【亞信安全】-【2021年1月29日】近期的SolarWinds供應鏈攻擊事件絕對不是一件隨隨便便就可以開(kāi)始和結束的大事件。

　　2020年12月，網(wǎng)絡(luò )安全世界再遭黑客挑戰，他們侵入了IT軟件提供商SolarWinds的網(wǎng)絡(luò )，利用SolarWinds 的 Orion 平臺軟件秘密分發(fā)惡意軟件來(lái)監視用戶(hù)，并提取敏感數據文檔。在最近的報道中可以發(fā)現，數百家組織，包括政府機構和私營(yíng)企業(yè)等都受到影響，同時(shí)這個(gè)名單還在持續增長(cháng)。這也就是所有網(wǎng)安工程師最為擔心的"供應鏈攻擊"。

　　實(shí)際上供應鏈攻擊早已成為APT攻擊中的常用攻擊手段，具備了攻擊手法隱蔽，檢測困難等特點(diǎn)，且危害極大。2013年的棱鏡門(mén)事件、2015年的XcodeGhost事件、2017年的Xshell后門(mén)代碼，均是攻擊者通過(guò)供應鏈攻擊手法，無(wú)論是受攻擊企業(yè)，還是普通大眾，均受到了巨大的影響。而本次SolarWinds事件作為最嚴重的供應鏈攻擊事件之一，涉及面廣、影響大，更應該敲響人們對于供應鏈安全的警鐘。

　　需要警惕的是，許多企業(yè)默認將供應鏈列為"可信"，這加大了APT攻擊的防范難度。例如：針對SolarWinds的攻擊者在2019.4-2020.2.1版本中植入了惡意的后門(mén)應用程序，這些程序就利用到了SolarWinds的數字證書(shū)繞過(guò)驗證。

　　這對于依賴(lài)數字化平臺開(kāi)展業(yè)務(wù)的用戶(hù)來(lái)說(shuō)，壓力山大。現在，每一個(gè)產(chǎn)品的開(kāi)發(fā)總是存在大量的合作商，很多系統越來(lái)越復雜、越來(lái)越龐大，大多是通過(guò)模塊化、組件化的方式，需要引入第三方的模塊或者和第三方的業(yè)務(wù)系統對接并使用其提供的數據，但我們無(wú)法完全掌控第三方系統的安全性，如果其存在漏洞（也包括合作伙伴網(wǎng)絡(luò )中存在的"水坑"攻擊、跳板攻擊等）被攻擊，需要保證我們自己的系統不會(huì )因此而受到影響。所以，零信任將是應對供應鏈攻擊最有效的方案之一。

　　對于軟硬件的供應鏈來(lái)說(shuō)，傳統網(wǎng)絡(luò )安全架構的邏輯可看成是"全信任"--我肯定信任你們，但是我要全方位、一層一層地檢查。殊不知，但凡信任之后再檢查，就始終有疏忽的地方。零信任作為一種全新的安全保障概念，它的核心是商業(yè)機構不會(huì )缺省信任任何內部或外部的網(wǎng)絡(luò )鏈接或信息請求，所有對于系統的訪(fǎng)問(wèn)都會(huì )建立在身份、端點(diǎn)、服務(wù)等一系列參與服務(wù)的角色，必須得到安全策略一致的驗證和授權之后才能進(jìn)行。因此，這必將是替代傳統網(wǎng)絡(luò )安全架構和防御策略的核心，更是企業(yè)未來(lái)數字化商業(yè)的一個(gè)重要基礎。

　　回顧SolarWinds事件，根據相關(guān)報告描述，攻擊者會(huì )讓代碼在休眠2周左右之后采用第三方進(jìn)行通信，并且根據返回的指令執行操作，包括傳輸文件、執行文件、重啟系統等。而這些通信會(huì )偽裝成Orion Improvement Program（OIP）協(xié)議并將結果隱藏在眾多合法的插件配置文件中，從而達成隱藏自身的目的。不過(guò)，從這條信息中，我們其實(shí)可以看到一個(gè)"有趣"的事情--這次攻擊"太著(zhù)急了"。

　　通過(guò)對歷史上重大數據竊取事件的分析，亞信安全發(fā)現，APT攻擊者平均潛伏的天數長(cháng)達 205 天，有的甚至可能潛伏長(cháng)達數年之久。這也代表了APT攻擊最為顯著(zhù)的特征--隱匿行蹤、長(cháng)期潛伏、持續滲透。

　　發(fā)現APT攻擊者在內部系統的藏身之處有一定的難度，但不是說(shuō)企業(yè)就束手無(wú)策。針對APT攻擊的每個(gè)階段，亞信安全的XDR解決方案，對應包括了"準備、發(fā)現、分析、遏制、消除、恢復、優(yōu)化"這7個(gè)階段。準備階段包括了針對每一種黑客攻擊類(lèi)型的標準預案，自發(fā)現威脅數據之后，將數據集中到本地威脅情報和云端威脅情報做分析，利用機器學(xué)習和專(zhuān)家團隊，通過(guò)分析黑客進(jìn)攻的時(shí)間、路徑、工具等所有細節，其特征提取出來(lái)，再進(jìn)行遏制、清除、恢復和優(yōu)化。

　　回顧針對供應鏈發(fā)動(dòng)APT攻擊的真實(shí)案例再次證明了，在軟硬件開(kāi)發(fā)交付環(huán)節被攻擊后會(huì )產(chǎn)生巨大危害，故軟件開(kāi)發(fā)及交付環(huán)節的安全防范至關(guān)重要。為此，亞信安全建議軟硬件廠(chǎng)商在開(kāi)發(fā)交付環(huán)節盡可能做到：

　　1、 建立可信的開(kāi)發(fā)環(huán)境，這包括可控可信任的軟硬件環(huán)境，諸如正規渠道購買(mǎi)、下載的軟硬件，可信的第三方開(kāi)源/商業(yè)庫、算法等，采購安全可信的軟件外包服務(wù)。關(guān)注所用組件的安全通告，如被揭露出嚴重安全問(wèn)題，通過(guò)配置或加入其他安全性控制作為緩解措施，必要時(shí)升級相關(guān)的組件。

　　2、 培養開(kāi)發(fā)人員的安全意識，將SDL融入到開(kāi)發(fā)流程中，把安全性的評估作為開(kāi)發(fā)過(guò)程中的必要評審項。開(kāi)發(fā)環(huán)節嚴格遵守開(kāi)發(fā)規范，開(kāi)發(fā)完成的軟硬件發(fā)布前，交給獨立的內部或外部測評組織進(jìn)行安全性評估，及時(shí)解決所發(fā)現的問(wèn)題。

　　3、 在正規且統一的可信渠道發(fā)布軟件，軟件安裝運行時(shí)能夠提供強校驗能力，升級更新自身時(shí)校驗下載回來(lái)安裝包的簽名，并且將相關(guān)簽名證書(shū)作為企業(yè)核心資產(chǎn)嚴格保管，保證證書(shū)不泄露，不會(huì )運行被劫持的升級包。

　　最后，還有一點(diǎn)值得關(guān)注，與SolarWinds類(lèi)似的國內外IT管理軟件，均存在著(zhù)權限過(guò)大的問(wèn)題，一旦被入侵，所造成的影響也將覆蓋到整個(gè)業(yè)務(wù)層面。具體來(lái)說(shuō)，IT運維管理軟件在企業(yè)網(wǎng)絡(luò )架構中擁有絕對的超級權利，從技術(shù)角度來(lái)看，它控制了工作在底層的運維平臺，就能將整個(gè)網(wǎng)絡(luò )的信息轉發(fā)到任何一個(gè)接收點(diǎn)，沒(méi)有任何障礙，且不易察覺(jué)。甚至在一些特殊行業(yè)（金融、能源、制造）的封閉網(wǎng)絡(luò )，別有用心者（"內鬼"）一旦觸及或接管運維系統的管理權，用戶(hù)也很難確保核心數據不會(huì )造成泄露。

　　亞信安全是既"懂網(wǎng)"又"懂云"的網(wǎng)絡(luò )安全公司，以安全數字世界為愿景，旨在護航產(chǎn)業(yè)互聯(lián)網(wǎng)。亞信安全在云安全、身份安全、終端安全、安全管理、數據安全、高級威脅治理，威脅情報等7大領(lǐng)域擁有核心技術(shù)，持續引航網(wǎng)絡(luò )安全的發(fā)展和創(chuàng )新。2020年，亞信安全提出"安全定義邊界"的發(fā)展理念，賦能企業(yè)在5G時(shí)代的數字化安全運營(yíng)能力。

　　欲了解更多，請訪(fǎng)問(wèn)： http://www.asiainfo-sec.com