美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）將軟件供應(yīng)鏈攻擊定義為一種網(wǎng)絡(luò)犯罪行為：“當(dāng)網(wǎng)絡(luò)威脅分子滲入到組織第三方軟件供應(yīng)商的系統(tǒng)，并在供應(yīng)商將軟件發(fā)送給客戶之前使用惡意代碼來(lái)破壞軟件時(shí)，就代表著這種攻擊開始發(fā)生。受破壞的軟件在實(shí)際應(yīng)用時(shí)會(huì)危及企業(yè)的數(shù)據(jù)或商業(yè)安全。”

軟件供應(yīng)鏈包括業(yè)務(wù)軟件研發(fā)與銷售的任何環(huán)節(jié)，還涉及企業(yè)開發(fā)人員用來(lái)編寫或引用代碼的開源軟件平臺(tái)和公共存儲(chǔ)庫(kù)，還包括有權(quán)訪問企業(yè)數(shù)據(jù)的任何服務(wù)組織。以上這些環(huán)節(jié)共同構(gòu)成了軟件供應(yīng)鏈的潛在攻擊覆蓋面。軟件供應(yīng)鏈攻擊之所以危險(xiǎn)，是由于正規(guī)軟件供應(yīng)商在無(wú)意中充當(dāng)了黑客的攻擊推手。例如某一家供應(yīng)商受到影響后，黑客可能會(huì)接觸到該供應(yīng)商的所有客戶，覆蓋面比他們攻擊某一家目標(biāo)企業(yè)更加廣泛。

據(jù)CISA聲稱，造成軟件供應(yīng)鏈安全危險(xiǎn)的主要原因有兩個(gè)：

1、第三方軟件產(chǎn)品通常需要特權(quán)訪問。

2、第三方軟件產(chǎn)品常常需要通過供應(yīng)商自己的網(wǎng)絡(luò)和客戶網(wǎng)絡(luò)上的業(yè)務(wù)軟件進(jìn)行頻繁交互。

軟件供應(yīng)鏈攻擊有多種方式，為了降低這種風(fēng)險(xiǎn)，企業(yè)組織必須盡快了解用于執(zhí)行攻擊的方法和自身存在的安全弱點(diǎn)。以下梳理了近兩年發(fā)生的五起真實(shí)軟件供應(yīng)鏈攻擊事件，通過案例分析給出應(yīng)對(duì)建議，以便組織更好防范供應(yīng)鏈攻擊威脅，以免造成嚴(yán)重后果。

系統(tǒng)后門攻擊

2020年12月13日，SUNBURST后門首次披露。這種攻擊利用流行的SolarWinds Orion IT監(jiān)控和管理套件來(lái)開發(fā)混入木馬的更新版。

后門瞄準(zhǔn)運(yùn)行Orion軟件的服務(wù)，多家《財(cái)富》500強(qiáng)、電信企業(yè)以及政府機(jī)構(gòu)和大學(xué)都受到了該攻擊影響。就該事件而言，企業(yè)的主要防護(hù)弱點(diǎn)是應(yīng)用程序服務(wù)器及其軟件更新路徑缺乏保護(hù)，針對(duì)這類攻擊的最佳對(duì)策就是進(jìn)行更完善的設(shè)備監(jiān)控。

報(bào)告顯示，指揮控制（C&C）域avsvmcloud[.]com早在2020年2月26日就注冊(cè)了。與其他類型的供應(yīng)鏈攻擊一樣，SUNBURST后門潛伏了很長(zhǎng)一段時(shí)期，以避免安全人員將軟件更新與異常攻擊行為聯(lián)系起來(lái)。

SUNBURST后門中特別值得關(guān)注的還有專用服務(wù)器淪為了攻擊目標(biāo)。這種類型的服務(wù)器通常很少受到監(jiān)控。防止SUNBURST后門式的攻擊需要在企業(yè)網(wǎng)絡(luò)的所有層面進(jìn)行主動(dòng)監(jiān)控。

開源軟件漏洞

另一種令人擔(dān)憂的攻擊方式是開源軟件中的漏洞利用。去年底爆發(fā)Log4Shell/Log4j漏洞正是利用了基于Java的Apache實(shí)用程序Log4j。該漏洞允許黑客執(zhí)行遠(yuǎn)程代碼，包括能夠完全控制服務(wù)器。Log4Shell漏洞是一個(gè)零日漏洞，這意味著它在軟件供應(yīng)商察覺之前就被攻擊者發(fā)現(xiàn)并利用。由于該漏洞是開源庫(kù)的一部分，因此運(yùn)行Java的數(shù)億臺(tái)設(shè)備都可能受到影響。

堵住Log4Shell漏洞和類似漏洞需要全面清點(diǎn)企業(yè)網(wǎng)絡(luò)中的所有聯(lián)網(wǎng)設(shè)備。這意味著組織需要利用系統(tǒng)來(lái)發(fā)現(xiàn)設(shè)備、監(jiān)控留意Log4Shell活動(dòng)，并盡快修補(bǔ)受影響的設(shè)備。

托管服務(wù)及勒索軟件攻擊

利用供應(yīng)鏈攻擊的主要目的是，鉆供應(yīng)商漏洞的空子，并攻擊下游目標(biāo)。這也正是勒索軟件團(tuán)伙REvil在劫持Kaseya VSA后采取的手法，Kaseya VSA是一個(gè)用于IT系統(tǒng)及其客戶的遠(yuǎn)程監(jiān)控和托管服務(wù)平臺(tái)。

通過攻擊Kaseya VSA中的漏洞，REvil得以將勒索軟件發(fā)送給下游的多達(dá)1500家企業(yè)，他們都是Kaseya VSA的客戶。

就該事件而言，安全防護(hù)弱點(diǎn)是面向互聯(lián)網(wǎng)的設(shè)備、遠(yuǎn)程管理的設(shè)備以及托管服務(wù)提供商的通信路徑。通常安全隱患問題是由供應(yīng)商訪問內(nèi)部IT系統(tǒng)引起的。避免此類情形的有效做法是，監(jiān)控托管服務(wù)提供商使用的通信網(wǎng)絡(luò)。此外，通過行為分析跟蹤和發(fā)現(xiàn)任何可疑的行為，以阻止勒索軟件。

云基礎(chǔ)設(shè)施安全漏洞

并非所有軟件供應(yīng)鏈攻擊都是由精英黑客團(tuán)伙策劃并發(fā)起的。一名亞馬遜員工利用作為亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）內(nèi)部人員的便利，盜取了1億用戶的信用卡資料，結(jié)果使云上租戶Capital One遭到了嚴(yán)重的數(shù)據(jù)泄密。這次攻擊暴露了使用云基礎(chǔ)設(shè)施帶來(lái)的危險(xiǎn)。

這種攻擊的主要特點(diǎn)是，利用客戶對(duì)云服務(wù)供應(yīng)商給與的信任：如果云服務(wù)提供商受到威脅，客戶的數(shù)據(jù)也可能受到威脅。為了對(duì)付這種類型的攻擊，同樣是需要對(duì)服務(wù)中的訪問行為進(jìn)行監(jiān)控，并確保網(wǎng)絡(luò)邊緣的安全。

供應(yīng)商自有設(shè)備（BYOD）漏洞

2022年3月，網(wǎng)絡(luò)安全企業(yè)Okta透露，由于其一家供應(yīng)商（Sitel）遭到攻擊，其部分?jǐn)?shù)據(jù)被竊取。后續(xù)的調(diào)查顯示，其原因歸咎于一名供應(yīng)商員工在其個(gè)人筆記本電腦上提供客戶服務(wù)功能。雖然泄密程度有限：只有兩個(gè)Okta身份驗(yàn)證系統(tǒng)被訪問，客戶賬戶或配置也沒有出現(xiàn)任何更改，但事件仍然反映出分包商設(shè)備和自帶設(shè)備策略在供應(yīng)鏈攻擊者眼里是另一條有效的攻擊途徑。

每當(dāng)添加額外設(shè)備，網(wǎng)絡(luò)上未受管理和未經(jīng)批準(zhǔn)的設(shè)備就會(huì)加大潛在的攻擊面。許多企業(yè)不知道連接了哪些設(shè)備、在運(yùn)行哪些軟件以及采取了哪些預(yù)防措施來(lái)防范惡意軟件。若要盡量減小這方面的風(fēng)險(xiǎn)，就需要清點(diǎn)資產(chǎn)，限制對(duì)這些非授權(quán)設(shè)備的訪問。最后，應(yīng)利用網(wǎng)絡(luò)監(jiān)控和行為分析來(lái)阻止攻擊。