2022 年 3月，全球領(lǐng)先的網(wǎng)絡(luò)安全解決方案提供商 Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）總結(jié)了一年來主要供應(yīng)鏈攻擊的起因，以及如何幫助企業(yè)有效防護(hù)此類攻擊。近年來，供應(yīng)鏈一直是網(wǎng)絡(luò)犯罪分子的主要目標(biāo)之一。由于新冠疫情悄然改變了現(xiàn)代企業(yè)的運(yùn)營方式，在許多企業(yè)可能尚未做好充分準(zhǔn)備的情況下，就直接采用了混合辦公模式，并將諸多應(yīng)用移至云端。因此，安全團(tuán)隊(duì)往往不堪重負(fù)，無法滿足突發(fā)安全需求。Check Point 的《2022 年安全報(bào)告》顯示，2021 年供應(yīng)鏈攻擊同比驟增 650%。

去年的轟動(dòng)性供應(yīng)鏈攻擊 Solarwinds是許多企業(yè)蒙受損失。當(dāng)時(shí)一群網(wǎng)絡(luò)犯罪分子侵入了 Solarwinds 的生產(chǎn)環(huán)境，并將后門嵌入至其 Orion 網(wǎng)絡(luò)監(jiān)控產(chǎn)品更新中，運(yùn)行這一惡意更新的客戶隨即遭遇了數(shù)據(jù)竊取及其他安全問題。再以 REvil 勒索軟件犯罪團(tuán)伙為例，他們利用 Kaseya（一家為托管服務(wù)提供商 (MSP) 提供軟件的軟件公司）使 1,000 多家客戶感染了勒索軟件。網(wǎng)絡(luò)犯罪分子甚至要求支付 7000 萬美元的贖金才會(huì)為所有受影響的用戶提供解密密鑰。

供應(yīng)鏈攻擊過程

Check Point安全專家認(rèn)為，供應(yīng)鏈攻擊利用了不同機(jī)構(gòu)之間的信任關(guān)系。所有公司對(duì)其軟件服務(wù)供應(yīng)商都有著某種程度的信任，因?yàn)樗麄冊谄渚W(wǎng)絡(luò)上安裝并使用了這些供應(yīng)商的軟件。此類威脅瞄準(zhǔn)了信任鏈中最薄弱的環(huán)節(jié)：如果一個(gè)企業(yè)部署了強(qiáng)大的網(wǎng)絡(luò)安全防護(hù)，但卻有著不安全的可信供應(yīng)商，那么網(wǎng)絡(luò)犯罪分子將會(huì)向其發(fā)起攻擊。在潛伏于該提供商的網(wǎng)絡(luò)后，攻擊者可以借此鏈路向更安全的網(wǎng)絡(luò)進(jìn)行滲透。

網(wǎng)絡(luò)犯罪分子往往利用供應(yīng)鏈漏洞分發(fā)惡意軟件

供應(yīng)鏈攻擊的目標(biāo)通常是托管服務(wù)提供商 (MSP)，因?yàn)樗麄兡軌驈V泛訪問其客戶網(wǎng)絡(luò)，這對(duì)攻擊者而言非常有機(jī)可乘。在利用 MSP 后，攻擊者可以輕松擴(kuò)展到他們客戶的網(wǎng)絡(luò)，并通過利用其漏洞造成更嚴(yán)重的影響，趁機(jī)訪問直接攻擊很難侵入的區(qū)域。

在獲得訪問權(quán)限后，攻擊者便可實(shí)施其他任何類型的網(wǎng)絡(luò)攻擊，包括：

· 數(shù)據(jù)泄露：供應(yīng)鏈漏洞通常用于執(zhí)行數(shù)據(jù)漏洞。例如，Solarwinds 黑客攻擊泄露了多家政府和企業(yè)的敏感數(shù)據(jù)。

· 惡意軟件攻擊：網(wǎng)絡(luò)犯罪分子經(jīng)常利用供應(yīng)鏈漏洞將惡意軟件分發(fā)到目標(biāo)公司中。Solarwinds 包含惡意后門交付，對(duì) Kaseya 的攻擊致使公司感染了勒索軟件。

利用最佳實(shí)踐來識(shí)別并規(guī)避供應(yīng)鏈攻擊

盡管這種威脅會(huì)造成嚴(yán)重危害，但企業(yè)可借助一些最佳實(shí)踐獲得保護(hù)：

1. 實(shí)施最低權(quán)限策略：許多機(jī)構(gòu)將過多的訪問權(quán)限分配給其員工、合作伙伴及軟件。這些過度授權(quán)助長了供應(yīng)鏈攻擊。因此，必須實(shí)施最低權(quán)限策略，僅為公司內(nèi)部人員及軟件本身分配其執(zhí)行自身工作所需的權(quán)限。

2. 進(jìn)行網(wǎng)絡(luò)分段：第三方軟件和合作伙伴機(jī)構(gòu)無需無限制地全面訪問公司網(wǎng)絡(luò)。為了避免任何風(fēng)險(xiǎn)，應(yīng)采用網(wǎng)絡(luò)分段方式根據(jù)不同的業(yè)務(wù)功能將網(wǎng)絡(luò)劃分為不同的區(qū)域。這樣，如果供應(yīng)鏈攻擊危及部分網(wǎng)絡(luò)，其余部分仍將受到保護(hù)。

3. 應(yīng)用 DevSecOps 實(shí)踐：通過將安全保護(hù)集成到軟件開發(fā)生命周期中，企業(yè)與機(jī)構(gòu)可以快速檢測 例如Orion 等更新軟件等是否遭到惡意修改。  

4. 自動(dòng)化威脅防御和風(fēng)險(xiǎn)搜尋：安全運(yùn)營中心 (SOC) 分析師必須能夠跨所有環(huán)境抵御攻擊，包括端點(diǎn)、網(wǎng)絡(luò)、云端及移動(dòng)設(shè)備。

Check Point?軟件技術(shù)有限公司中國區(qū)技術(shù)總監(jiān)王躍霖先生表示：“供應(yīng)鏈攻擊由來已久，但去年，其規(guī)模、復(fù)雜性及頻率均急劇增加，全球供應(yīng)鏈攻擊同比增長了 650%。在由越來越多的供應(yīng)商、合作伙伴及客戶之間的復(fù)雜互聯(lián)組成的數(shù)字環(huán)境中，漏洞風(fēng)險(xiǎn)呈指數(shù)級(jí)增長，企業(yè)無法在安全防護(hù)方面退而求其次。勒索軟件事件和修復(fù)成本可能高達(dá)數(shù)百萬美元，采取主動(dòng)的安全防護(hù)方案并采用合適的技術(shù)才能第一時(shí)間防止惡意軟件侵入網(wǎng)絡(luò)，從而避免此類事件的發(fā)生?！??