从solar winds黑客入侵事件中看供应链安全

最新消息显示，美国和英国正式将俄罗斯对外情报局（SVR）认定为SolarWinds 黑客入侵事件的幕后黑手。为此，美国财政部已对俄罗斯实施全面制裁，包括制裁了六家俄方企业，并计划驱逐俄罗斯驻华盛顿大使馆的 10 名官员。

近年来，软件供应链攻击安全问题频频发生。调查显示，这些攻击造成的企业损失平均超过100万美元，因此，防御供应链攻击是十分必要的。现在我们来盘点下SolarWinds 供应链攻击的事件始末、影响，以及带给企业的一些思考。

什么是软供应链攻击？

想知道供应链攻击，就得先了解下什么是供应链。
供应链是指生产及流通过程中，涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构。整个过程涉及原料供货商、供应商、制造商、仓储商、运输商、分销商、零售商以及终端客户。
供应链结构基本呈“线性”模式，所以当供应链上游出现干扰时，必将影响下游。也就是说，当恶意攻击者在受信任的第三方合作伙伴或提供商的软件上安装恶意软件，就有可能依赖供应链上的信任关系逃避传统安全产品的检查,潜入目标网络，实施非法攻击。这类型的攻击就是供应链攻击。

SolarWinds 黑客入侵事件就属于典型的供应链攻击。
SolarWinds是美国知名的基础网络管理软件供应商，全球大概有33,000名客户使用其旗下的Orion网络监控软件。恶意攻击者将恶意代码隐藏在Orien软件更新包中，通过受信任的供应链自动分发给下游的33,000名客户。一旦用户更新该软件，恶意代码就会以与应用相同的信任和权限运行，攻击者进而获得用户系统的访问权。
通过这种方式，黑客“隔山打牛”完成了对Orion客户——美国五角大楼和国土安全部、能源部、财政部、微软、Fireeye和其他组织的攻击。

愈演愈烈的软供应链攻击

目前，供应链攻击的频率和成熟度在不断提高。根据行业估计，供应链攻击现在占所有网络攻击的50％，去年同比激增了 78％。多达三分之二的公司经历了至少一次供应链攻击事件。同时，80%的IT专业人士认为软件供应链攻击将是他们的企业在未来三年面临的最大网络威胁之一。

以下是供应链攻击的常用攻击方式：

• **损害软件更新服务器。**黑客通过入侵公司用来分发软件更新的服务器，窃取或伪造证书签名的软件更新，将恶意软件带进攻击目标。一旦应用程序自动更新，就会迅速感染大量系统。

  **获得对软件基础结构的访问权限。**黑客使用社会工程学技术渗透到开发基础架构中，破坏构建环境和服务器，从而在软件编译和签名之前将恶意代码注入软件。而一旦软件进行了数字签名，就很难检测出恶意代码。

  **攻击第三方代码库。**恶意软件还通过第三方代码（例如源代码存储库、软件开发工具包和开发人员在其应用程序中使用的框架）传递。如果网络罪犯访问该存储库，则他们可以像授权开发人员一样更改代码，这提供了将恶意代码添加到产品核心的机会。

其中，源代码存储库成为下一代软件供应链攻击的主要媒介。Synopsys在《2020软件供应链报告》中指出，当前超过90%的现代应用融入了开源组件，其中11%OSS组件中存在已知漏洞。而同时，针对开源项目的网络攻击数量同比增加了430%。下一代软供应链攻击方式正在兴起。

企业该如何应对供应链攻击

供应链攻击，已经成为APT攻击中的常用攻击手段，该攻击方法存在以下特点：
1、攻击面广，危害极大。由于软件供应链是一个完整的流动过程,因此在软件供应链上发生的攻击具有扩散性。一旦突破供应链的上游一环，便会“伤及一片”，对大量的软件供应商和最终用户造成影响。
2、潜伏周期长，检测困难。因为恶意代码是跟随”可信任”的软件更新进入到内网环境中，所以具有高度隐藏性。它可以欺骗并绕过外部防护，然后在目标网络环境中建立高权限账户，不断地访问并攻击新的目标。而且,不少软件供应链攻击者不直接攻击供应商,而是利用供应商来规避公司的网络安全机制检测风险。因此,想要从根源上就检测出攻击行为十分困难。

面对越来愈频繁的供应链攻击，需要上下游企业的共同努力，通过共同建立联防联控体系，提升遭受供应链攻击时的响应处置和恢复能力。

对于上游的软件供应商和开发人员
我们建议：
1、构建安全的软件更新程序，强化软件开发生命周期管理。
2、制定针对供应链攻击的事件响应流程，及时准确地通知客户。
3、加强员工安全意识培训，避免被攻击者钓鱼攻击。
4、建立“快速升级态势”，快速响应新的零日漏洞。

对于下游的厂商
我们建议：
1、应用零信任原则强化内部环境，包括加强账号验证、令牌验证、访问源校验等，持续性验证访问用户身份，收敛攻击暴露面，降低攻击成功概率。这样，即使恶意代码进入了内部环境，也无法越权访问。
2、采取部署蜜罐等基于行为的攻击检测解决方案，抵御复杂的供应链攻击，提高防御速度。一旦攻击者进行横向渗透，遍布全网的蜜罐就能快速感知。同时，蜜罐会将数据集中到本地威胁情报上，利用大数据分析和机器学习技术，生成完整的攻击者“画像”，从而主动防御新的攻击。这样，即使供应链攻击者更新源代码，也能快速发现。
3、建立纵深防御体系，联动威胁情报产品，快速拦截攻击，全局视角提升对威胁的发现识别、理解分析、响应处置。