軟件供應(yīng)鏈攻擊正成為一種越來越常見的非法獲取商業(yè)信息的犯罪方法。據(jù)研究機(jī)構(gòu)Gartner預(yù)測，到2025年有45%的企業(yè)將會遭受供應(yīng)鏈攻擊。

　　美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）將軟件供應(yīng)鏈攻擊定義為一種網(wǎng)絡(luò)犯罪行為：“當(dāng)網(wǎng)絡(luò)威脅分子滲入到組織第三方軟件供應(yīng)商的系統(tǒng)，并在供應(yīng)商將軟件發(fā)送給客戶之前使用惡意代碼來破壞軟件時，就代表著這種攻擊開始發(fā)生。受破壞的軟件在實際應(yīng)用時會危及企業(yè)的數(shù)據(jù)或商業(yè)安全。”

　　軟件供應(yīng)鏈包括業(yè)務(wù)軟件研發(fā)與銷售的任何環(huán)節(jié)，還涉及企業(yè)開發(fā)人員用來編寫或引用代碼的開源軟件平臺和公共存儲庫，還包括有權(quán)訪問企業(yè)數(shù)據(jù)的任何服務(wù)組織。以上這些環(huán)節(jié)共同構(gòu)成了軟件供應(yīng)鏈的潛在攻擊覆蓋面。軟件供應(yīng)鏈攻擊之所以危險，是由于正規(guī)軟件供應(yīng)商在無意中充當(dāng)了黑客的攻擊推手。例如某一家供應(yīng)商受到影響后，黑客可能會接觸到該供應(yīng)商的所有客戶，覆蓋面比他們攻擊某一家目標(biāo)企業(yè)更加廣泛。

　　據(jù)CISA聲稱，造成軟件供應(yīng)鏈安全危險的主要原因有兩個：

　　1 第三方軟件產(chǎn)品通常需要特權(quán)訪問。

　　2 第三方軟件產(chǎn)品常常需要通過供應(yīng)商自己的網(wǎng)絡(luò)和客戶網(wǎng)絡(luò)上的業(yè)務(wù)軟件進(jìn)行頻繁交互。

　　軟件供應(yīng)鏈攻擊有多種方式，為了降低這種風(fēng)險，企業(yè)組織必須盡快了解用于執(zhí)行攻擊的方法和自身存在的安全弱點。以下梳理了近兩年發(fā)生的五起真實軟件供應(yīng)鏈攻擊事件，通過案例分析給出應(yīng)對建議，以便組織更好防范供應(yīng)鏈攻擊威脅，以免造成嚴(yán)重后果。

　　系統(tǒng)后門攻擊

　　2020年12月13日，SUNBURST后門首次披露。這種攻擊利用流行的SolarWinds Orion IT監(jiān)控和管理套件來開發(fā)混入木馬的更新版。

　　后門瞄準(zhǔn)運行Orion軟件的服務(wù)，多家《財富》500強、電信企業(yè)以及政府機(jī)構(gòu)和大學(xué)都受到了該攻擊影響。就該事件而言，企業(yè)的主要防護(hù)弱點是應(yīng)用程序服務(wù)器及其軟件更新路徑缺乏保護(hù)，針對這類攻擊的最佳對策就是進(jìn)行更完善的設(shè)備監(jiān)控。

　　報告顯示，指揮控制（C&C）域avsvmcloud[.]com早在2020年2月26日就注冊了。與其他類型的供應(yīng)鏈攻擊一樣，SUNBURST后門潛伏了很長一段時期，以避免安全人員將軟件更新與異常攻擊行為聯(lián)系起來。

　　SUNBURST后門中特別值得關(guān)注的還有專用服務(wù)器淪為了攻擊目標(biāo)。這種類型的服務(wù)器通常很少受到監(jiān)控。防止SUNBURST后門式的攻擊需要在企業(yè)網(wǎng)絡(luò)的所有層面進(jìn)行主動監(jiān)控。

　　開源軟件漏洞

　　另一種令人擔(dān)憂的攻擊方式是開源軟件中的漏洞利用。去年底爆發(fā)Log4Shell/Log4j漏洞正是利用了基于Java的Apache實用程序Log4j。該漏洞允許黑客執(zhí)行遠(yuǎn)程代碼，包括能夠完全控制服務(wù)器。Log4Shell漏洞是一個零日漏洞，這意味著它在軟件供應(yīng)商察覺之前就被攻擊者發(fā)現(xiàn)并利用。由于該漏洞是開源庫的一部分，因此運行Java的數(shù)億臺設(shè)備都可能受到影響。

　　堵住Log4Shell漏洞和類似漏洞需要全面清點企業(yè)網(wǎng)絡(luò)中的所有聯(lián)網(wǎng)設(shè)備。這意味著組織需要利用系統(tǒng)來發(fā)現(xiàn)設(shè)備、監(jiān)控留意Log4Shell活動，并盡快修補受影響的設(shè)備。

　　托管服務(wù)及勒索軟件攻擊

　　利用供應(yīng)鏈攻擊的主要目的是，鉆供應(yīng)商漏洞的空子，并攻擊下游目標(biāo)。這也正是勒索軟件團(tuán)伙REvil在劫持Kaseya VSA后采取的手法，Kaseya VSA是一個用于IT系統(tǒng)及其客戶的遠(yuǎn)程監(jiān)控和托管服務(wù)平臺。

　　通過攻擊Kaseya VSA中的漏洞，REvil得以將勒索軟件發(fā)送給下游的多達(dá)1500家企業(yè)，他們都是Kaseya VSA的客戶。

　　就該事件而言，安全防護(hù)弱點是面向互聯(lián)網(wǎng)的設(shè)備、遠(yuǎn)程管理的設(shè)備以及托管服務(wù)提供商的通信路徑。通常安全隱患問題是由供應(yīng)商訪問內(nèi)部IT系統(tǒng)引起的。避免此類情形的有效做法是，監(jiān)控托管服務(wù)提供商使用的通信網(wǎng)絡(luò)。此外，通過行為分析跟蹤和發(fā)現(xiàn)任何可疑的行為，以阻止勒索軟件。

　　云基礎(chǔ)設(shè)施安全漏洞

　　并非所有軟件供應(yīng)鏈攻擊都是由精英黑客團(tuán)伙策劃并發(fā)起的。一名亞馬遜員工利用作為亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）內(nèi)部人員的便利，盜取了1億用戶的信用卡資料，結(jié)果使云上租戶Capital One遭到了嚴(yán)重的數(shù)據(jù)泄密。這次攻擊暴露了使用云基礎(chǔ)設(shè)施帶來的危險。

　　這種攻擊的主要特點是，利用客戶對云服務(wù)供應(yīng)商給與的信任：如果云服務(wù)提供商受到威脅，客戶的數(shù)據(jù)也可能受到威脅。為了對付這種類型的攻擊，同樣是需要對服務(wù)中的訪問行為進(jìn)行監(jiān)控，并確保網(wǎng)絡(luò)邊緣的安全。

　　供應(yīng)商自有設(shè)備（BYOD）漏洞

　　2022年3月，網(wǎng)絡(luò)安全企業(yè)Okta透露，由于其一家供應(yīng)商（Sitel）遭到攻擊，其部分?jǐn)?shù)據(jù)被竊取。后續(xù)的調(diào)查顯示，其原因歸咎于一名供應(yīng)商員工在其個人筆記本電腦上提供客戶服務(wù)功能。雖然泄密程度有限：只有兩個Okta身份驗證系統(tǒng)被訪問，客戶賬戶或配置也沒有出現(xiàn)任何更改，但事件仍然反映出分包商設(shè)備和自帶設(shè)備策略在供應(yīng)鏈攻擊者眼里是另一條有效的攻擊途徑。

　　每當(dāng)添加額外設(shè)備，網(wǎng)絡(luò)上未受管理和未經(jīng)批準(zhǔn)的設(shè)備就會加大潛在的攻擊面。許多企業(yè)不知道連接了哪些設(shè)備、在運行哪些軟件以及采取了哪些預(yù)防措施來防范惡意軟件。若要盡量減小這方面的風(fēng)險，就需要清點資產(chǎn)，限制對這些非授權(quán)設(shè)備的訪問。最后，應(yīng)利用網(wǎng)絡(luò)監(jiān)控和行為分析來阻止攻擊。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<