2020年12月,網絡安全世界再遭黑客挑戰,他們侵入了IT軟件提供商SolarWinds的網絡,利用SolarWinds 的 Orion 平臺軟件秘密分發惡意軟件來監視用戶,并提取敏感數據文檔。在最近的報道中可以發現,數百家組織,包括政府機構和私營企業等都受到影響,同時這個名單還在持續增長。這也就是所有網安工程師最為擔心的“供應鏈攻擊”。
以零信任PK供應鏈攻擊
實際上供應鏈攻擊早已成為APT攻擊中的常用攻擊手段,具備了攻擊手法隱蔽,檢測困難等特點,且危害極大。2013年的棱鏡門事件、2015年的XcodeGhost事件、2017年的Xshell后門代碼,均是攻擊者通過供應鏈攻擊手法,無論是受攻擊企業,還是普通大眾,均受到了巨大的影響。而本次SolarWinds事件作為最嚴重的供應鏈攻擊事件之一,涉及面廣、影響大,更應該敲響人們對于供應鏈安全的警鐘。
需要警惕的是,許多企業默認將供應鏈列為“可信”,這加大了APT攻擊的防范難度。例如:針對SolarWinds的攻擊者在2019.4-2020.2.1版本中植入了惡意的后門應用程序,這些程序就利用到了SolarWinds的數字證書繞過驗證。
這對于依賴數字化平臺開展業務的用戶來說,壓力山大。現在,每一個產品的開發總是存在大量的合作商,很多系統越來越復雜、越來越龐大,大多是通過模塊化、組件化的方式,需要引入第三方的模塊或者和第三方的業務系統對接并使用其提供的數據,但我們無法完全掌控第三方系統的安全性,如果其存在漏洞(也包括合作伙伴網絡中存在的“水坑”攻擊、跳板攻擊等)被攻擊,需要保證我們自己的系統不會因此而受到影響。所以,零信任將是應對供應鏈攻擊最有效的方案之一。
對于軟硬件的供應鏈來說,傳統網絡安全架構的邏輯可看成是“全信任”——我肯定信任你們,但是我要全方位、一層一層地檢查。殊不知,但凡信任之后再檢查,就始終有疏忽的地方。零信任作為一種全新的安全保障概念,它的核心是商業機構不會缺省信任任何內部或外部的網絡鏈接或信息請求,所有對于系統的訪問都會建立在身份、端點、服務等一系列參與服務的角色,必須得到安全策略一致的驗證和授權之后才能進行。因此,這必將是替代傳統網絡安全架構和防御策略的核心,更是企業未來數字化商業的一個重要基礎。
以XDR揪出并治理供應鏈威脅
回顧SolarWinds事件,根據相關報告描述,攻擊者會讓代碼在休眠2周左右之后采用第三方進行通信,并且根據返回的指令執行操作,包括傳輸文件、執行文件、重啟系統等。而這些通信會偽裝成Orion Improvement Program(OIP)協議并將結果隱藏在眾多合法的插件配置文件中,從而達成隱藏自身的目的。不過,從這條信息中,我們其實可以看到一個“有趣”的事情——這次攻擊“太著急了”。
通過對歷史上重大數據竊取事件的分析,亞信安全發現,APT攻擊者平均潛伏的天數長達 205 天,有的甚至可能潛伏長達數年之久。這也代表了APT攻擊最為顯著的特征——隱匿行蹤、長期潛伏、持續滲透。
發現APT攻擊者在內部系統的藏身之處有一定的難度,但不是說企業就束手無策。針對APT攻擊的每個階段,亞信安全的XDR解決方案,對應包括了“準備、發現、分析、遏制、消除、恢復、優化”這7個階段。準備階段包括了針對每一種黑客攻擊類型的標準預案,自發現威脅數據之后,將數據集中到本地威脅情報和云端威脅情報做分析,利用機器學習和專家團隊,通過分析黑客進攻的時間、路徑、工具等所有細節,其特征提取出來,再進行遏制、清除、恢復和優化。
寫在最后,也寫給“自己”
回顧針對供應鏈發動APT攻擊的真實案例再次證明了,在軟硬件開發交付環節被攻擊后會產生巨大危害,故軟件開發及交付環節的安全防范至關重要。為此,亞信安全建議軟硬件廠商在開發交付環節盡可能做到:
1、 建立可信的開發環境,這包括可控可信任的軟硬件環境,諸如正規渠道購買、下載的軟硬件,可信的第三方開源/商業庫、算法等,采購安全可信的軟件外包服務。關注所用組件的安全通告,如被揭露出嚴重安全問題,通過配置或加入其他安全性控制作為緩解措施,必要時升級相關的組件。
2、 培養開發人員的安全意識,將SDL融入到開發流程中,把安全性的評估作為開發過程中的必要評審項。開發環節嚴格遵守開發規范,開發完成的軟硬件發布前,交給獨立的內部或外部測評組織進行安全性評估,及時解決所發現的問題。
3、 在正規且統一的可信渠道發布軟件,軟件安裝運行時能夠提供強校驗能力,升級更新自身時校驗下載回來安裝包的簽名,并且將相關簽名證書作為企業核心資產嚴格保管,保證證書不泄露,不會運行被劫持的升級包。
最后,還有一點值得關注,與SolarWinds類似的國內外IT管理軟件,均存在著權限過大的問題,一旦被入侵,所造成的影響也將覆蓋到整個業務層面。具體來說,IT運維管理軟件在企業網絡架構中擁有絕對的超級權利,從技術角度來看,它控制了工作在底層的運維平臺,就能將整個網絡的信息轉發到任何一個接收點,沒有任何障礙,且不易察覺。甚至在一些特殊行業(金融、能源、制造)的封閉網絡,別有用心者(“內鬼”)一旦觸及或接管運維系統的管理權,用戶也很難確保核心數據不會造成泄露。
京公網安備 11010502049343號