng)絡(luò)資源。

02 移動目標(biāo)防御技術(shù)如何抵御供應(yīng)鏈攻擊？

移動目標(biāo)防御（MTD）是一種在企業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn)有效運(yùn)行時保護(hù)的技術(shù)。MTD隨機(jī)變化可信的運(yùn)行時應(yīng)用程序代碼，因此沒有兩臺機(jī)器看起來完全一樣，甚至一個系統(tǒng)也會隨著時間的推移而不斷變化。它允許您隨機(jī)變化一些底層操作系統(tǒng)組件、常用服務(wù)和庫api。在可信應(yīng)用程序認(rèn)識到修改后的運(yùn)行時環(huán)境后，MTD會阻止任何軟件組件，但不會忘記留下的陷阱。

03 為何MTD技術(shù)可以有效抵御供應(yīng)鏈攻擊？

這種方法之所以如此有效，是因?yàn)樗哂性趦?nèi)存中執(zhí)行修改的能力，在這種情況下，試圖檢查、修改甚至繞過的惡意軟件會被立即捕獲和阻止。這些周期性的內(nèi)存隨機(jī)變化讓對手很難在一個地方進(jìn)行訓(xùn)練，從而難以重新或在其他機(jī)器上使用其訓(xùn)練的結(jié)果。

?