[[432182]]

隨著開(kāi)源、云原生等技術(shù)的應(yīng)用，軟件供應(yīng)鏈開(kāi)始向多元化發(fā)展。此舉雖加速了技術(shù)的革新和升級(jí)，但也讓供應(yīng)鏈安全成為全球企業(yè)的“心腹大患”。

據(jù)2021年7月發(fā)布的《2020年中國(guó)網(wǎng)絡(luò)安全報(bào)告》稱，軟件供應(yīng)鏈攻擊已成為2020年最具影響力的高級(jí)威脅之一。

卡巴斯基最新的IT安全經(jīng)濟(jì)學(xué)報(bào)告顯示，約有三分之一的大型企業(yè)遭遇了供應(yīng)鏈攻擊，給企業(yè)造成的平均財(cái)務(wù)影響高達(dá)140萬(wàn)美元，已成為年度損失最高的攻擊事件類型。

無(wú)獨(dú)有偶，2021年10月19日，Cyentia發(fā)布了《信息風(fēng)險(xiǎn)洞察研究》(IRIS)報(bào)告，數(shù)據(jù)顯示，在排名前五十的多方數(shù)據(jù)泄露事件中，發(fā)現(xiàn)一場(chǎng)大型事件泄露平均涉及31家企業(yè)，企業(yè)經(jīng)濟(jì)損失的中位值高達(dá)9000萬(wàn)美元，而典型網(wǎng)絡(luò)安全事件帶來(lái)的損失只有20萬(wàn)美元左右。

Cyentia指出，供應(yīng)鏈攻擊是多方數(shù)據(jù)泄露的主要原因，倘若企業(yè)沒(méi)有做好應(yīng)對(duì)供應(yīng)鏈攻擊的準(zhǔn)備，那么就會(huì)置身于多方數(shù)據(jù)泄露的風(fēng)險(xiǎn)之中，給企業(yè)帶來(lái)的經(jīng)濟(jì)損失也比單方數(shù)據(jù)泄露事件要高的多。

2021年7月發(fā)生的Kaseya供應(yīng)鏈攻擊事件也證明了這一觀點(diǎn)。在這次攻擊事件中，俄羅斯勒索組織REvil給網(wǎng)絡(luò)安全行業(yè)上了印象深刻的一堂課：波及17個(gè)國(guó)家，上千家企業(yè)和機(jī)構(gòu)，上百萬(wàn)臺(tái)設(shè)備被加密，索要贖金高達(dá)7000萬(wàn)美元，是迄今為止規(guī)模最大的供應(yīng)鏈?zhǔn)录?/p>

從這里我們也可以看出供應(yīng)鏈攻擊的可怕之處，只要拿下一家供應(yīng)鏈企業(yè)，那么其客戶和合作伙伴都將因此遭受攻擊，由此引發(fā)的連鎖反應(yīng)將會(huì)是全球性的，災(zāi)難性的。

什么是供應(yīng)鏈攻擊

供應(yīng)鏈?zhǔn)侵?，?chuàng)建和交付最終解決方案或產(chǎn)品時(shí)所牽涉的流程、人員、組織機(jī)構(gòu)和發(fā)行人。在網(wǎng)絡(luò)安全領(lǐng)域，供應(yīng)鏈涉及大量資源(硬件和軟件)、存儲(chǔ)(云或本地)、發(fā)行機(jī)制(web應(yīng)用程序、在線商店)和管理軟件。

而所謂供應(yīng)鏈攻擊，顧名思義就是針對(duì)供應(yīng)鏈發(fā)起的網(wǎng)絡(luò)攻擊，并通過(guò)供應(yīng)鏈將攻擊延伸至相關(guān)的合作伙伴和下游企業(yè)客戶。

因此，供應(yīng)鏈攻擊至少分為兩個(gè)部分：一是針對(duì)供應(yīng)鏈的攻擊;二是針對(duì)客戶企業(yè)的攻擊。一次完整的供應(yīng)鏈攻擊是以供應(yīng)鏈為跳板，最終將供應(yīng)鏈存在的問(wèn)題放大并傳遞至下游企業(yè)，產(chǎn)生攻擊漣漪效應(yīng)和巨大的破壞性。

目前，供應(yīng)鏈攻擊通常和APT攻擊、勒索攻擊結(jié)合在一起，攻擊者最終的目的是加密企業(yè)設(shè)備、系統(tǒng)或數(shù)據(jù)，以此勒索企業(yè)牟取暴利。

由于供應(yīng)鏈攻擊涉及供應(yīng)商和企業(yè)用戶兩大組織，因此直接加劇了處理事件、取證分析和事件整體管理的復(fù)雜性。這意味著企業(yè)針對(duì)攻擊的應(yīng)急響應(yīng)流程也將變的更加復(fù)雜，系統(tǒng)恢復(fù)的時(shí)間也會(huì)更長(zhǎng)。正因?yàn)槿绱?，供?yīng)鏈攻擊往往能夠造成難以想象的嚴(yán)重后果。

Imperva曾分享了五種典型的攻擊手法，分別是：

• 利用供應(yīng)商的產(chǎn)品進(jìn)行注入(典型的如SolarWinds事件)
• 利用第三方應(yīng)用程序(如郵件/瀏覽器漏洞)
• 利用開(kāi)放源代碼庫(kù)中包含的漏洞
• 依賴關(guān)系混淆
• 惡意接管(擔(dān)任社區(qū)項(xiàng)目維護(hù)者，注入惡意代碼)

從以上五種典型的攻擊手法中，我們也可以發(fā)現(xiàn)，有的供應(yīng)鏈攻擊(如依賴關(guān)系混淆)企業(yè)可以提前預(yù)防，但是有的供應(yīng)鏈攻擊(如利用供應(yīng)商的產(chǎn)品進(jìn)行注入)企業(yè)束手無(wú)策。

供應(yīng)鏈攻擊增長(zhǎng)迅猛，企業(yè)難忍切膚之痛

2020年12月13日，隨著FireEye發(fā)布的一條攻擊報(bào)告，SolarWinds供應(yīng)鏈攻擊事件開(kāi)始進(jìn)入到公眾視野。無(wú)論是微軟、谷歌等大型企業(yè)緊急響應(yīng)，還是美國(guó)政府機(jī)構(gòu) FBI的快速介入，都讓人感到“事情很不妙”。

在最終結(jié)果出來(lái)之前，幾乎沒(méi)有人相信，這一次攻擊竟然產(chǎn)生了如此嚴(yán)重的后果。

12月14日，SolarWinds向美國(guó)證券交易委員會(huì)(SEC)提交了供應(yīng)鏈攻擊事件的報(bào)告。報(bào)告顯示，微軟、英偉達(dá)、思科、德勤、VMWare等多個(gè)世界巨頭企業(yè)，美國(guó)國(guó)務(wù)院、五角大樓、國(guó)土安全部、商務(wù)部、財(cái)政部、司法部、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局等大量的政府單位，全都在受害人的列表中。

這樣的情形在以前幾乎無(wú)法想象，也讓供應(yīng)鏈攻擊一躍成為網(wǎng)絡(luò)安全領(lǐng)域的焦點(diǎn)之一，此后供應(yīng)鏈攻擊“大事件”層出不窮。

2021年3月，占據(jù)全球90%航空份額的通信和IT廠商，國(guó)際航空電信公司(SITA)受到供應(yīng)鏈攻擊，直接造成了航空業(yè)“大地震”，漢莎航空、新西蘭航空、泰航空、韓國(guó)航空、日本航空等多個(gè)航空公司業(yè)務(wù)受到影響，甚至出現(xiàn)大范圍的數(shù)據(jù)泄露。

再比如上文提及的國(guó)際軟件服務(wù)提供商Kaseya供應(yīng)鏈攻擊事件，無(wú)數(shù)國(guó)際大企業(yè)因此遭受損失，其嚴(yán)重的后果使得美國(guó)政府和微軟等IT巨頭，都快速介入并進(jìn)行應(yīng)急響應(yīng)。

供應(yīng)鏈攻擊所產(chǎn)生的嚴(yán)重后果進(jìn)一步激發(fā)了網(wǎng)絡(luò)攻擊的動(dòng)力，而當(dāng)越來(lái)越多的攻擊者轉(zhuǎn)向供應(yīng)鏈時(shí)，供應(yīng)鏈攻擊事件就如同雪花般散落開(kāi)來(lái)。

總的來(lái)說(shuō)，自2020年以來(lái)，供應(yīng)鏈攻擊事件呈現(xiàn)爆發(fā)增長(zhǎng)的態(tài)勢(shì)，并且給企業(yè)帶來(lái)了難以忍受的切膚之痛。

2021年6月，奇安信發(fā)布了《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》。數(shù)據(jù)顯示，2020年全年，奇安信代碼安全實(shí)驗(yàn)室檢測(cè)的代碼總量為335011173行，共發(fā)現(xiàn)安全缺陷3387642個(gè)，其中高危缺陷361812個(gè)，整體缺陷密度為10.11個(gè)/千行，高危缺陷密度為1.08個(gè)/千行。

而Palo Alto Networks 安全咨詢部門Unit 42發(fā)布的《2021年下半年云威脅報(bào)告》顯示，63%用于構(gòu)建云基礎(chǔ)設(shè)施的第三方代碼模板包含不安全的配置，96%部署在云基礎(chǔ)設(shè)施中的第三方容器型應(yīng)用包含已知漏洞。

除了分析數(shù)據(jù)外，Unit 42的研究人員還受一家大型SaaS供應(yīng)商委托，對(duì)其軟件開(kāi)發(fā)環(huán)境進(jìn)行紅隊(duì)演練。僅僅三天時(shí)間，Unit 42研究人員就發(fā)現(xiàn)了軟件開(kāi)發(fā)過(guò)程中的重大漏洞，足以讓客戶輕易受到類似SolarWinds和Kaseya的攻擊。

換句話說(shuō)，由于此前未曾重視供應(yīng)鏈的安全建設(shè)，以至于如今在很多地方都隱藏著漏洞和威脅。一旦這些漏洞被攻擊者利用，SolarWinds事件和Kaseya事件很有可能會(huì)再次上演。

對(duì)此，歐洲網(wǎng)絡(luò)和信息安全局發(fā)布的《供應(yīng)鏈攻擊的威脅分析》報(bào)告指出，眼下攻擊者已經(jīng)將注意力轉(zhuǎn)移到供應(yīng)商上，和2020年相比，2021年供應(yīng)鏈攻擊預(yù)計(jì)將增加4倍，而且這些攻擊給企業(yè)帶來(lái)的影響也越來(lái)越大，包括系統(tǒng)停機(jī)、金錢損失和聲譽(yù)損害等。

早在2017年，NotPetya勒索軟件就曾利用供應(yīng)鏈更新發(fā)起攻擊，全球59個(gè)國(guó)家的政府部門、醫(yī)院、銀行、機(jī)場(chǎng)等系統(tǒng)受到影響，造成超過(guò)100億美元的損失。

此前，CrowdStrike發(fā)布的調(diào)查數(shù)據(jù)也說(shuō)明了這一問(wèn)題。調(diào)查結(jié)果顯示，在2018年，被調(diào)查的企業(yè)中有三分之二曾遭遇軟件供應(yīng)鏈攻擊;90%的企業(yè)因軟件供應(yīng)鏈攻擊而導(dǎo)致財(cái)產(chǎn)損失，平均成本超過(guò)110萬(wàn)美元;80%的受訪者認(rèn)為，軟件供應(yīng)鏈攻擊將成為未來(lái)三年內(nèi)最大的網(wǎng)絡(luò)威脅之一。

如今，三年已過(guò)，預(yù)言成真，供應(yīng)鏈攻擊也已經(jīng)成為嚴(yán)重的網(wǎng)絡(luò)威脅。

BlueVoyant最新發(fā)布的報(bào)告指出，在過(guò)去的2020年中，供應(yīng)鏈風(fēng)險(xiǎn)陡增，全球大約93%的大中型企業(yè)組織由于供應(yīng)鏈薄弱而遭受直接破壞。特別是SolarWinds漏洞和勒索軟件攻擊等活動(dòng)，更加凸顯了企業(yè)組織面臨的供應(yīng)鏈攻擊風(fēng)險(xiǎn)。

下一代軟件供應(yīng)鏈攻擊正在爆發(fā)

隨著開(kāi)源、云原生等技術(shù)的大范圍應(yīng)用，下一代軟件供應(yīng)鏈威脅也正在逐漸爆發(fā)。

全球開(kāi)源技術(shù)正在快速增長(zhǎng)和應(yīng)用，這一點(diǎn)相比業(yè)內(nèi)人士都有這樣的感覺(jué)。數(shù)據(jù)顯示，GitHub 的活躍代碼倉(cāng)庫(kù)與活躍用戶數(shù)分別增長(zhǎng)了35.3% 和21.2%;Gitee 的代碼倉(cāng)庫(kù)與用戶數(shù)的增長(zhǎng)數(shù)據(jù)更是達(dá)到了192%和162%。

同時(shí)，企業(yè)“借用”開(kāi)源代碼已經(jīng)變的越來(lái)越普遍，但其安全性難以保證。

例如2021年10月28日，抖音前端宣布將UI庫(kù)Semi Design 進(jìn)行開(kāi)源，隨即就被發(fā)現(xiàn)，它的代碼中存在阿里巴巴同類產(chǎn)品 Ant Design 的痕跡。試想一下，如果抖音為開(kāi)源，“借用”的行為就不會(huì)發(fā)現(xiàn)，這也反過(guò)來(lái)證明，“開(kāi)源代碼借用”是一件非常“平常”的事情。

根據(jù)Sonatype最新發(fā)布的《2021年軟件供應(yīng)鏈狀況報(bào)告》，全球?qū)﹂_(kāi)源代碼的旺盛需求導(dǎo)致軟件供應(yīng)鏈攻擊同比增長(zhǎng)650%。全球的開(kāi)發(fā)商累計(jì)從第三方開(kāi)源生態(tài)系統(tǒng)“借用”超過(guò)2.2萬(wàn)億個(gè)開(kāi)源軟件包或組件，以加快上市時(shí)間。但是，這些開(kāi)源軟件和組件中存在各種漏洞，反而大大增加了供應(yīng)鏈攻擊的風(fēng)險(xiǎn)。

而CVE官方網(wǎng)站統(tǒng)計(jì)的數(shù)據(jù)顯示，2020 年發(fā)布的開(kāi)源漏洞中未被 CVE 官方收錄漏洞有 1362 個(gè)，占 2020 年發(fā)布漏洞總數(shù)的 23.78%;CVE 官方未收錄數(shù)據(jù)呈上長(zhǎng)趨勢(shì)，增長(zhǎng)率逐年遞增，2018 年環(huán)比 2017 年增長(zhǎng)速度達(dá) 133.52%。

越來(lái)越多的數(shù)據(jù)都表明，下一代供應(yīng)鏈攻擊正在到來(lái)，其顯著特點(diǎn)是刻意針對(duì)“上游”開(kāi)源組件，進(jìn)行更主動(dòng)的攻擊。

此時(shí)，攻擊者不再是被動(dòng)的等待漏洞的出現(xiàn)，而是主動(dòng)將新的漏洞注入為供應(yīng)鏈提供支持的開(kāi)源項(xiàng)目中。因此，下一代軟件供應(yīng)鏈攻擊將更加隱蔽，也將有更多的時(shí)間對(duì)下游企業(yè)展開(kāi)攻擊，危險(xiǎn)性將更高。

相較國(guó)外，國(guó)內(nèi)下一代軟件供應(yīng)鏈攻擊的風(fēng)險(xiǎn)同樣存在。

究其原因，自2020年以來(lái)國(guó)內(nèi)開(kāi)源技術(shù)蓬勃發(fā)展，但是其安全性也不容樂(lè)觀。根據(jù)奇安信發(fā)布的《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》，國(guó)內(nèi)企業(yè)超8成軟件項(xiàng)目存在已知高危開(kāi)源軟件漏洞;平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開(kāi)源軟件漏洞。2020年檢測(cè)的1364個(gè)開(kāi)源軟件項(xiàng)目整體缺陷密度為14.96個(gè)/千行，高危缺陷密度為0.95個(gè)/千行。

由此可見(jiàn)，國(guó)內(nèi)開(kāi)源技術(shù)的安全性令人擔(dān)憂，隨之而來(lái)的下一代軟件供應(yīng)鏈風(fēng)險(xiǎn)也將居高不下。

供應(yīng)鏈安全已經(jīng)脫離了企業(yè)掌控

和日益增長(zhǎng)的供應(yīng)鏈攻擊威脅相比，下游企業(yè)卻缺乏針對(duì)性的、有效的防護(hù)手段。這意味著，即便是企業(yè)自身?yè)碛休^好的安全能力，但面對(duì)供應(yīng)鏈攻擊依舊難以有效預(yù)防和應(yīng)急響應(yīng)。

這就和食品供應(yīng)鏈一樣，當(dāng)生產(chǎn)食品的原料有不健康的成分(比如添加劑不合格或超標(biāo))，那么生產(chǎn)出來(lái)的食品很有可能是不健康的。軟件供應(yīng)鏈安全也是如此，如果上游提供的“代碼”有問(wèn)題，那么企業(yè)使用的產(chǎn)品也同樣存在問(wèn)題。

最關(guān)鍵的是，企業(yè)也無(wú)法確定，哪些產(chǎn)品有問(wèn)題，也無(wú)法解決上游企業(yè)代碼的問(wèn)題，自然也就無(wú)法進(jìn)行防控。反過(guò)來(lái)，攻擊者卻可以借供應(yīng)商的渠道順利侵入企業(yè)，并在內(nèi)部發(fā)起攻擊。這就好比你身邊一個(gè)好朋友，突然朝你捅了一刀，有心算無(wú)心之下，受傷的概率會(huì)非常高。

眾所周知，軟件供應(yīng)鏈可劃分為開(kāi)發(fā)、交付、運(yùn)行三個(gè)大的環(huán)節(jié)，其中每個(gè)環(huán)節(jié)都可能會(huì)引入供應(yīng)鏈安全風(fēng)險(xiǎn)從而遭受攻擊。通過(guò)對(duì)軟件開(kāi)發(fā)人員和供應(yīng)商的攻擊，攻擊者可以借供應(yīng)鏈分發(fā)惡意軟件來(lái)訪問(wèn)源代碼、構(gòu)建過(guò)程或更新機(jī)制。這些惡意軟件因?yàn)閬?lái)自受信任的供應(yīng)商渠道和數(shù)字簽名，因此很容易繞過(guò)企業(yè)已有的安全防護(hù)體系，并完成下一步攻擊。

隨著網(wǎng)絡(luò)攻擊趨利性和潛伏性不斷增加，供應(yīng)鏈攻擊呈現(xiàn)出非同一般的耐心，不少攻擊者長(zhǎng)期潛伏在企業(yè)內(nèi)部，一旦爆發(fā)開(kāi)來(lái)將會(huì)給企業(yè)帶來(lái)嚴(yán)重?fù)p失。

同時(shí)，企業(yè)對(duì)于供應(yīng)鏈攻擊的應(yīng)急響應(yīng)過(guò)程過(guò)于繁瑣，所需要的時(shí)間太過(guò)漫長(zhǎng)，很難再黃金時(shí)間內(nèi)完成應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù)。

這也是供應(yīng)鏈攻擊在下游企業(yè)爆發(fā)之后，往往能夠取得不俗成果的原因。

巨頭著手開(kāi)始應(yīng)對(duì)供應(yīng)鏈攻擊

面對(duì)火燒眉毛的供應(yīng)鏈攻擊威脅，越來(lái)越的企業(yè)和有識(shí)之士認(rèn)識(shí)到，僅依靠單個(gè)企業(yè)是無(wú)法應(yīng)對(duì)供應(yīng)鏈攻擊，因此必須要集合行業(yè)的力量，從上游清除“安全威脅”。

基于此，微軟、英特爾和高盛在可信計(jì)算組 (TCG) 成立了一個(gè)專注于供應(yīng)鏈安全的新工作組。

未來(lái)，這個(gè)組織將在TCG的支持下，為可信計(jì)算平臺(tái)如廣泛使用的可信平臺(tái)模塊 (TPM) 開(kāi)發(fā)、定義和推廣開(kāi)源和供應(yīng)商中立行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)。

其中，有兩點(diǎn)非常關(guān)鍵：

• 提供確保設(shè)備的真實(shí)性;
• 幫助組織機(jī)構(gòu)從網(wǎng)絡(luò)安全攻擊中恢復(fù)。

但是想要做到這兩點(diǎn)顯然不容易，企業(yè)因此而付出的成本將會(huì)非常高，這就會(huì)降低企業(yè)采取相應(yīng)防護(hù)措施的主觀意愿。這意味著，距離新成立的供應(yīng)鏈安全組真正發(fā)揮作用。依舊還有很長(zhǎng)的路要走。

此外，在2021年8月舉辦的白宮網(wǎng)絡(luò)安全會(huì)議上，蘋果、微軟、IBM、亞馬遜也在積極制定相關(guān)計(jì)劃，以改善供應(yīng)鏈安全。

其中，美國(guó)將全面加強(qiáng)和供應(yīng)商的合作，并將采用多重身份認(rèn)證，進(jìn)一步確保安全性;亞馬遜也表示將向用戶提供免費(fèi)的多重身份驗(yàn)證設(shè)備，以提高安全性，并將提供安全意識(shí)培訓(xùn)。

我國(guó)也在不斷加強(qiáng)供應(yīng)鏈的安全性。

為了有效提升開(kāi)源技術(shù)的安全性，近日，人民銀行等五部門聯(lián)合發(fā)布了《關(guān)于規(guī)范金融業(yè)開(kāi)源技術(shù)應(yīng)用與發(fā)展的意見(jiàn)》，以此提高應(yīng)用水平和自主可控能力，促進(jìn)開(kāi)源技術(shù)健康可持續(xù)發(fā)展。

事實(shí)上，在國(guó)家/行業(yè)層面制定相應(yīng)的監(jiān)管政策要求、標(biāo)準(zhǔn)規(guī)范正是應(yīng)對(duì)供應(yīng)鏈攻擊的有效舉措。同時(shí)，我們還應(yīng)該建立起國(guó)家級(jí)/行業(yè)級(jí)軟件供應(yīng)鏈安全風(fēng)險(xiǎn)分析平臺(tái)，并且將軟件供應(yīng)鏈安全的相關(guān)工作納入產(chǎn)品測(cè)評(píng)、系統(tǒng)測(cè)評(píng)等工作中。

當(dāng)然，最最關(guān)鍵的是，我們必須對(duì)供應(yīng)鏈攻擊保持足夠的警惕，并集結(jié)行業(yè)的力量共同應(yīng)對(duì)。正如《意見(jiàn)》中所提到的一樣，企業(yè)用戶在購(gòu)買軟件和應(yīng)用開(kāi)源技術(shù)時(shí)應(yīng)進(jìn)行充分評(píng)估，建立完善的使用規(guī)范，保障安全的底線。