2020年12月,網(wǎng)絡(luò)安全世界再遭黑客挑戰(zhàn),他們侵入了IT軟件提供商SolarWinds的網(wǎng)絡(luò),利用SolarWinds 的 Orion 平臺(tái)軟件秘密分發(fā)惡意軟件來(lái)監(jiān)視用戶(hù),并提取敏感數(shù)據(jù)文檔。在最近的報(bào)道中可以發(fā)現(xiàn),數(shù)百家組織,包括政府機(jī)構(gòu)和私營(yíng)企業(yè)等都受到影響,同時(shí)這個(gè)名單還在持續(xù)增長(zhǎng)。這也就是所有網(wǎng)安工程師最為擔(dān)心的“供應(yīng)鏈攻擊”。
以零信任PK供應(yīng)鏈攻擊
實(shí)際上供應(yīng)鏈攻擊早已成為APT攻擊中的常用攻擊手段,具備了攻擊手法隱蔽,檢測(cè)困難等特點(diǎn),且危害極大。2013年的棱鏡門(mén)事件、2015年的XcodeGhost事件、2017年的Xshell后門(mén)代碼,均是攻擊者通過(guò)供應(yīng)鏈攻擊手法,無(wú)論是受攻擊企業(yè),還是普通大眾,均受到了巨大的影響。而本次SolarWinds事件作為最嚴(yán)重的供應(yīng)鏈攻擊事件之一,涉及面廣、影響大,更應(yīng)該敲響人們對(duì)于供應(yīng)鏈安全的警鐘。
需要警惕的是,許多企業(yè)默認(rèn)將供應(yīng)鏈列為“可信”,這加大了APT攻擊的防范難度。例如:針對(duì)SolarWinds的攻擊者在2019.4-2020.2.1版本中植入了惡意的后門(mén)應(yīng)用程序,這些程序就利用到了SolarWinds的數(shù)字證書(shū)繞過(guò)驗(yàn)證。
這對(duì)于依賴(lài)數(shù)字化平臺(tái)開(kāi)展業(yè)務(wù)的用戶(hù)來(lái)說(shuō),壓力山大?,F(xiàn)在,每一個(gè)產(chǎn)品的開(kāi)發(fā)總是存在大量的合作商,很多系統(tǒng)越來(lái)越復(fù)雜、越來(lái)越龐大,大多是通過(guò)模塊化、組件化的方式,需要引入第三方的模塊或者和第三方的業(yè)務(wù)系統(tǒng)對(duì)接并使用其提供的數(shù)據(jù),但我們無(wú)法完全掌控第三方系統(tǒng)的安全性,如果其存在漏洞(也包括合作伙伴網(wǎng)絡(luò)中存在的“水坑”攻擊、跳板攻擊等)被攻擊,需要保證我們自己的系統(tǒng)不會(huì)因此而受到影響。所以,零信任將是應(yīng)對(duì)供應(yīng)鏈攻擊最有效的方案之一。
對(duì)于軟硬件的供應(yīng)鏈來(lái)說(shuō),傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的邏輯可看成是“全信任”——我肯定信任你們,但是我要全方位、一層一層地檢查。殊不知,但凡信任之后再檢查,就始終有疏忽的地方。零信任作為一種全新的安全保障概念,它的核心是商業(yè)機(jī)構(gòu)不會(huì)缺省信任任何內(nèi)部或外部的網(wǎng)絡(luò)鏈接或信息請(qǐng)求,所有對(duì)于系統(tǒng)的訪問(wèn)都會(huì)建立在身份、端點(diǎn)、服務(wù)等一系列參與服務(wù)的角色,必須得到安全策略一致的驗(yàn)證和授權(quán)之后才能進(jìn)行。因此,這必將是替代傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)和防御策略的核心,更是企業(yè)未來(lái)數(shù)字化商業(yè)的一個(gè)重要基礎(chǔ)。
以XDR揪出并治理供應(yīng)鏈威脅
回顧SolarWinds事件,根據(jù)相關(guān)報(bào)告描述,攻擊者會(huì)讓代碼在休眠2周左右之后采用第三方進(jìn)行通信,并且根據(jù)返回的指令執(zhí)行操作,包括傳輸文件、執(zhí)行文件、重啟系統(tǒng)等。而這些通信會(huì)偽裝成Orion Improvement Program(OIP)協(xié)議并將結(jié)果隱藏在眾多合法的插件配置文件中,從而達(dá)成隱藏自身的目的。不過(guò),從這條信息中,我們其實(shí)可以看到一個(gè)“有趣”的事情——這次攻擊“太著急了”。
通過(guò)對(duì)歷史上重大數(shù)據(jù)竊取事件的分析,亞信安全發(fā)現(xiàn),APT攻擊者平均潛伏的天數(shù)長(zhǎng)達(dá) 205 天,有的甚至可能潛伏長(zhǎng)達(dá)數(shù)年之久。這也代表了APT攻擊最為顯著的特征——隱匿行蹤、長(zhǎng)期潛伏、持續(xù)滲透。
發(fā)現(xiàn)APT攻擊者在內(nèi)部系統(tǒng)的藏身之處有一定的難度,但不是說(shuō)企業(yè)就束手無(wú)策。針對(duì)APT攻擊的每個(gè)階段,亞信安全的XDR解決方案,對(duì)應(yīng)包括了“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”這7個(gè)階段。準(zhǔn)備階段包括了針對(duì)每一種黑客攻擊類(lèi)型的標(biāo)準(zhǔn)預(yù)案,自發(fā)現(xiàn)威脅數(shù)據(jù)之后,將數(shù)據(jù)集中到本地威脅情報(bào)和云端威脅情報(bào)做分析,利用機(jī)器學(xué)習(xí)和專(zhuān)家團(tuán)隊(duì),通過(guò)分析黑客進(jìn)攻的時(shí)間、路徑、工具等所有細(xì)節(jié),其特征提取出來(lái),再進(jìn)行遏制、清除、恢復(fù)和優(yōu)化。
寫(xiě)在最后,也寫(xiě)給“自己”
回顧針對(duì)供應(yīng)鏈發(fā)動(dòng)APT攻擊的真實(shí)案例再次證明了,在軟硬件開(kāi)發(fā)交付環(huán)節(jié)被攻擊后會(huì)產(chǎn)生巨大危害,故軟件開(kāi)發(fā)及交付環(huán)節(jié)的安全防范至關(guān)重要。為此,亞信安全建議軟硬件廠商在開(kāi)發(fā)交付環(huán)節(jié)盡可能做到:
1、 建立可信的開(kāi)發(fā)環(huán)境,這包括可控可信任的軟硬件環(huán)境,諸如正規(guī)渠道購(gòu)買(mǎi)、下載的軟硬件,可信的第三方開(kāi)源/商業(yè)庫(kù)、算法等,采購(gòu)安全可信的軟件外包服務(wù)。關(guān)注所用組件的安全通告,如被揭露出嚴(yán)重安全問(wèn)題,通過(guò)配置或加入其他安全性控制作為緩解措施,必要時(shí)升級(jí)相關(guān)的組件。
2、 培養(yǎng)開(kāi)發(fā)人員的安全意識(shí),將SDL融入到開(kāi)發(fā)流程中,把安全性的評(píng)估作為開(kāi)發(fā)過(guò)程中的必要評(píng)審項(xiàng)。開(kāi)發(fā)環(huán)節(jié)嚴(yán)格遵守開(kāi)發(fā)規(guī)范,開(kāi)發(fā)完成的軟硬件發(fā)布前,交給獨(dú)立的內(nèi)部或外部測(cè)評(píng)組織進(jìn)行安全性評(píng)估,及時(shí)解決所發(fā)現(xiàn)的問(wèn)題。
3、 在正規(guī)且統(tǒng)一的可信渠道發(fā)布軟件,軟件安裝運(yùn)行時(shí)能夠提供強(qiáng)校驗(yàn)?zāi)芰Γ?jí)更新自身時(shí)校驗(yàn)下載回來(lái)安裝包的簽名,并且將相關(guān)簽名證書(shū)作為企業(yè)核心資產(chǎn)嚴(yán)格保管,保證證書(shū)不泄露,不會(huì)運(yùn)行被劫持的升級(jí)包。
最后,還有一點(diǎn)值得關(guān)注,與SolarWinds類(lèi)似的國(guó)內(nèi)外IT管理軟件,均存在著權(quán)限過(guò)大的問(wèn)題,一旦被入侵,所造成的影響也將覆蓋到整個(gè)業(yè)務(wù)層面。具體來(lái)說(shuō),IT運(yùn)維管理軟件在企業(yè)網(wǎng)絡(luò)架構(gòu)中擁有絕對(duì)的超級(jí)權(quán)利,從技術(shù)角度來(lái)看,它控制了工作在底層的運(yùn)維平臺(tái),就能將整個(gè)網(wǎng)絡(luò)的信息轉(zhuǎn)發(fā)到任何一個(gè)接收點(diǎn),沒(méi)有任何障礙,且不易察覺(jué)。甚至在一些特殊行業(yè)(金融、能源、制造)的封閉網(wǎng)絡(luò),別有用心者(“內(nèi)鬼”)一旦觸及或接管運(yùn)維系統(tǒng)的管理權(quán),用戶(hù)也很難確保核心數(shù)據(jù)不會(huì)造成泄露。