SolarWinds事件中如何防御供應(yīng)鏈攻擊

本篇文章為大家展示了SolarWinds事件中如何防御供應(yīng)鏈攻擊，內(nèi)容簡(jiǎn)明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過(guò)這篇文章的詳細(xì)介紹希望你能有所收獲。

成都創(chuàng)新互聯(lián)2013年至今，先為丹棱等服務(wù)建站，丹棱等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為丹棱企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問(wèn)題。

應(yīng)用開(kāi)發(fā)方式變革引入供應(yīng)鏈風(fēng)險(xiǎn)

隨著企業(yè)上云，傳統(tǒng)的網(wǎng)絡(luò)邊界正在逐漸消失，尤其是突如其來(lái)的疫情，更是讓幾乎所有企業(yè)都不得不進(jìn)行遠(yuǎn)程辦公，員工開(kāi)始從家庭網(wǎng)絡(luò)、咖啡廳與企業(yè)網(wǎng)絡(luò)建立連接，企業(yè)的IT架構(gòu)正在從「有邊界」向「無(wú)限邊界」發(fā)生轉(zhuǎn)變。

受益于開(kāi)源軟件與成熟的三方產(chǎn)品和服務(wù)（COTS）的優(yōu)勢(shì)，國(guó)內(nèi)互聯(lián)網(wǎng)、金融行業(yè)快速發(fā)展。在COTS模式下，企業(yè)可以快速采購(gòu)到能夠滿足當(dāng)前業(yè)務(wù)需要的生產(chǎn)工具、軟件或硬件產(chǎn)品，從而節(jié)省成本和時(shí)間。

開(kāi)源軟件的蓬勃發(fā)展改變了應(yīng)用開(kāi)發(fā)形態(tài)，現(xiàn)代應(yīng)用的開(kāi)發(fā)人員不再首選自研，而是會(huì)看當(dāng)前業(yè)界是否已有成熟的框架或解決方案。

Synopsys公司發(fā)布的《2020年開(kāi)源安全和風(fēng)險(xiǎn)分析OSSRA報(bào)告》中指出，當(dāng)前超過(guò)90%的現(xiàn)代應(yīng)用融入了開(kāi)源組件，平均每個(gè)應(yīng)用包含超過(guò)124個(gè)開(kāi)源組件，其中49%的開(kāi)源組件存在高危漏洞。

從政府服務(wù)到金融機(jī)構(gòu)每個(gè)組織都依靠軟件來(lái)為客戶提供服務(wù)。嵌入式軟件不再僅僅局限于計(jì)算機(jī)，現(xiàn)在可以控制復(fù)雜的電網(wǎng)、交通、醫(yī)療硬件、汽車以及衛(wèi)星，軟件正在吞噬整個(gè)世界。

在傳統(tǒng)邊界安全的防護(hù)理念下，安全是一個(gè)整體，保證安全不在于強(qiáng)大的地方有多強(qiáng)大，而在于真正薄弱的地方在哪里。企業(yè)邊界無(wú)限擴(kuò)大后，面臨的風(fēng)險(xiǎn)會(huì)隨之增加，邊界上任一節(jié)點(diǎn)的「安全性」被打破后，黑客就能通過(guò)這層信任鏈路，利用多種APT手段滲透到企業(yè)內(nèi)部，竊取核心數(shù)據(jù)。

以往企業(yè)防護(hù)的策略，可以從梳理企業(yè)最有價(jià)值資產(chǎn)開(kāi)始，再看資產(chǎn)潛在面臨的最大威脅是什么，基于威脅分級(jí)、資產(chǎn)分級(jí)的方式來(lái)循序漸進(jìn)做治理。

在今天這種企業(yè)架構(gòu)與軟件開(kāi)發(fā)形態(tài)下，越來(lái)越多的商業(yè)軟件、硬件設(shè)備、開(kāi)源項(xiàng)目被集成到企業(yè)的IT基礎(chǔ)設(shè)施中，從而擴(kuò)大了潛在的攻擊面，讓安全防御變得越來(lái)越復(fù)雜，以及充滿著大量「不確定性」。黑客發(fā)起攻擊不再關(guān)注你是誰(shuí)，只要你與被攻擊目標(biāo)的網(wǎng)絡(luò)或業(yè)務(wù)存在關(guān)聯(lián)，就會(huì)成為重點(diǎn)攻擊對(duì)象。

并不是所有的軟硬件供應(yīng)商都自建完善的安全團(tuán)隊(duì)，對(duì)產(chǎn)品開(kāi)展軟件安全生命周期管理（SDLC）來(lái)確保其安全性。三方軟件供應(yīng)商對(duì)安全的「漠視態(tài)度」，是導(dǎo)致黑客頻頻入侵「輕易得手」的關(guān)鍵原因。

對(duì)于黑客而言，脆弱的供應(yīng)鏈無(wú)異于一塊「新大陸」，成為黑客擊穿「關(guān)鍵基礎(chǔ)設(shè)施」資源投入的最佳「切入點(diǎn)」。

知己知彼，供應(yīng)鏈攻擊手段有哪些？

如果你不了解黑客是如何對(duì)供應(yīng)鏈發(fā)起攻擊的，那么就無(wú)法保證其安全。

阿里云安全通過(guò)分析歷史曾經(jīng)發(fā)生過(guò)的126起供應(yīng)鏈攻擊事件，將相關(guān)攻擊手段總結(jié)為以下15種：

1. 社工開(kāi)發(fā)者賬號(hào)替換正規(guī)應(yīng)用

對(duì)安卓、蘋(píng)果、三方移動(dòng)應(yīng)用商店內(nèi)提供的應(yīng)用，瀏覽器的插件，通過(guò)盜取應(yīng)用開(kāi)發(fā)者賬號(hào)替換正規(guī)應(yīng)用，以及發(fā)布相似名稱「仿冒知名應(yīng)用」，或通過(guò)重打包的技術(shù)，使用合法的應(yīng)用程序添加自己的惡意代碼，從而散布存在惡意代碼的應(yīng)用。

2. 黑灰產(chǎn)模式推廣惡意軟件

通過(guò)向第三方下載站點(diǎn)、共享資源社區(qū)、破解軟件聯(lián)盟等組織投放含有惡意代碼的應(yīng)用，通過(guò)SEO優(yōu)化方式劫持搜索引擎結(jié)果，引導(dǎo)大眾下載惡意軟件。

3. 向開(kāi)源軟件倉(cāng)庫(kù)投毒

攻擊者通過(guò)向主流的軟件包管理源（PyPI、Node.js npm、Maven、RubyGems、Docker Hub）投放大量「相似拼寫(xiě)名稱」諧音的軟件包或鏡像，仿冒正規(guī)項(xiàng)目，從而讓有惡意代碼的代碼包被安裝到開(kāi)發(fā)或生產(chǎn)環(huán)境。

4. 以假亂真

攻擊者通過(guò)分析特定行業(yè)內(nèi)的知名軟件、項(xiàng)目名稱，搶注對(duì)應(yīng)的域名，模仿官網(wǎng)，所提供的軟件下載鏈接，早已植入了惡意代碼。針對(duì)國(guó)外知名的軟件進(jìn)行漢化，并提供「漢化版」下載鏈接，也屬于該范疇。

5. 入侵官方網(wǎng)站替換下載鏈接

企業(yè)官網(wǎng)通常由WEB應(yīng)用構(gòu)成，應(yīng)用程序相對(duì)于其他業(yè)務(wù)形態(tài)更加脆弱，黑客通過(guò)應(yīng)用漏洞控制軟件官網(wǎng)后，篡改官方下載鏈接地址為植入了惡意后門(mén)的軟件，從而間接控制目標(biāo)計(jì)算機(jī)。

6. 劫持正式更新下載地址的域名

黑客通過(guò)域名服務(wù)商的漏洞，控制域名解析系統(tǒng)，將軟件、OT設(shè)備用于下發(fā)更新通知的域名劫持到了黑客的服務(wù)器，通過(guò)更新通道將惡意代碼植入目標(biāo)計(jì)算器。

7.  污染網(wǎng)絡(luò)基礎(chǔ)設(shè)施的DNS解析記錄

利用企業(yè)級(jí)路由器的已知漏洞或弱口令批量入侵網(wǎng)絡(luò)設(shè)備，修改路由器上的NS解析服務(wù)器為黑客所控制的服務(wù)器，通過(guò)劫持軟件用于更新的域名解析記錄，從而利用更新通道將惡意代碼植入目標(biāo)計(jì)算器。

8. 下載節(jié)點(diǎn)緩存、cdn緩存、P2P緩存、城域網(wǎng)緩存，被投毒污染

當(dāng)前互聯(lián)網(wǎng)體系下，硬件、軟件、物聯(lián)網(wǎng)OT設(shè)備的更新和數(shù)據(jù)分發(fā)，均依賴網(wǎng)絡(luò)基礎(chǔ)設(shè)施來(lái)承載，當(dāng)終端客戶進(jìn)行更新、下載時(shí)通過(guò)網(wǎng)絡(luò)鏈路拉取，網(wǎng)絡(luò)基礎(chǔ)設(shè)施為了提升效率節(jié)省成文，會(huì)對(duì)一些資源進(jìn)行緩存。攻擊者可通過(guò)定向污染緩存來(lái)實(shí)現(xiàn)投毒，最終攻擊終端用戶。

9. 入侵官方更新升級(jí)系統(tǒng)

軟件、硬件產(chǎn)品在發(fā)展的過(guò)程中，為了提升產(chǎn)品體驗(yàn)、升級(jí)能力、修復(fù)BUG等，需要進(jìn)行更新升級(jí)，供應(yīng)商因此建設(shè)有配套的更新升級(jí)系統(tǒng)。黑客通過(guò)自身的攻擊能力與掌握的漏洞，對(duì)供應(yīng)商發(fā)起攻擊與橫向滲透，最中取得升級(jí)系統(tǒng)的控制權(quán)。利用竊取或偽造證書(shū)簽名的軟件更新，將惡意軟件帶進(jìn)攻擊目標(biāo)。

10. 入侵軟、硬件開(kāi)發(fā)公司，向目標(biāo)項(xiàng)目的源碼植入惡意代碼

軟件、硬件產(chǎn)品從無(wú)到有，需要經(jīng)歷漫長(zhǎng)的開(kāi)發(fā)生命周期流程，包括：產(chǎn)品設(shè)計(jì)、物料采購(gòu)、開(kāi)發(fā)硬件電路板、代碼實(shí)現(xiàn)、測(cè)試、發(fā)布流轉(zhuǎn)等過(guò)程。直到產(chǎn)品最終流轉(zhuǎn)到真正要供應(yīng)鏈下游終端客戶的生產(chǎn)環(huán)境。

黑客通過(guò)自身的攻擊能力與掌握的漏洞，入侵軟件、硬件供應(yīng)商的辦公與開(kāi)發(fā)環(huán)境，直接向產(chǎn)品代碼內(nèi)植入后門(mén)，在設(shè)備上預(yù)安裝的惡意軟件 (相機(jī)、USB、電話等)，實(shí)現(xiàn)惡意代碼與后門(mén)的分發(fā)，最終進(jìn)入被攻擊目標(biāo)的網(wǎng)絡(luò)。

11. 倉(cāng)儲(chǔ)、物流鏈路劫持

第三方供應(yīng)商在針對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、智能硬件等物理設(shè)備的倉(cāng)儲(chǔ)和交付過(guò)程中，為了節(jié)約成本，均會(huì)采用三方的倉(cāng)儲(chǔ)與物流服務(wù)。攻擊者通過(guò)買通或偷盜的形式，取得于存儲(chǔ)在倉(cāng)庫(kù)或物流環(huán)節(jié)中的設(shè)備接觸機(jī)會(huì)，通過(guò)拆機(jī)或替換的方式向芯片或設(shè)備固件中寫(xiě)入后門(mén)。

12. 供應(yīng)商預(yù)留的遠(yuǎn)程管控能力和超級(jí)權(quán)限賬號(hào)

供應(yīng)商為了降低售后服務(wù)和維護(hù)成本，在交付的產(chǎn)品中，偷偷預(yù)留了遠(yuǎn)程管控的功能，供應(yīng)商可實(shí)現(xiàn)對(duì)部署在客戶環(huán)境中的產(chǎn)品，進(jìn)行遠(yuǎn)程管理控制。為了維護(hù)方便，供應(yīng)商同時(shí)也會(huì)預(yù)留一些超級(jí)管理員、運(yùn)維、測(cè)試等賬號(hào)。

13. 編譯環(huán)境，開(kāi)發(fā)工具污染篡改源碼，植入后門(mén)

攻擊者通過(guò)對(duì)開(kāi)發(fā)者常用的代碼開(kāi)發(fā)編輯器發(fā)起攻擊，通過(guò)對(duì)開(kāi)發(fā)工具的篡改，以及附加一些惡意的模塊插件。當(dāng)開(kāi)發(fā)者進(jìn)行代碼開(kāi)發(fā)的時(shí)候，惡意模塊悄悄的再開(kāi)發(fā)者寫(xiě)的代碼中植入后門(mén)。經(jīng)過(guò)被污染過(guò)的開(kāi)發(fā)工具編譯出來(lái)的程序，或部署到生產(chǎn)業(yè)務(wù)的源碼，都將被植入惡意代碼。

14. 應(yīng)用運(yùn)行環(huán)境、應(yīng)用組件環(huán)境被植入后門(mén)

應(yīng)用軟件存在編譯型與解釋型兩種語(yǔ)言形態(tài)，解釋型的軟件代碼在運(yùn)行時(shí)，需要依賴運(yùn)行環(huán)境將源碼翻譯成中間代碼，再由解釋器對(duì)中間代碼進(jìn)行解釋運(yùn)行。攻擊者通過(guò)入侵常見(jiàn)的JAVA、PHP、Python、Ruby等運(yùn)行環(huán)境的安裝包，或向XAMPP、PHP Study成熟的環(huán)境軟件等，植入后門(mén)后直接影響業(yè)務(wù)。

15. SaaS化上游服務(wù)污染

為了收集統(tǒng)計(jì)數(shù)據(jù)，網(wǎng)站管理員通常會(huì)在每個(gè)網(wǎng)頁(yè)中添加一個(gè)基于JavaScript代碼的網(wǎng)站跟蹤腳本，來(lái)跟蹤訪問(wèn)次數(shù)和查看流量歷史記錄。在前端開(kāi)發(fā)體系，有大量?jī)?yōu)秀的框架供開(kāi)發(fā)者快速實(shí)現(xiàn)各類功能，比如：Jquery、Bootstrap、Vue等，開(kāi)發(fā)者為了省事，會(huì)直接引用官方提供的CDN地址。當(dāng)上游的JS代碼源被入侵，引用這些三方JS代碼的業(yè)務(wù)，將演變?yōu)榘l(fā)起更大規(guī)模代理人攻擊的跳板。

供應(yīng)鏈攻擊的應(yīng)對(duì)建議

一、從最關(guān)鍵的供應(yīng)商開(kāi)始，將供應(yīng)商的數(shù)字資產(chǎn)納入全面的、基于真實(shí)風(fēng)險(xiǎn)的安全評(píng)估體系中：采用攻防實(shí)戰(zhàn)的方式來(lái)驗(yàn)證產(chǎn)品能力，而不僅僅是合規(guī)檢查。引入更加具有代表性的反向驗(yàn)證體系，以消除供應(yīng)商網(wǎng)絡(luò)上，可直接對(duì)組織造成業(yè)務(wù)中斷或破壞的安全盲點(diǎn)。

? 對(duì)所在組織網(wǎng)絡(luò)具有重要訪問(wèn)權(quán)限的供應(yīng)商；

? 擁有所在組織「敏感數(shù)據(jù)」的供應(yīng)商；

? 制造特殊零件或開(kāi)發(fā)特殊系統(tǒng)的供應(yīng)商。

二、安全始于可見(jiàn)性，為每個(gè)硬件、應(yīng)用程序持續(xù)構(gòu)建詳細(xì)的物料清單，從而全面洞察每個(gè)硬件、應(yīng)用軟件的組件情況：隨著軟件行業(yè)以「前所未有」的速度發(fā)展，開(kāi)發(fā)人員承受著以「更快的效率」和「更低的成本」來(lái)交付產(chǎn)品的壓力。因此開(kāi)源軟件、開(kāi)源組件成為了軟件生態(tài)系統(tǒng)中至關(guān)重要的一環(huán)，許多漏洞被一層又一層地隱藏在依賴之下，開(kāi)源亟需更有效的保護(hù)策略。為所有應(yīng)用程序創(chuàng)建SBOM（軟件物料清單），可以幫助企業(yè)發(fā)現(xiàn)當(dāng)前運(yùn)行中的程序、源代碼、構(gòu)建依賴項(xiàng)、子組件所依賴的開(kāi)源組件清單，以檢測(cè)開(kāi)源軟件組件是否帶有已知的安全漏洞或功能漏洞，漏洞披露時(shí)可通過(guò)清單列表迅速響應(yīng)排查，最終確保軟件供應(yīng)鏈中使用的都是安全的組件。從風(fēng)險(xiǎn)管理的角度跟蹤和檢測(cè)開(kāi)源軟件、開(kāi)源組件的安全態(tài)勢(shì)。

三、盡可能地縮小攻擊面、減少碎片化，降低對(duì)第三方組件、開(kāi)源軟件的依賴，選擇可信度較高，對(duì)安全重視的供應(yīng)商：以白名單形式限制硬件型號(hào)的準(zhǔn)入和允許安裝的軟件，以及確保安裝最新的安全補(bǔ)丁。通過(guò)正規(guī)渠道購(gòu)買、下載的軟硬件介質(zhì)，使用經(jīng)過(guò)驗(yàn)證可信的第三方開(kāi)源/商業(yè)庫(kù)、算法等，采購(gòu)安全可信的軟件外包服務(wù)。

四、慎用對(duì)安全態(tài)度消極的廠商所開(kāi)發(fā)的軟件或硬件產(chǎn)品：建立完整的供應(yīng)鏈安全風(fēng)險(xiǎn)管理流程，企業(yè)高層為安全第一責(zé)任人，并由安全部門(mén)統(tǒng)一集中管理和運(yùn)營(yíng)。為了讓供應(yīng)商更加注重安全，在采購(gòu)條款中明確要求，只有產(chǎn)品出具了足夠說(shuō)服力的安全控制證明，才能進(jìn)入采購(gòu)體系，并對(duì)供應(yīng)商進(jìn)行定期的安全抽查。

五、加強(qiáng)信任鏈路的自主可控能力，全鏈路加密和驗(yàn)簽：要求供應(yīng)商在提供更新、升級(jí)通道的同時(shí)，在網(wǎng)絡(luò)鏈路中須加入自定義證書(shū)的能力（用戶自定義密鑰BYOK）。同時(shí)，代碼簽名是在軟件供應(yīng)鏈中建立信任的重要過(guò)程，簽名和驗(yàn)證體系可以確保程序的執(zhí)行都是可信、可靠的。

六、提升軟件、硬件產(chǎn)品安全風(fēng)險(xiǎn)的發(fā)現(xiàn)能力：投入資源挖掘當(dāng)前企業(yè)正在使用的商業(yè)軟件、開(kāi)源軟件漏洞，將商業(yè)軟件、開(kāi)源軟件和自研軟件同等對(duì)待，實(shí)施安全開(kāi)發(fā)流程（SDL）的安全審計(jì)。

七、減輕已知漏洞的影響：通過(guò)產(chǎn)品架構(gòu)，或在產(chǎn)品設(shè)計(jì)中內(nèi)置安全性，部署和啟用惡意軟件防護(hù)和檢測(cè)能力。在使用了第三方組件的應(yīng)用服務(wù)器側(cè)部署運(yùn)行時(shí)保護(hù)技術(shù)RASP，網(wǎng)絡(luò)側(cè)部署WAF，主機(jī)側(cè)部署HIPS等防御系統(tǒng)，來(lái)緩解已知漏洞的影響。

八、網(wǎng)絡(luò)和物理環(huán)境訪問(wèn)控制、運(yùn)輸安全：軟件和硬件分發(fā)過(guò)程的安全性，物理和網(wǎng)絡(luò)安全之間沒(méi)有差距。有時(shí)，黑客會(huì)選擇利用物理安全上的漏洞，從營(yíng)業(yè)廳或車庫(kù)發(fā)動(dòng)網(wǎng)絡(luò)攻擊。同樣，攻擊者在尋找進(jìn)入物理場(chǎng)所入口時(shí)，可能會(huì)利用網(wǎng)絡(luò)漏洞來(lái)獲取物理門(mén)禁的訪問(wèn)權(quán)限。黑客甚至?xí)谖锪鬟\(yùn)輸階段下手，供應(yīng)商需找可靠、安全的運(yùn)輸物流公司，以最大程度地減少運(yùn)輸過(guò)程中被篡改的風(fēng)險(xiǎn)。

九、軟件和硬件具有安全驗(yàn)簽?zāi)芰?，物理磁盤(pán)默認(rèn)加密：硬件系統(tǒng)在安全啟動(dòng)過(guò)程中會(huì)進(jìn)行驗(yàn)簽，如果無(wú)法識(shí)別簽名，系統(tǒng)將不會(huì)啟動(dòng)，且磁盤(pán)也無(wú)法解密。防止黑客向固件或磁盤(pán)存儲(chǔ)寫(xiě)入后門(mén)或惡意代碼。

十、聯(lián)防聯(lián)控，建立供應(yīng)鏈安全聯(lián)盟以應(yīng)對(duì)系統(tǒng)性威脅，提升企業(yè)在遭受供應(yīng)鏈攻擊時(shí)的響應(yīng)與恢復(fù)能力：由單一組織構(gòu)成的防守陣線顯得勢(shì)單力薄，在關(guān)鍵基礎(chǔ)設(shè)施如此重要的今天，應(yīng)對(duì)供應(yīng)鏈攻擊亟需上升至國(guó)家、社會(huì)層面，成立行業(yè)同盟，全面升級(jí)聯(lián)防、聯(lián)控的體系。

上述內(nèi)容就是SolarWinds事件中如何防御供應(yīng)鏈攻擊，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)站題目：SolarWinds事件中如何防御供應(yīng)鏈攻擊
文章URL：http://muchs.cn/article42/gechec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、軟件開(kāi)發(fā)、關(guān)鍵詞優(yōu)化、定制開(kāi)發(fā)、網(wǎng)站制作、用戶體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)