背景介紹

2020年12月，全世界見證了迄今為止最大且最復(fù)雜的網(wǎng)絡(luò)間諜攻擊活動(dòng)之一——SolarWinds攻擊事件。在這起攻擊事件中，攻擊者通過向SolarWinds公司開發(fā)的流行網(wǎng)絡(luò)管理平臺(tái)的合法軟件更新中注入惡意代碼，入侵了美國(guó)聯(lián)邦機(jī)構(gòu)及眾多企業(yè)網(wǎng)絡(luò)。

[[390703]]

據(jù)悉，F(xiàn)ireEye在跟蹤一起被命名為“UNC2452”的攻擊活動(dòng)中，發(fā)現(xiàn)了SolarWinds Orion軟件在2020年3-6月期間發(fā)布的版本均受到供應(yīng)鏈攻擊的影響。攻擊者在這段期間發(fā)布的2019.4-2020.2.1版本中植入了惡意的后門應(yīng)用程序。這些程序利用SolarWinds的數(shù)字證書繞過驗(yàn)證，與攻擊者的通信會(huì)偽裝成Orion Improvement Program(OIP)協(xié)議并將結(jié)果隱藏在眾多合法的插件配置文件中，從而達(dá)成隱藏自身的目的。

如今，幾個(gè)月過去了，美國(guó)政府和私營(yíng)企業(yè)仍在努力探索攻擊的全部范圍，但該事件無疑已經(jīng)引起了人們對(duì)研究人員多年來一直強(qiáng)調(diào)的一個(gè)問題的廣泛關(guān)注：軟件供應(yīng)鏈的安全性。

隨著企業(yè)組織爭(zhēng)先恐后地調(diào)查自己的系統(tǒng)和數(shù)據(jù)是否可能受到SolarWinds入侵的影響，高管、董事會(huì)和客戶們發(fā)現(xiàn)，供應(yīng)鏈攻擊的威脅范圍不僅限于這起事件，而且緩解與之相關(guān)的風(fēng)險(xiǎn)并非易事。安全領(lǐng)導(dǎo)者和專家們表示，在經(jīng)歷類似SolarWinds這樣的軟件供應(yīng)鏈攻擊事件后，CISO應(yīng)該關(guān)注下述這些最重要的問題。

CISO應(yīng)關(guān)注的5個(gè)問題

1. 即使不使用后門軟件，我們是否仍處于危險(xiǎn)之中?

在發(fā)生類似SolarWinds的攻擊事件之后，企業(yè)領(lǐng)導(dǎo)者應(yīng)該詢問IT和網(wǎng)絡(luò)安全管理者，他們的組織是否直接使用了受影響的軟件。如果答案是肯定的，那么公司應(yīng)該立即啟動(dòng)事件響應(yīng)計(jì)劃，以識(shí)別、遏制和消除威脅，并確定對(duì)業(yè)務(wù)的影響程度。

如果答案是否定的，也并不意味著該組織就是安全的。后續(xù)應(yīng)該考慮的問題是：我們的合作伙伴、承包商或供應(yīng)商是否受到損害?原因在于：

• 其一，供應(yīng)鏈攻擊的影響范圍很廣;
• 其二，公司會(huì)定期向其他方提供訪問其數(shù)據(jù)或網(wǎng)絡(luò)和服務(wù)器的權(quán)限。

重要的是，我們必須了解這樣一個(gè)事實(shí)：軟件供應(yīng)鏈攻擊非常復(fù)雜，并且會(huì)隨著時(shí)間的推移加劇影響。

• 自2017年以來，一家名為“Winnti”(也稱Barium或APT4)的中國(guó)網(wǎng)絡(luò)間諜組織就曾實(shí)施過這種類型的攻擊。當(dāng)時(shí)，該組織在Netsarang公司官方發(fā)布的服務(wù)器管理軟件Xshell中植入后門;
• 同年，該組織又設(shè)法在流行的系統(tǒng)優(yōu)化工具CCleaner中植入惡意代碼，并向200多萬臺(tái)計(jì)算機(jī)提供了惡意更新。
• 2019年，該組織又利用華碩官方服務(wù)器和數(shù)字簽名推送惡意軟件ShadowHammer。

研究人員認(rèn)為，所有這些攻擊都可以相互關(guān)聯(lián)，一次攻擊為執(zhí)行下一次攻擊提供了訪問權(quán)限。

在今年2月的白宮新聞發(fā)布會(huì)上，網(wǎng)絡(luò)與新興技術(shù)副國(guó)家安全顧問Anne Neuberger承認(rèn)了這一威脅，并警告說政府將需要數(shù)月的時(shí)間才能確定攻擊的全部范圍。她介紹稱，

Northrop Grumman公司副首席信息安全官(CISO)Mike Raeder認(rèn)為，董事會(huì)需要對(duì)此類攻擊的技術(shù)方面進(jìn)行更深入地了解。從長(zhǎng)遠(yuǎn)來看，董事會(huì)應(yīng)該納入前CIO或CISO來實(shí)現(xiàn)自身多元化。他表示，

2. 我們當(dāng)前的安全計(jì)劃是否涵蓋軟件供應(yīng)鏈威脅?

防御軟件供應(yīng)鏈攻擊的主要問題是，它們?yōu)E用了用戶和供應(yīng)商之間的信任關(guān)系，并且濫用了特定軟件的合法訪問權(quán)和特權(quán)來執(zhí)行其功能。從用戶的角度來看，他們下載的軟件來自信譽(yù)良好的來源，并且通過正確的發(fā)行或更新渠道進(jìn)行了數(shù)字簽名。用戶沒有能力對(duì)其基礎(chǔ)架構(gòu)中部署的軟件更新進(jìn)行逆向工程或代碼分析，而且一般企業(yè)也不是安全廠商，并不存在具備這些技能的員工。

企業(yè)組織必須假設(shè)，他們可能無法檢測(cè)到最初的軟件供應(yīng)鏈入侵。但是，他們可以采取措施來阻止和檢測(cè)攻擊的第二階段，這包括嘗試下載其他工具和有效負(fù)載，嘗試與外部命令和控制服務(wù)器進(jìn)行通信以及嘗試橫向移動(dòng)到其他系統(tǒng)等。

3. 如果政府機(jī)構(gòu)和像FireEye這樣的安全供應(yīng)商受到損害，我們?nèi)绾伪Ｗo(hù)自己?

Webb表示，企業(yè)組織需要關(guān)注其安全程序的成熟度。每個(gè)組織可能都構(gòu)建了具有防火墻、入侵檢測(cè)和防御系統(tǒng)、DNS控制和其他具備創(chuàng)建邊界功能的防護(hù)措施，但是他們并沒有付出很多努力來強(qiáng)化其內(nèi)部環(huán)境。

組織可以檢測(cè)到橫向移動(dòng)活動(dòng)(例如企圖濫用管理憑據(jù))，但這通常需要高級(jí)監(jiān)視和行為檢測(cè)工具以及大型安全運(yùn)營(yíng)中心的支持，而這些對(duì)于中小型組織而言都是無法承受的。這些組織可以做的就是確保他們部署了基礎(chǔ)安全防護(hù)，并且所有系統(tǒng)和內(nèi)部環(huán)境都盡可能地堅(jiān)固。

以Avalon公司為例，其內(nèi)部網(wǎng)絡(luò)上的通信都經(jīng)過了加密處理，這樣，在受到威脅的情況下，攻擊者即便可以攔截流量也無法從流量中提取憑據(jù)或其他有用信息。所有DNS流量都必須通過防火墻和DNS過濾器，并且允許服務(wù)器連接的所有URL都必須是白名單中的。這樣可以確保如果服務(wù)器受到威脅，那么惡意代碼將無法到達(dá)命令和控制服務(wù)器，并下載其他惡意工具或執(zhí)行惡意命令。

完成部署后，所有服務(wù)器都需要經(jīng)過強(qiáng)化過程，在此過程中，一切都是被鎖定和阻止的，然后根據(jù)需要對(duì)連接設(shè)置白名單。數(shù)據(jù)庫(kù)也是一樣。訪問數(shù)據(jù)庫(kù)的服務(wù)器只能查看其執(zhí)行工作所需的操作。僅從內(nèi)部服務(wù)器提供更新，而不能直接從Internet提供更新，從而防止受到感染的服務(wù)器打開外部連接。用戶絕不能使用管理員憑據(jù)登錄，并且只能使用白名單中的應(yīng)用程序。最終用戶、Windows服務(wù)器和Linux服務(wù)器分別位于單獨(dú)的目錄中，這樣一來，如果一個(gè)目錄遭到破壞，也不至于危及整個(gè)環(huán)境。

Webb表示，7年前，我們開始應(yīng)用零信任原則，它實(shí)際上是僅根據(jù)您信任的內(nèi)容以及設(shè)備應(yīng)該具有的功能來管理設(shè)備。其他所有一切都是不可信的，都應(yīng)被阻止。如果存在試圖違反該規(guī)則的事情，就必須警惕：為什么這個(gè)系統(tǒng)試圖做我不打算做的事情?

實(shí)際上，發(fā)現(xiàn)并報(bào)告此次SolarWinds攻擊的FireEye公司也曾淪為攻擊目標(biāo)，據(jù)悉，攻擊者將一個(gè)二級(jí)設(shè)備添加到了一名員工的賬戶中，以繞過多因素身份驗(yàn)證。這種行為被及時(shí)檢測(cè)到并標(biāo)記為可疑，而該員工隨后也接受了訊問。

Webb表示，這可能就是問題的答案：堅(jiān)持零信任和行為管理。如果某些事情違反了您的零信任原則，則必須對(duì)其進(jìn)行調(diào)查。

4. 軟件供應(yīng)鏈攻擊是否會(huì)導(dǎo)致對(duì)供應(yīng)商和提供商進(jìn)行更仔細(xì)的審查?

一些組織在選擇其軟件解決方案或服務(wù)時(shí)，可能會(huì)考慮供應(yīng)商的漏洞管理實(shí)踐：他們?nèi)绾翁幚硗獠柯┒磮?bào)告?他們多久發(fā)布一次安全更新?他們的安全通信是什么樣的?他們會(huì)發(fā)布詳細(xì)的建議嗎?他們是否具有旨在減少其軟件漏洞數(shù)量的安全軟件開發(fā)生命周期?一些公司可能還會(huì)要求提供有關(guān)滲透測(cè)試和其他安全合規(guī)性報(bào)告的信息。

但是，對(duì)于像SolarWinds這樣的攻擊，軟件開發(fā)組織需要超越這一點(diǎn)，并投資于更好地保護(hù)自己的開發(fā)基礎(chǔ)架構(gòu)和環(huán)境，因?yàn)樗鼈冋找鏈S為攻擊者的目標(biāo)，并且可能通過他們使用的工具和軟件組件成為軟件供應(yīng)鏈攻擊的受害者。他們還需要考慮在應(yīng)用程序設(shè)計(jì)階段給用戶帶來的風(fēng)險(xiǎn)，并通過限制特權(quán)和訪問應(yīng)用程序(只授權(quán)執(zhí)行操作所需的特權(quán)和應(yīng)用程序)，來限制入侵可能帶來的影響。

Webb表示，我們的責(zé)任將是對(duì)供應(yīng)鏈?zhǔn)┘訅毫Γ耗仨毤訌?qiáng)自己的產(chǎn)品和服務(wù)。供應(yīng)商們應(yīng)該清楚地知道，必須測(cè)試和審計(jì)自己的代碼，不是一年一次，而可能是每月一次的頻率或是在進(jìn)行任何部署之前。業(yè)務(wù)領(lǐng)導(dǎo)者需要敦促IT領(lǐng)導(dǎo)者，以確保他們只與信譽(yù)良好的供應(yīng)商，以及已經(jīng)采取下一步措施來保護(hù)組織正在使用的代碼的人員進(jìn)行合作。

鳳凰城大學(xué)信息安全副總裁Larry Schwarberg表示，對(duì)于許多組織而言，朝這個(gè)方向邁出的第一步將是確認(rèn)其所有軟件和SaaS供應(yīng)商，并為新應(yīng)用程序和服務(wù)明確定義啟用流程。許多組織存在“影子IT”問題，即不同的團(tuán)隊(duì)在未經(jīng)安全團(tuán)隊(duì)審查和批準(zhǔn)的情況下自行購(gòu)買和部署硬件及軟件資產(chǎn)。這無疑加劇了鎖定應(yīng)用程序以及強(qiáng)制執(zhí)行最小特權(quán)訪問的難度。

Schwarberg補(bǔ)充道，隨著隨著合同和訂閱續(xù)訂的紛涌而至，組織應(yīng)向其軟件和服務(wù)提供商詢問有關(guān)滲透測(cè)試，以及如何測(cè)試其軟件并限制潛在影響等更深層次的問題

從供應(yīng)鏈安全的角度對(duì)軟件供應(yīng)商進(jìn)行全面評(píng)估并不容易，并且需要許多公司可能并不具備的資源和專業(yè)知識(shí)，但是，審計(jì)組織可能會(huì)利用此事件作為催化劑，并圍繞此事件建立更多的功能。

5. 這種類型的攻擊僅由APT組織和民族國(guó)家黑客發(fā)起嗎?

迄今為止，許多備受矚目的軟件供應(yīng)鏈攻擊(包括SolarWinds攻擊和ShadowPad攻擊)都?xì)w因于與政府有可疑聯(lián)系的APT組織。根據(jù)大西洋理事會(huì)(Atlantic Council)對(duì)過去10年中披露的115種軟件供應(yīng)鏈攻擊和漏洞的分析結(jié)果發(fā)現(xiàn)，其中至少27種是民族國(guó)家贊助的。但是，實(shí)施軟件供應(yīng)鏈攻擊所需的技能和資源并不僅限于傳統(tǒng)的網(wǎng)絡(luò)間諜組織。

多年來，各種攻擊都涉及后門開源組件或后門版本的合法應(yīng)用程序，這些后門版本由受感染的下載服務(wù)器提供服務(wù)，而這些服務(wù)器很可能是網(wǎng)絡(luò)犯罪分子出于經(jīng)濟(jì)動(dòng)機(jī)發(fā)起的。甚至還存在一個(gè)與勒索軟件有關(guān)的案例。

在過去幾年中，許多勒索軟件團(tuán)伙采用了過去僅在APT組織中才能看到的復(fù)雜技術(shù)，包括內(nèi)存中進(jìn)程注入，深度偵察，使用系統(tǒng)管理工具進(jìn)行的手動(dòng)黑客入侵和橫向移動(dòng)，無文件惡意軟件等等。一些勒索軟件團(tuán)伙還針對(duì)管理服務(wù)提供商(managed service providers，簡(jiǎn)稱“MSP”)進(jìn)行了攻擊，這些攻擊在概念上與軟件供應(yīng)鏈攻擊相似：針對(duì)可以憑借業(yè)務(wù)關(guān)系對(duì)其他公司進(jìn)行特權(quán)訪問的組織。

如今，越來越多的網(wǎng)絡(luò)雇傭軍團(tuán)體在地下網(wǎng)絡(luò)犯罪市場(chǎng)向政府和私人實(shí)體出售黑客服務(wù)。隨著越來越多的組織開始采用這種攻擊媒介，所有組織(無論大小或是從事的行業(yè))都可能通過軟件供應(yīng)鏈入侵而成為APT式攻擊的受害者。