什么是供應(yīng)鏈攻擊?

當(dāng)有人以有權(quán)限訪問您系統(tǒng)和數(shù)據(jù)的外部合作伙伴或供應(yīng)商的身份侵入您的系統(tǒng)時，就會發(fā)生供應(yīng)鏈攻擊，也稱為價值鏈或第三方攻擊。與以往相比，隨著越來越多的供應(yīng)商和服務(wù)提供商可以接觸到敏感數(shù)據(jù)，在過去幾年里，這極大地改變了普通企業(yè)受攻擊的范圍。

由于出現(xiàn)新型的攻擊，因此與供應(yīng)鏈攻擊相關(guān)的風(fēng)險從未如此之高，導(dǎo)致公眾對威脅的意識不斷提高以及監(jiān)管機構(gòu)加強監(jiān)督。與此同時，攻擊者擁有比以往更多的資源和工具，可以創(chuàng)造一場完美的風(fēng)暴。SolarWinds公司的攻擊事件就是一個典型的例子。

SolarWinds公司的攻擊事件凸顯了供應(yīng)鏈風(fēng)險

網(wǎng)絡(luò)工具供應(yīng)商SolarWinds的18000名客戶曾受到單一民族國家的攻擊，這一消息變得越來越糟。根據(jù)《紐約時報》最近的一篇報道，SolarWinds公司的攻擊事件是由俄羅斯發(fā)起的，正如最初人們所認(rèn)為的那樣，侵入了“幾十個”政府和企業(yè)網(wǎng)絡(luò)。多達250個組織機構(gòu)受到影響，攻擊者利用了多個供應(yīng)鏈層。

李維斯公司(Levi Strauss)副首席信息安全官史蒂夫·扎勒斯基(Steve Zalewski)表示，這違背了信任鏈。“這是所有第三方產(chǎn)品的大問題，”他說。“我們不會再將其產(chǎn)品放在內(nèi)部使用。我們不得不依賴第三方的方式來建立這種信任，而這在國內(nèi)或國際都沒有辦法做到。”

扎勒斯基表示，隨著企業(yè)越來越依賴于外部供應(yīng)商，這一問題正在不斷惡化。他補充道，現(xiàn)在是時候該審視軟件行業(yè)的整個生態(tài)系統(tǒng)以解決這一問題了。“要徹底解決這一問題，我們需要的是一個國際信任鏈，就像一個全球PKI系統(tǒng)，”他說，“在這一系統(tǒng)中，我們可以就一套全球的工具和做法達成一致。”

不幸的是，沒有切實可行的方法來做到這一點。“我們需要一個法律、監(jiān)管和集體層面上的防御，”扎勒斯基說。“但要做到這一點需要年復(fù)一年的漫長時間。”

安全評級公司Bitsight估計，SolarWinds公司的攻擊事件可能使網(wǎng)絡(luò)保險公司賠付高達9000萬美元。這還只是因為政府機構(gòu)不購買網(wǎng)絡(luò)保險。此外，攻擊者想盡可能低調(diào)地竊取信息，因此并沒有對系統(tǒng)進行太大破壞。

2017年的另一次供應(yīng)鏈攻擊事件也是由俄羅斯發(fā)起的，該攻擊事件的目標(biāo)是烏克蘭的基礎(chǔ)設(shè)施，而作為此次攻擊的一部分，烏克蘭的會計軟件也遭到了破壞，并且該惡意軟件迅速傳播至其他國家。NotPetya病毒最終給馬士基、聯(lián)邦快遞和默克等跨國公司造成了超過100億美元的損失，并使業(yè)務(wù)運營中斷。

供應(yīng)鏈攻擊對黑客而言很有吸引力，因為當(dāng)常用軟件遭到破壞后，攻擊者可以有權(quán)限訪問所有使用該軟件的企業(yè)。

所有技術(shù)供應(yīng)商都容易受到供應(yīng)鏈攻擊

任何為其他組織機構(gòu)生產(chǎn)軟件或硬件的公司都可能成為攻擊者的目標(biāo)。單一民族國家的攻擊者擁有豐富的資源和技能，甚至可以侵入具備最高安全意識的公司。

甚至安全供應(yīng)商也可能成為目標(biāo)。例如，以SolarWinds公司攻擊事件為例，網(wǎng)絡(luò)安全供應(yīng)商FireEye是被入侵的知名公司之一。FireEye公司表示，攻擊者沒有侵入面向客戶的系統(tǒng)，而只是使用滲透工具進行安全測試。這一攻擊事件的事實令人擔(dān)憂。

受到SolarWinds攻擊者入侵的其他供應(yīng)商包括微軟公司和另一家安全供應(yīng)商Malwarebytes。“考慮到SolarWinds公司攻擊事件的供應(yīng)鏈屬性，以及需要高度警惕，我們立即對Malwarebytes公司所有的源代碼、構(gòu)建和交付流程進行了徹底調(diào)查，包括對我們自己的軟件進行逆向工程，”公司首席執(zhí)行官Marcin Kleczynski在一篇文章中說道。

電子郵件安全供應(yīng)商Mimecast宣布，他們也受到了老練的網(wǎng)絡(luò)攻擊者入侵，并且有報道稱，該攻擊行為與SolarWinds攻擊事件的幕后黑手是同一個組織。

這些攻擊事件表明，任何供應(yīng)商都很容易受到攻擊，并可能會遭到破壞。安全供應(yīng)商Immuniweb表示，全球400強網(wǎng)絡(luò)安全公司中有97%的公司都在暗網(wǎng)上存在數(shù)據(jù)泄露或其他安全事故，并且有91家公司存在可被利用的網(wǎng)站安全漏洞。

這些類型的攻擊行為并不是最近才出現(xiàn)的。2011年，RSA Security公司承認(rèn)其SecurID令牌遭到黑客攻擊。因此，該公司的一位客戶洛克希德·馬丁公司(Lockheed Martin)遭到了攻擊。

除了像SolarWinds攻擊事件這樣涉及到損害商業(yè)軟件供應(yīng)商的攻擊行為之外，還有另外兩類供應(yīng)鏈攻擊行為——針對開源軟件項目的攻擊和開源軟件案例的攻擊，其中，政府會直接干預(yù)其管轄范圍內(nèi)的供應(yīng)商產(chǎn)品。

開源供應(yīng)鏈面臨的威脅

商業(yè)軟件并不是供應(yīng)鏈攻擊的唯一目標(biāo)。Sonatype公司的“2020年軟件供應(yīng)鏈狀況報告”稱，針對開源軟件項目的供應(yīng)鏈攻擊是企業(yè)面臨的一個主要問題，因為90%的應(yīng)用程序都包含開源代碼，而其中11%的應(yīng)用程序存在已知漏洞。

例如，在2017年艾奎法克斯公司(Equifax)的入侵事件中，該公司稱其損失了近20億美元，而攻擊者利用了一個未打補丁的Apache Struts漏洞。21%的公司表示，他們在過去12個月內(nèi)遭遇過與開源代碼相關(guān)的攻擊。

最近，攻擊者已開始利用數(shù)百萬個基于Java應(yīng)用程序中使用的開源Apache Log4日志庫中的漏洞。這些利用漏洞的行為很難進行識別和遏制。利用Log4j漏洞的一種情況是，允許在運行有漏洞的應(yīng)用程序的服務(wù)器上遠(yuǎn)程執(zhí)行代碼，而無需進行身份驗證。這使得該漏洞在通用安全漏洞評分系統(tǒng)(CVSS)量表上獲得了10分的嚴(yán)重級。另一個漏洞可能導(dǎo)致發(fā)生拒絕服務(wù)狀態(tài)。

由于Log4j被用在許多商業(yè)應(yīng)用程序中，因此組織機構(gòu)可能并不知道自己事實上正在使用日志庫，而且容易受到攻擊。這就導(dǎo)致企業(yè)急于想明確自身所面臨的威脅和風(fēng)險級別，并希望供應(yīng)商能及時提供有效的補丁程序。

攻擊者不必等待某一漏洞神奇地出現(xiàn)在開源軟件中。在過去的幾年里，攻擊者已開始蓄意破壞開源代碼的開發(fā)或分發(fā)過程，而且這一做法正在奏效。根據(jù)Sonatype公司的調(diào)查，這類新一代攻擊行為比前一年增加了430%。

如何防范供應(yīng)鏈攻擊

那么，企業(yè)能做些什么呢?一些監(jiān)管架構(gòu)(例如金融部門或醫(yī)療領(lǐng)域的監(jiān)管架構(gòu))已提供了第三方風(fēng)險測試，或者已制定了一些供應(yīng)商需要遵守的標(biāo)準(zhǔn)。“在支付卡行業(yè)中，有一個軟件質(zhì)量組件可用來測試移動支付組件的質(zhì)量，”威爾遜說，這是指支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)。

還有一些更通用的框架，例如能力成熟度模型(CMM)、ISO 9001、通用標(biāo)準(zhǔn)(Common Criteria)、SOC 2等。“我非常喜歡CMM審核，”威爾遜說。“另一方面，我承認(rèn)其所支付的成本。直到最近，唯一堅持使用通用標(biāo)準(zhǔn)的人就是情報人員。”

還有針對密碼模塊的FiPS-140認(rèn)證。“這一認(rèn)證真的很貴，”威爾遜說。“讓一款應(yīng)用程序獲得FIPS-140認(rèn)證需要花費一百萬美元，除非您向聯(lián)邦政府出售黑莓手機，否則您不會做該認(rèn)證。”

企業(yè)已經(jīng)習(xí)慣于廉價且快捷的軟件。“我們必須承認(rèn)，幾十年來，我們一直以低廉的成本編寫軟件，而現(xiàn)在我們要自食其果了，”威爾遜說。

然而，如果企業(yè)開始要求進行更多的測試，或者監(jiān)管機構(gòu)介入，并強制要求進行更好的管理，那么審計成本可能會下降。“如果人們開始在測試環(huán)節(jié)上投入更多資金，那么測試企業(yè)將獲得更多收入，同時形成更多的競爭，”威爾遜說。還會有更多的創(chuàng)新，例如自動化測試。

扎勒斯基說，在李維斯公司，我們會對軟件供應(yīng)商進行審查。“我們要求軟件供應(yīng)商提供可證明和可審計的憑證，以證明自己已實施了某一安全框架，而且能夠證明自己符合該框架，”他說。然后，補充道，李維斯公司并沒有規(guī)定供應(yīng)商必須要遵循某一特定的框架。“但我們希望你們能承諾，愿意寫下自己所采取的安全措施和做法，這樣我們才能確保供應(yīng)商符合我們的要求。這就是我們管理風(fēng)險的方式，也是您最應(yīng)該做的事情。”

數(shù)據(jù)中心不應(yīng)該做的一件事就是停止安裝補丁程序。事實上，李維斯公司的補丁管理流程意味著，在SolarWinds攻擊事件新聞傳出之前，SolarWinds軟件的修復(fù)程序就已安裝完成，從而可使公司免受其他攻擊者利用該漏洞進行攻擊。

但他承認(rèn)，我們公司的系統(tǒng)無法發(fā)現(xiàn)SolarWinds更新程序中存在的惡意軟件。當(dāng)然，沒有人能做到——FireEye和微軟公司也都沒有做到。扎勒斯基表示，該問題在于很難在更新程序中掃描可疑行為，因為更新程序的目的顯然是為了改變軟件的行為方式。

“這就是軟件工作方式的本質(zhì)，”扎勒斯基說。“該問題是存在于生態(tài)系統(tǒng)中，以及該生態(tài)系統(tǒng)組成的方式上。不法分子正在尋找和利用這些漏洞。”

安全公司Deep Instinct的研究業(yè)務(wù)副總裁西蒙•奧倫(Shimon Oren)表示，對供應(yīng)鏈的攻擊仍然比針對已知漏洞的攻擊要罕見得多。“我認(rèn)為，未做修補的漏洞或未安裝安全更新程序所帶來的風(fēng)險，遠(yuǎn)遠(yuǎn)超過了供應(yīng)鏈?zhǔn)艿焦舻娘L(fēng)險。”據(jù)IBM公司的“2020年數(shù)據(jù)泄露成本報告”稱，所有數(shù)據(jù)泄漏事件中有16%的根源是因為第三方軟件中的漏洞。

奧倫建議，企業(yè)不要拖延安裝補丁程序，而是要詢問自己的供應(yīng)商，你們有什么機制來保護自身的軟件不受破壞。“他們持有什么樣的安全態(tài)度?他們目前有什么樣的代碼驗證機制?”

他表示，不幸的是，目前還沒有一套可用的標(biāo)準(zhǔn)，能專門解決軟件開發(fā)過程中的安全問題。“我認(rèn)為沒有任何東西可以說明，您的代碼是安全的。”

一個致力于解決這一問題的組織是“信息和軟件質(zhì)量聯(lián)盟”(Consortium for Information and Software Quality)，它是技術(shù)標(biāo)準(zhǔn)機構(gòu)“對象管理組織”(Object Management Group)下屬的一個特殊興趣小組。例如，該組織正在制定的一個標(biāo)準(zhǔn)是等效于材料清單的一個軟件。該軟件可讓企業(yè)客戶了解自己所使用的軟件中包含哪些組件，以及這些組件中是否存在任何已知的安全問題。

“該軟件目前正在開發(fā)中，我們預(yù)計這一工作將在今年春天的某個時候完成，”執(zhí)行董事比爾·柯蒂斯(Bill Curtis)說。他表示，微軟公司、Linux基金會和其他大公司(總共約有30家公司)都參與其中。

供應(yīng)鏈風(fēng)險評估方面的缺口

樂博法律事務(wù)所(Loeb & Loeb)隱私、安全和數(shù)據(jù)創(chuàng)新業(yè)務(wù)聯(lián)合主席、律師伊安•喬利(Ieuan Jolly)表示，進行適當(dāng)?shù)谋M職調(diào)查至關(guān)重要，這項工作與企業(yè)與其供應(yīng)商協(xié)商簽訂一份合同同等重要，甚至更為重要。如果某一供應(yīng)商由于自身原因造成違約而倒閉，那么他的客戶將無法獲得任何損失賠償。如果這些客戶確實獲得了損失賠償，“但對于公司所遭受的聲譽損失而言，這一補償是遠(yuǎn)遠(yuǎn)不夠的，”他說。

根據(jù)萬事達卡公司旗下的RiskRecon公司和Cyentia Institute公司最近對風(fēng)險管理專業(yè)人士進行的一項調(diào)查，其中79%的組織機構(gòu)目前已制定了管理第三方風(fēng)險的正式計劃。最常見的風(fēng)險評估方法是問卷調(diào)查(84%的公司使用該方法)，和文件審查(69%的公司使用該方法)。一半的公司采用遠(yuǎn)程評估，42%的公司采用網(wǎng)絡(luò)安全評級，34%的公司采用現(xiàn)場安全評估。

盡管問卷調(diào)查方法很受歡迎，但只有34%的風(fēng)險專業(yè)人士表示，他們相信供應(yīng)商的回答。然而，當(dāng)發(fā)現(xiàn)問題時，81%的公司極少要求進行糾正，而只有14%的公司非常堅信，他們的供應(yīng)商能滿足自身的安全要求。

RiskRecon公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人凱利·懷特(Kelly White)表示，尤其是在SolarWinds攻擊事件之后，組織機構(gòu)需要關(guān)注他們的軟件供應(yīng)商，尤其是那些擁有訪問公司資產(chǎn)權(quán)限的軟件供應(yīng)商。他表示，這包括增加評估標(biāo)準(zhǔn)以涵蓋整個軟件開發(fā)過程，“以確保擁有足夠的管理措施，可防止引入惡意代碼。”

懷特表示，現(xiàn)在也是需要對最低權(quán)限進行加倍關(guān)注的時候了。“在我擔(dān)任一家大型金融機構(gòu)的首席信息安全官期間，任何需要與互聯(lián)網(wǎng)通信的軟件，其網(wǎng)絡(luò)訪問權(quán)限都會受到限制，只能訪問那些預(yù)先設(shè)定的更新站點，”他說。懷特之前在錫安銀行集團(Zions Bancorporation)擔(dān)任首席信息安全官。

懷特表示，這一策略不僅可防止軟件與惡意的命令和控制服務(wù)器進行通信，而且還可以在軟件試圖進行通信時發(fā)出警報。