回顧去年的安全事件：Xmanager和Xshell后門事件、Xcode非官方版本惡意代碼污染事件、思科Juniper網絡設備存在“心臟出血”漏洞、Juniper VPN后門事件……通過以上事件可以發(fā)現(xiàn)企業(yè)在進行軟件開發(fā)、設備采購、系統(tǒng)運維等階段都存在著安全風險，如何有效的針對IT產品供應鏈進行防范與控制成為企業(yè)面臨的極大挑戰(zhàn)，本文將結合相關案例針對該問題進行簡單闡述。

[[219640]]

一、概述

Xshell是一款知名的、強大的安全終端模擬軟件，但是在2017年8月NetSarang官方宣布在最近的軟件版本中發(fā)現(xiàn)nssock2.dll模塊的官方源碼中被植入惡意后門代碼，將泄露包括服務器密碼在內的相關信息。

2016年研究人員發(fā)現(xiàn)全球性的網絡安全設備供應商Fortinet(飛塔)所提供的防火墻存在后門，屬于高危漏洞,攻擊者可以通過這個后門，直接獲取防火墻控制權限，執(zhí)行攻擊行為，比如抓取流量監(jiān)聽、DNS欺騙、建立隧道進入企業(yè)內網等。

通過以上事件可以發(fā)現(xiàn)企業(yè)在進行軟件開發(fā)、設備采購、系統(tǒng)運維等階段都存在著安全風險，如何有效的針對IT產品供應鏈進行防范與控制成為企業(yè)面臨的極大挑戰(zhàn)，本文將結合相關案例針對該問題進行簡單闡述。

二、IT供應鏈

IT供應鏈是包含系統(tǒng)終端用戶、政策制定者、采購專家、系統(tǒng)集成商、網絡提供商和軟硬件提供商在內的統(tǒng)一系統(tǒng)，是上述角色通過組織和交互等行為，參與IT相關基礎設施的管理、維護和防御的過程。因此IT供應鏈威脅涉及方方面面，包括：妨害、篡改、偽造、盜版、偷盜、摧毀、毀壞、泄露、滲透、破壞、轉移、出口管制違規(guī)、腐化、社會工程、內部人員威脅、偽內部人員威脅以及外部所有權。

本文將針對IT供應鏈中的三個對象：軟件提供商、網絡及安全設備提供商、最終用戶通過安全事件列舉簡述其面臨的安全風險，同時針對安全風險提供安全防護建議，加強各環(huán)節(jié)安全防范能力。

三、安全事件概述及風險分析

1. 軟件提供商風險分析

(1) Xmanager和Xshell后門事件

事件概述：NetSarang是一家提供安全連接解決方案的公司，該公司的產品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近，官方在2017年7月18日發(fā)布的軟件被發(fā)現(xiàn)有惡意后門代碼，該惡意的后門代碼存在于有合法簽名的nssock2.dll模塊中。從后門代碼的分析來看，該代碼是由于攻擊者入侵的開發(fā)者的主機或者編譯系統(tǒng)并向源碼中插入后門導致的。該后門代碼可導致用戶遠程登錄的信息泄露。

事件緣由：開發(fā)環(huán)境被污染，源代碼植入后門

(2) Xcode非官方版本惡意代碼污染事件

事件概述：Xcode 是由蘋果公司發(fā)布的運行在操作系統(tǒng)Mac OS X上的集成開發(fā)工具(IDE)，是開發(fā)OS X 和 iOS 應用程序的最主流工具。2015年9月14日起，一例Xcode非官方版本惡意代碼污染事件逐步被關注，并成為社會熱點事件。多數分析者將這一事件稱為“XcodeGhost”。攻擊者通過對Xcode進行篡改，加入惡意模塊，并進行各種傳播活動，使大量開發(fā)者使用被污染過的版本，建立開發(fā)環(huán)境。經過被污染過的Xcode版本編譯出的App程序，將被植入惡意邏輯，其中包括向攻擊者注冊的域名回傳若干信息，并可能導致彈窗攻擊和被遠程控制的風險。

事件緣由：非官方版本被植入后門，開發(fā)工具被污染

通過上述事件可以發(fā)現(xiàn)在軟件開發(fā)、系統(tǒng)編譯、下載分發(fā)等不同階段都可能存在惡意程序感染，軟件提供商需要建立一套全面的、安全的軟件生命周期管理制度及流程，針對不同階段面臨的風險進行排查、分析，結合相應安全手段進行有效管理，從而提供安全、可靠的軟件程序。

2. 網絡安全產品提供商風險分析

(1) 思科Juniper網絡設備存在“心臟出血”漏洞

事件概述：2014年波及全網的“心臟出血”漏洞，思科及Juniper相關網絡設備也未能幸免。該漏洞存在于OpenSSL中，可以泄露網絡設備的內存內容，黑客可以在企業(yè)網絡、家庭網絡以及互聯(lián)網上利用這一漏洞，非法獲取用戶名、密碼以及其他敏感信息。

事件緣由：使用了存在漏洞的OpenSSL版本

(2) Juniper VPN后門事件

事件概述：2015年12月15日著名的網絡設備廠商Juniper公司發(fā)出風險聲明，其防火墻、VPN設備使用的操作系統(tǒng)具有重大安全風險，建議盡快升級相關版本。聲明中提及兩個重大風險：1)設備的SSH登錄系統(tǒng)在輸入任意用戶名的情況下，使用超級密碼“<<< %s(un=’%s’) = %u”后就可以最高權限登錄系統(tǒng)。2)設備的VPN安全通道上傳遞的數據可以被攻擊人解密、篡改和注入。

事件緣由：系統(tǒng)程序存在缺陷，未對代碼進行安全檢測

通過上述事件可以發(fā)現(xiàn)在網絡安全產品提供商作為產品提供者，在產品交付及運行過程中存在大量漏洞，設備研發(fā)過程中存在邏輯漏洞、使用了不安全的協(xié)議等問題導致產品存在安全漏洞，給最終使用用戶造成巨大影響。

3. 最終用戶

(1) 臺灣遠東國際商業(yè)銀行日前遭黑客入侵

事件概述：2017年10月3日臺灣遠東銀行3日發(fā)現(xiàn)SWIFT(Society for Worldwide Interbank Financial Telecommunication，環(huán)球銀行間金融電訊網絡)系統(tǒng)異常，事后發(fā)現(xiàn)銀行SWIFT系統(tǒng)遭黑客植入惡意程式，并進行遠端轉帳，5日向臺刑事警察局(刑事局)報案。據了解，遭黑的金額約6000萬美元，被匯到斯里蘭卡、柬埔寨及美國。

事件緣由：APT攻擊

(2) 美國征信巨頭 Equifax大規(guī)模數據泄露

事件概述：美國征信巨頭Equifax日前確認，黑客利用其系統(tǒng)中未修復的 Apache Struts漏洞( CVE-2017-5638，3 月 6 日曝光)發(fā)起攻擊，導致了最近影響惡劣的大規(guī)模數據泄漏事件。

事件緣由：使用存在安全漏洞的Struts框架，未及時進行升級

通過上述事件發(fā)現(xiàn)用戶在進行日常運維及安全管理過程中存在大量問題，針對內部安全漏洞無法及時進行修補，暫無相關技術手段針對網絡內部未知攻擊進行發(fā)現(xiàn)及監(jiān)測，最終導致企業(yè)網絡及系統(tǒng)被黑客攻擊，造成不可估量的損失。

(3) 建議及防范措施

IT供應鏈安全是一個涉及面廣且復雜的一套體系，在任何一個階段存在問題都勢必會影響供應鏈上下游的安全。因此，這里針對軟件提供商及網絡安全產品提供商提供相關安全建議：

• 建立健全應用開發(fā)生命周期安全管理制度，在應用及產品需求分析、功能設計、實施開發(fā)、測試驗證及上線發(fā)布等環(huán)節(jié)進行質量及安全把控;
• 定期對應用及產品進行功能、安全性測試，時刻掌握應用及產品安全風險，同時與上下游用戶建立安全事件通報機制，若出現(xiàn)安全問題及時與供應鏈上下游用戶進行溝通協(xié)同進行應急響應工作;
• 加強員工網絡安全意識培訓教育，提高安全意識認知水平規(guī)范員工日常操作;

最終用戶在進行IT供應鏈風險管理過程中應遵循以下幾點：

• 建立內部網絡安全評估機制，定期對內部網絡進行風險評估，發(fā)現(xiàn)存在的風險點，針對風險及威脅進行問題修復，全面提高網絡安全防護水平;
• 建立一套未知威脅感知系統(tǒng)，針對未知威脅攻擊進行有效的監(jiān)測及預警工作，實時掌握網絡安全情況，縮短應急響應時間;
• 建立產品采購及供應鏈廠商管理制度，需按照國家相關合規(guī)要求進行產品及服務采購，在今年6月1日正式實施的《中華人民共和國網絡安全法》中第三十五、三十六條中也針對產品及服務采購進行了相應要求;
• 加強供應鏈對象溝通交流機制，建立有效的問題反饋渠道，及時與上下游對象進行問題溝通及應急處置;
• 提高企業(yè)內部人員安全意識，建立安全操作及運維管理制度，降低違規(guī)及異常操作帶來的風險。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉載請通過51CTO聯(lián)系原作者獲取授權】

戳這里，看該作者更多好文