軟件供應鏈攻擊正成為一種越來越常見的非法獲取商業(yè)信息的犯罪方法。據(jù)研究機構Gartner預測，到2025年有45%的企業(yè)將會遭受供應鏈攻擊。

　　美國網(wǎng)絡安全和基礎設施安全局（CISA）將軟件供應鏈攻擊定義為一種網(wǎng)絡犯罪行為：“當網(wǎng)絡威脅分子滲入到組織第三方軟件供應商的系統(tǒng)，并在供應商將軟件發(fā)送給客戶之前使用惡意代碼來破壞軟件時，就代表著這種攻擊開始發(fā)生。受破壞的軟件在實際應用時會危及企業(yè)的數(shù)據(jù)或商業(yè)安全?！?/p>

　　軟件供應鏈包括業(yè)務軟件研發(fā)與銷售的任何環(huán)節(jié)，還涉及企業(yè)開發(fā)人員用來編寫或引用代碼的開源軟件平臺和公共存儲庫，還包括有權訪問企業(yè)數(shù)據(jù)的任何服務組織。以上這些環(huán)節(jié)共同構成了軟件供應鏈的潛在攻擊覆蓋面。軟件供應鏈攻擊之所以危險，是由于正規(guī)軟件供應商在無意中充當了黑客的攻擊推手。例如某一家供應商受到影響后，黑客可能會接觸到該供應商的所有客戶，覆蓋面比他們攻擊某一家目標企業(yè)更加廣泛。

　　據(jù)CISA聲稱，造成軟件供應鏈安全危險的主要原因有兩個：

　　1 第三方軟件產(chǎn)品通常需要特權訪問。

　　2 第三方軟件產(chǎn)品常常需要通過供應商自己的網(wǎng)絡和客戶網(wǎng)絡上的業(yè)務軟件進行頻繁交互。

　　軟件供應鏈攻擊有多種方式，為了降低這種風險，企業(yè)組織必須盡快了解用于執(zhí)行攻擊的方法和自身存在的安全弱點。以下梳理了近兩年發(fā)生的五起真實軟件供應鏈攻擊事件，通過案例分析給出應對建議，以便組織更好防范供應鏈攻擊威脅，以免造成嚴重后果。

　　系統(tǒng)后門攻擊

　　2020年12月13日，SUNBURST后門首次披露。這種攻擊利用流行的SolarWinds Orion IT監(jiān)控和管理套件來開發(fā)混入木馬的更新版。

　　后門瞄準運行Orion軟件的服務，多家《財富》500強、電信企業(yè)以及政府機構和大學都受到了該攻擊影響。就該事件而言，企業(yè)的主要防護弱點是應用程序服務器及其軟件更新路徑缺乏保護，針對這類攻擊的最佳對策就是進行更完善的設備監(jiān)控。

　　報告顯示，指揮控制（C&C）域avsvmcloud[.]com早在2020年2月26日就注冊了。與其他類型的供應鏈攻擊一樣，SUNBURST后門潛伏了很長一段時期，以避免安全人員將軟件更新與異常攻擊行為聯(lián)系起來。

　　SUNBURST后門中特別值得關注的還有專用服務器淪為了攻擊目標。這種類型的服務器通常很少受到監(jiān)控。防止SUNBURST后門式的攻擊需要在企業(yè)網(wǎng)絡的所有層面進行主動監(jiān)控。

　　開源軟件漏洞

　　另一種令人擔憂的攻擊方式是開源軟件中的漏洞利用。去年底爆發(fā)Log4Shell/Log4j漏洞正是利用了基于Java的Apache實用程序Log4j。該漏洞允許黑客執(zhí)行遠程代碼，包括能夠完全控制服務器。Log4Shell漏洞是一個零日漏洞，這意味著它在軟件供應商察覺之前就被攻擊者發(fā)現(xiàn)并利用。由于該漏洞是開源庫的一部分，因此運行Java的數(shù)億臺設備都可能受到影響。

　　堵住Log4Shell漏洞和類似漏洞需要全面清點企業(yè)網(wǎng)絡中的所有聯(lián)網(wǎng)設備。這意味著組織需要利用系統(tǒng)來發(fā)現(xiàn)設備、監(jiān)控留意Log4Shell活動，并盡快修補受影響的設備。

　　托管服務及勒索軟件攻擊

　　利用供應鏈攻擊的主要目的是，鉆供應商漏洞的空子，并攻擊下游目標。這也正是勒索軟件團伙REvil在劫持Kaseya VSA后采取的手法，Kaseya VSA是一個用于IT系統(tǒng)及其客戶的遠程監(jiān)控和托管服務平臺。

　　通過攻擊Kaseya VSA中的漏洞，REvil得以將勒索軟件發(fā)送給下游的多達1500家企業(yè)，他們都是Kaseya VSA的客戶。

　　就該事件而言，安全防護弱點是面向互聯(lián)網(wǎng)的設備、遠程管理的設備以及托管服務提供商的通信路徑。通常安全隱患問題是由供應商訪問內(nèi)部IT系統(tǒng)引起的。避免此類情形的有效做法是，監(jiān)控托管服務提供商使用的通信網(wǎng)絡。此外，通過行為分析跟蹤和發(fā)現(xiàn)任何可疑的行為，以阻止勒索軟件。

　　云基礎設施安全漏洞

　　并非所有軟件供應鏈攻擊都是由精英黑客團伙策劃并發(fā)起的。一名亞馬遜員工利用作為亞馬遜網(wǎng)絡服務（AWS）內(nèi)部人員的便利，盜取了1億用戶的信用卡資料，結果使云上租戶Capital One遭到了嚴重的數(shù)據(jù)泄密。這次攻擊暴露了使用云基礎設施帶來的危險。

　　這種攻擊的主要特點是，利用客戶對云服務供應商給與的信任：如果云服務提供商受到威脅，客戶的數(shù)據(jù)也可能受到威脅。為了對付這種類型的攻擊，同樣是需要對服務中的訪問行為進行監(jiān)控，并確保網(wǎng)絡邊緣的安全。

　　供應商自有設備（BYOD）漏洞

　　2022年3月，網(wǎng)絡安全企業(yè)Okta透露，由于其一家供應商（Sitel）遭到攻擊，其部分數(shù)據(jù)被竊取。后續(xù)的調(diào)查顯示，其原因歸咎于一名供應商員工在其個人筆記本電腦上提供客戶服務功能。雖然泄密程度有限：只有兩個Okta身份驗證系統(tǒng)被訪問，客戶賬戶或配置也沒有出現(xiàn)任何更改，但事件仍然反映出分包商設備和自帶設備策略在供應鏈攻擊者眼里是另一條有效的攻擊途徑。

　　每當添加額外設備，網(wǎng)絡上未受管理和未經(jīng)批準的設備就會加大潛在的攻擊面。許多企業(yè)不知道連接了哪些設備、在運行哪些軟件以及采取了哪些預防措施來防范惡意軟件。若要盡量減小這方面的風險，就需要清點資產(chǎn)，限制對這些非授權設備的訪問。最后，應利用網(wǎng)絡監(jiān)控和行為分析來阻止攻擊。

更多信息可以來這里獲取==>>電子技術應用-AET<<