51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

什么是软供应链攻击?

作者:锦行科技
安全
近年来,软件供应链攻击安全问题频频发生,现在我们来盘点下SolarWinds 供应链攻击的事件始末、影响,以及带给企业的一些思考。

最新消息显示,美国和英国正式将俄罗斯对外情报局(SVR)认定为SolarWinds 黑客入侵事件的幕后黑手。为此,美国财政部已对俄罗斯实施全面制裁,包括制裁了六家俄方企业,并计划驱逐俄罗斯驻华盛顿大使馆的 10 名官员。

近年来,软件供应链攻击安全问题频频发生。调查显示,这些攻击造成的企业损失平均超过100万美元,因此,防御供应链攻击是十分必要的。现在我们来盘点下SolarWinds 供应链攻击的事件始末、影响,以及带给企业的一些思考。

什么是软供应链攻击?

[[395662]]

想知道供应链攻击,就得先了解下什么是供应链。

供应链是指生产及流通过程中,涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构。整个过程涉及原料供货商、供应商、制造商、仓储商、运输商、分销商、零售商以及终端客户。

供应链结构基本呈“线性”模式,所以当供应链上游出现干扰时,必将影响下游。也就是说,当恶意攻击者在受信任的第三方合作伙伴或提供商的软件上安装恶意软件,就有可能依赖供应链上的信任关系逃避传统安全产品的检查,潜入目标网络,实施非法攻击。这类型的攻击就是供应链攻击。

SolarWinds 黑客入侵事件就属于典型的供应链攻击。

SolarWinds是美国知名的基础网络管理软件供应商,全球大概有33,000名客户使用其旗下的Orion网络监控软件。恶意攻击者将恶意代码隐藏在Orien软件更新包中,通过受信任的供应链自动分发给下游的33,000名客户。一旦用户更新该软件,恶意代码就会以与应用相同的信任和权限运行,攻击者进而获得用户系统的访问权。

通过这种方式,黑客“隔山打牛”完成了对Orion客户——美国五角大楼和国土安全部、能源部、财政部、微软、Fireeye和其他组织的攻击。

愈演愈烈的软供应链攻击

目前,供应链攻击的频率和成熟度在不断提高。根据行业估计,供应链攻击现在占所有网络攻击的50%,去年同比激增了 78%。多达三分之二的公司经历了至少一次供应链攻击事件。同时,80%的IT专业人士认为软件供应链攻击将是他们的企业在未来三年面临的最大网络威胁之一。

以下是供应链攻击的常用攻击方式:

  • 损害软件更新服务器。黑客通过入侵公司用来分发软件更新的服务器,窃取或伪造证书签名的软件更新,将恶意软件带进攻击目标。一旦应用程序自动更新,就会迅速感染大量系统。
  • 获得对软件基础结构的访问权限。黑客使用社会工程学技术渗透到开发基础架构中,破坏构建环境和服务器,从而在软件编译和签名之前将恶意代码注入软件。而一旦软件进行了数字签名,就很难检测出恶意代码。
  • 攻击第三方代码库。恶意软件还通过第三方代码(例如源代码存储库、软件开发工具包和开发人员在其应用程序中使用的框架)传递。如果网络罪犯访问该存储库,则他们可以像授权开发人员一样更改代码,这提供了将恶意代码添加到产品核心的机会。

其中,源代码存储库成为下一代软件供应链攻击的主要媒介。Synopsys在《2020软件供应链报告》中指出,当前超过90%的现代应用融入了开源组件,其中11%OSS组件中存在已知漏洞。而同时,针对开源项目的网络攻击数量同比增加了430%。下一代软供应链攻击方式正在兴起。

企业该如何应对供应链攻击

供应链攻击,已经成为APT攻击中的常用攻击手段,该攻击方法存在以下特点:

  • 攻击面广,危害极大。由于软件供应链是一个完整的流动过程,因此在软件供应链上发生的攻击具有扩散性。一旦突破供应链的上游一环,便会“伤及一片”,对大量的软件供应商和最终用户造成影响。
  • 潜伏周期长,检测困难。因为恶意代码是跟随”可信任”的软件更新进入到内网环境中,所以具有高度隐藏性。它可以欺骗并绕过外部防护,然后在目标网络环境中建立高权限账户,不断地访问并攻击新的目标。而且,不少软件供应链攻击者不直接攻击供应商,而是利用供应商来规避公司的网络安全机制检测风险。因此,想要从根源上就检测出攻击行为十分困难。

[[395663]]

面对越来愈频繁的供应链攻击,需要上下游企业的共同努力,通过共同建立联防联控体系,提升遭受供应链攻击时的响应处置和恢复能力。

(1) 对于上游的软件供应商和开发人员

我们建议:

  • 构建安全的软件更新程序,强化软件开发生命周期管理。
  • 制定针对供应链攻击的事件响应流程,及时准确地通知客户。
  • 加强员工安全意识培训,避免被攻击者钓鱼攻击。
  • 建立“快速升级态势”,快速响应新的零日漏洞。

(2) 对于下游的厂商

我们建议:

  • 应用零信任原则强化内部环境,包括加强账号验证、令牌验证、访问源校验等,持续性验证访问用户身份,收敛攻击暴露面,降低攻击成功概率。这样,即使恶意代码进入了内部环境,也无法越权访问。
  • 采取部署蜜罐等基于行为的攻击检测解决方案,抵御复杂的供应链攻击,提高防御速度。一旦攻击者进行横向渗透,遍布全网的蜜罐就能快速感知。同时,蜜罐会将数据集中到本地威胁情报上,利用大数据分析和机器学习技术,生成完整的攻击者“画像”,从而主动防御新的攻击。这样,即使供应链攻击者更新源代码,也能快速发现。
  • 建立纵深防御体系,联动威胁情报产品,快速拦截攻击,全局视角提升对威胁的发现识别、理解分析、响应处置。


责任编辑:赵宁宁 来源: 嘶吼网
拜登黑客攻击
相关推荐
网络安全知识:什么供应链攻击
供应链攻击也是一种网络攻击,它试图通过滥用网络漏洞渗透到组织或企业的数据库中。这些网络攻击利用硬件或软件中的漏洞来获取政府机构或企业的敏感数据。

2023-01-11 00:05:58

Go 如何应对供应链攻击
Go工具链有一个明确的安全设计目标:无论是获取还是构建代码,都不会让该代码执行,无论代码是否不受信任或者恶意。这是一种有意义的风险缓解措施。

2022-04-06 10:12:51

Go供应链攻击风险
供应链攻击什么?以及如何处理
本文主要内容是企业需要了解的有关供应链威胁的信息、查看供应链安全的当前状态,以及可以采取哪些步骤来降低总体风险。

2022-02-21 10:12:20

供应链攻击网络攻击
供应链安全:映射供应链
本指南面向大中型组织,他们需要获得信心或保证缓解与供应商合作相关的漏洞已到位。

2023-02-23 07:52:20

Go 如何减少供应链攻击
现代软件工程是协作性的,并且基于对开源软件的重用。这就使目标暴露在供应链攻击之下,而软件项目则会因为其依赖性被破坏而遭到攻击。

2022-04-13 14:49:59

安全供应链Go
SolarWinds供应链攻击目标包括Autodesk
在去年12月披露的SolarWinds供应链攻击中,Autodesk也是攻击目标,但该公司在最近的10Q文件中才披露这一事实。

2021-09-12 14:38:41

SolarWinds供应链攻击Autodesk
VMware和Cisco遭到SolarWinds供应链攻击
IT巨头VMware和Cisco透露,它们受到了SolarWinds供应链攻击的影响。

2020-12-24 11:09:44

VMwareCiscoSolarWinds
GitHub 警告开源供应链攻击 Octopus Scanner
GitHub安全博客警告了针对的ApacheNetBeansIDE项目的开源供应链攻击OctopusScanner。

2020-06-01 08:45:17

GitHub代码开发者
PHP Composer漏洞可能引发供应链攻击
&8203;研究人员在PHPComposer中发现一个安全漏洞,攻击者利用该漏洞可以发起供应链攻击。

2021-05-11 11:11:00

漏洞网络安全网络攻击
软件供应链攻击同比增长650%
根据Sonatype最新发布的《2021年软件供应链状况报告》,全球对开源代码的旺盛需求导致软件供应链攻击同比增长650%。

2021-09-16 14:59:18

供应链攻击漏洞网络攻击
网络攻击凸显供应链面临的风险
根据欧盟网络安全局(ENISA)在去年发布的一份调查报告,供应链网络攻击可能在年底前增加四倍,这是对全球经济构成最大的网络安全威胁之一。

2022-03-14 14:37:53

网络攻击供应链攻击漏洞
供应链什么要引入区块
区块链的介入当然给供应链带来了新的机遇——但问题是,到底有哪些新机遇?

2020-05-14 20:42:09

区块链区块链技术供应链
什么供应链计划及其如何带来业务成果?
一个成熟的销售和运营计划(S&OP)过程会带来显著的回报,例如可增加营收和利润率,从而对“供应链计划”至关重要。尽管这对企业极为重要,但许多人仍忽视对自身“销售和运营计划”成熟度的分析,或许因为这需要跨部门联合投入开展工作。

2022-12-13 10:30:50

供应链运营计划
什么供应链需要物联网
利用物联网技术可以节省供应链中的时间和金钱。在美国,每年有数十亿美元的货物运送到全国各地。货运,无论是卡车、铁路还是飞机运输,在美国经济中都起着至关重要的作用,但在地方经济中则更为重要。

2020-10-11 19:38:30

物联网智能信标运输
Solarwinds供应链攻击武器SUNBURST和TEARDROP分析
2020年12月,FireEye发现一起针对许多组织(主要是针对美国科技公司)的大规模网络攻击已经持续了几个月。

2020-12-31 11:02:47

网络钓鱼漏洞攻击
供应链攻击技术欺骗 GitHub 提交元数据
据国外网络安全网站Securityweek报道,Checkmarx的安全研究人员警告说,一种新的供应链攻击技术依赖欺骗的提交元数据来增加恶意GitHub存储库的合法性。

2022-07-18 17:00:00

网络安全数据供应链
欧盟网络安全威胁之供应链攻击
根据欧盟网络安全局(ENISA)发布的欧盟2022年度威胁报告,可以看到欧盟认定当前面临的主要威胁之一是供应链攻击。文章围绕供应链攻击这一内容展开,讨论了现代组织面临的一些安全挑战,特别是与第三方供应商和复杂系统的关系。

2023-11-02 12:13:08

什么改善数据供应链一种责任?
对于许多企业来说,数据供应链是一个新兴且不断发展的概念。寻找和留住人才以帮助改善数据供应链成果对于企业的竞争优势至关重要。

2022-07-04 15:40:11

数据供应链数据分析
什么改善数据供应链一种责任?
随着企业招募经验丰富的分析师以利用数据做出更好的决策,他们往往无法改善数据供应链和由此产生的数据质量。如果没有可靠的数据供应链管理实践,数据质量往往会受到影响。

2022-07-05 11:40:42

大数据供应链工具
什么区块有益于供应链
世界上许多最成功的系统和产品都是不那么受关注的,但供应链突然受到关注其实不足为奇,不是因为它们的巨大成功,而是因为它们在很长一段时间里被认为是理所当然的。

2021-11-17 22:12:18

区块链供应链技术
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服