近期的SolarWinds供应链攻击绝对不是一个可以随意开始和结束的大事件。
202012月,网络安全世界再次受到黑客的挑战,他们入侵IT软件提供商SolarWinds网络,利用SolarWinds 的 Orion 平台软件秘密分发恶意软件监控用户,提取敏感数据文档。在最近的报告中,数百个组织,包括政府机构和私营企业,都受到了影响,名单继续增长。这是所有网络安全工程师最担心的“供应链攻击”。
以零信任PK供应链攻击
事实上,供应链攻击已经成为APT攻击中常用的攻击手段具有攻击手法隐蔽、检测困难等特点,危害极大。2013年棱镜门事件,2015年XcodeGhost事件、2017年的Xshell后门代码是攻击者通过供应链攻击的方式,对受攻击的企业和公众都有很大的影响。SolarWinds作为最严重的供应链攻击事件之一,事件涉及面广,影响大,应敲响人们对供应链安全的警钟。
需要警惕的是,许多企业默认将供应链列为“可信”,这加大了APT防范攻击的难度。例如:针对SolarWinds的攻击者在2019.4-2020.2.1恶意后门应用程序植入到版本中,这些程序被使用SolarWinds绕过验证的数字证书。
这对于依赖数字化平台开展业务的用户来说,压力山大。现在,每一个产品的开发总是存在大量的合作商,很多系统越来越复杂、越来越庞大,大多是通过模块化、组件化的方式,需要引入第三方的模块或者和第三方的业务系统对接并使用其提供的数据,但我们无法完全掌控第三方系统的安全性,如果其存在漏洞(也包括合作伙伴网络中存在的“水坑”攻击、跳板攻击等。),需要确保我们自己的系统不会受到影响。因此,零信任将是应对供应链攻击最有效的解决方案之一。
对于软硬件供应链,传统网络安全架构的逻辑可以看作是“全信任”——我肯定相信你,但我想一层一层地检查。众所周知,只要你在信任后,总是有疏忽。零信任作为一个新的安全概念,其核心是商业机构不会缺乏信任任何内部或外部网络链接或信息请求,所有系统访问将基于身份、端点、服务等一系列参与服务,必须经过安全策略的一致验证和授权。因此,这将是取代传统网络安全结构和防御策略的核心,也是企业未来数字业务的重要基础。
以XDR发现和控制供应链威胁
回顾SolarWinds根据相关报告,攻击者将允许代码在休眠约2周后使用第三方通信,并根据返回指令执行操作,包括传输文件、执行文件、重启系统等。这些通信将被伪装成Orion Improvement Program(OIP)协议并将结果隐藏在许多合法的插件配置文件中,以实现隐藏自己的目的。然而,从这个信息中,我们实际上可以看到一个“有趣”的事情——这次攻击“太着急了”。
亚信安全发现,通过对历史上重大数据盗窃事件的分析,APT攻击者平均潜伏天数为 205 天,有些甚至可能潜伏数年。这也代表了APT攻击最显著的特征——隐藏行踪,长期潜伏,持续渗透。
发现APT攻击者很难隐藏内部系统,但这并不意味着企业无能为力。APT亚信安全攻击的每个阶段XDR对应的解决方案包括“准备、发现、分析、遏制、消除、恢复、优化”这七个阶段。准备阶段包括每种黑客攻击类型的标准计划。在发现威胁数据后,将数据集中在当地威胁信息和云威胁信息上进行分析,利用机器学习和专家团队,提取黑客攻击的时间、路径、工具等所有细节,然后进行遏制、删除、恢复和优化。
写在最后,也写在最后“自己”
回顾供应链APT攻击的真实案例再次证明,软硬件开发和交付环节受到攻击后会造成巨大伤害,因此软件开发和交付环节的安全防范非常重要。为此,亚信安全建议软硬件制造商在开发和交付环节尽可能做到:
建立可靠的开发环境,包括可控可靠的软硬件环境,如通过正式渠道购买下载的软硬件、可靠的第三方开源/商业库、算法等,购买安全可靠的软件外包服务。注意所使用组件的安全通知。如果暴露出严重的安全问题,应通过配置或添加其他安全控制来升级相关组件。
培养开发人员的安全意识SDL融入到开发流程中,把安全性的评估作为开发过程中的必要评审项。开发环节严格遵守开发规范,开发完成的软硬件发布前,交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。
在正式统一的可信渠道发布软件时,软件安装运行可以提供较强的验证能力,升级更新验证下载安装包签名,严格保管相关签名证书作为企业核心资产,确保证书不泄露,不会运行被劫持的升级包。
最后,还有一点值得关注,和SolarWinds国内外类似IT管理软件存在权限过大的问题。一旦入侵,影响也将覆盖整个业务层面。具体来说,IT运维管理软件在企业网络架构中拥有绝对的超级权利。从技术角度来看,它控制了底层运维平台的工作,可以将整个网络的信息转发到任何接收点,无障碍,难以检测。即使在一些特殊行业(金融、能源、制造)的封闭网络中,别有用心(“内鬼”)一旦接触或接管运维系统的管理权,用户也很难确保核心数据不会泄露。