背景介紹

2020年12月，全世界見證了迄今為止最大且最復雜的網絡間諜攻擊活動之一——SolarWinds攻擊事件。在這起攻擊事件中，攻擊者通過向SolarWinds公司開發的流行網絡管理平臺的合法軟件更新中注入惡意代碼，入侵了美國聯邦機構及眾多企業網絡。

[[390703]]

據悉，FireEye在跟蹤一起被命名為“UNC2452”的攻擊活動中，發現了SolarWinds Orion軟件在2020年3-6月期間發布的版本均受到供應鏈攻擊的影響。攻擊者在這段期間發布的2019.4-2020.2.1版本中植入了惡意的后門應用程序。這些程序利用SolarWinds的數字證書繞過驗證，與攻擊者的通信會偽裝成Orion Improvement Program(OIP)協議并將結果隱藏在眾多合法的插件配置文件中，從而達成隱藏自身的目的。

如今，幾個月過去了，美國政府和私營企業仍在努力探索攻擊的全部范圍，但該事件無疑已經引起了人們對研究人員多年來一直強調的一個問題的廣泛關注：軟件供應鏈的安全性。

隨著企業組織爭先恐后地調查自己的系統和數據是否可能受到SolarWinds入侵的影響，高管、董事會和客戶們發現，供應鏈攻擊的威脅范圍不僅限于這起事件，而且緩解與之相關的風險并非易事。安全領導者和專家們表示，在經歷類似SolarWinds這樣的軟件供應鏈攻擊事件后，CISO應該關注下述這些最重要的問題。

CISO應關注的5個問題

1. 即使不使用后門軟件，我們是否仍處于危險之中?

在發生類似SolarWinds的攻擊事件之后，企業領導者應該詢問IT和網絡安全管理者，他們的組織是否直接使用了受影響的軟件。如果答案是肯定的，那么公司應該立即啟動事件響應計劃，以識別、遏制和消除威脅，并確定對業務的影響程度。

如果答案是否定的，也并不意味著該組織就是安全的。后續應該考慮的問題是：我們的合作伙伴、承包商或供應商是否受到損害?原因在于：

• 其一，供應鏈攻擊的影響范圍很廣;
• 其二，公司會定期向其他方提供訪問其數據或網絡和服務器的權限。

重要的是，我們必須了解這樣一個事實：軟件供應鏈攻擊非常復雜，并且會隨著時間的推移加劇影響。

• 自2017年以來，一家名為“Winnti”(也稱Barium或APT4)的中國網絡間諜組織就曾實施過這種類型的攻擊。當時，該組織在Netsarang公司官方發布的服務器管理軟件Xshell中植入后門;
• 同年，該組織又設法在流行的系統優化工具CCleaner中植入惡意代碼，并向200多萬臺計算機提供了惡意更新。
• 2019年，該組織又利用華碩官方服務器和數字簽名推送惡意軟件ShadowHammer。

研究人員認為，所有這些攻擊都可以相互關聯，一次攻擊為執行下一次攻擊提供了訪問權限。

在今年2月的白宮新聞發布會上，網絡與新興技術副國家安全顧問Anne Neuberger承認了這一威脅，并警告說政府將需要數月的時間才能確定攻擊的全部范圍。她介紹稱，

Northrop Grumman公司副首席信息安全官(CISO)Mike Raeder認為，董事會需要對此類攻擊的技術方面進行更深入地了解。從長遠來看，董事會應該納入前CIO或CISO來實現自身多元化。他表示，

2. 我們當前的安全計劃是否涵蓋軟件供應鏈威脅?

防御軟件供應鏈攻擊的主要問題是，它們濫用了用戶和供應商之間的信任關系，并且濫用了特定軟件的合法訪問權和特權來執行其功能。從用戶的角度來看，他們下載的軟件來自信譽良好的來源，并且通過正確的發行或更新渠道進行了數字簽名。用戶沒有能力對其基礎架構中部署的軟件更新進行逆向工程或代碼分析，而且一般企業也不是安全廠商，并不存在具備這些技能的員工。

企業組織必須假設，他們可能無法檢測到最初的軟件供應鏈入侵。但是，他們可以采取措施來阻止和檢測攻擊的第二階段，這包括嘗試下載其他工具和有效負載，嘗試與外部命令和控制服務器進行通信以及嘗試橫向移動到其他系統等。

3. 如果政府機構和像FireEye這樣的安全供應商受到損害，我們如何保護自己?

Webb表示，企業組織需要關注其安全程序的成熟度。每個組織可能都構建了具有防火墻、入侵檢測和防御系統、DNS控制和其他具備創建邊界功能的防護措施，但是他們并沒有付出很多努力來強化其內部環境。

組織可以檢測到橫向移動活動(例如企圖濫用管理憑據)，但這通常需要高級監視和行為檢測工具以及大型安全運營中心的支持，而這些對于中小型組織而言都是無法承受的。這些組織可以做的就是確保他們部署了基礎安全防護，并且所有系統和內部環境都盡可能地堅固。

以Avalon公司為例，其內部網絡上的通信都經過了加密處理，這樣，在受到威脅的情況下，攻擊者即便可以攔截流量也無法從流量中提取憑據或其他有用信息。所有DNS流量都必須通過防火墻和DNS過濾器，并且允許服務器連接的所有URL都必須是白名單中的。這樣可以確保如果服務器受到威脅，那么惡意代碼將無法到達命令和控制服務器，并下載其他惡意工具或執行惡意命令。

完成部署后，所有服務器都需要經過強化過程，在此過程中，一切都是被鎖定和阻止的，然后根據需要對連接設置白名單。數據庫也是一樣。訪問數據庫的服務器只能查看其執行工作所需的操作。僅從內部服務器提供更新，而不能直接從Internet提供更新，從而防止受到感染的服務器打開外部連接。用戶絕不能使用管理員憑據登錄，并且只能使用白名單中的應用程序。最終用戶、Windows服務器和Linux服務器分別位于單獨的目錄中，這樣一來，如果一個目錄遭到破壞，也不至于危及整個環境。

Webb表示，7年前，我們開始應用零信任原則，它實際上是僅根據您信任的內容以及設備應該具有的功能來管理設備。其他所有一切都是不可信的，都應被阻止。如果存在試圖違反該規則的事情，就必須警惕：為什么這個系統試圖做我不打算做的事情?

實際上，發現并報告此次SolarWinds攻擊的FireEye公司也曾淪為攻擊目標，據悉，攻擊者將一個二級設備添加到了一名員工的賬戶中，以繞過多因素身份驗證。這種行為被及時檢測到并標記為可疑，而該員工隨后也接受了訊問。

Webb表示，這可能就是問題的答案：堅持零信任和行為管理。如果某些事情違反了您的零信任原則，則必須對其進行調查。

4. 軟件供應鏈攻擊是否會導致對供應商和提供商進行更仔細的審查?

一些組織在選擇其軟件解決方案或服務時，可能會考慮供應商的漏洞管理實踐：他們如何處理外部漏洞報告?他們多久發布一次安全更新?他們的安全通信是什么樣的?他們會發布詳細的建議嗎?他們是否具有旨在減少其軟件漏洞數量的安全軟件開發生命周期?一些公司可能還會要求提供有關滲透測試和其他安全合規性報告的信息。

但是，對于像SolarWinds這樣的攻擊，軟件開發組織需要超越這一點，并投資于更好地保護自己的開發基礎架構和環境，因為它們正日益淪為攻擊者的目標，并且可能通過他們使用的工具和軟件組件成為軟件供應鏈攻擊的受害者。他們還需要考慮在應用程序設計階段給用戶帶來的風險，并通過限制特權和訪問應用程序(只授權執行操作所需的特權和應用程序)，來限制入侵可能帶來的影響。

Webb表示，我們的責任將是對供應鏈施加壓力：您必須加強自己的產品和服務。供應商們應該清楚地知道，必須測試和審計自己的代碼，不是一年一次，而可能是每月一次的頻率或是在進行任何部署之前。業務領導者需要敦促IT領導者，以確保他們只與信譽良好的供應商，以及已經采取下一步措施來保護組織正在使用的代碼的人員進行合作。

鳳凰城大學信息安全副總裁Larry Schwarberg表示，對于許多組織而言，朝這個方向邁出的第一步將是確認其所有軟件和SaaS供應商，并為新應用程序和服務明確定義啟用流程。許多組織存在“影子IT”問題，即不同的團隊在未經安全團隊審查和批準的情況下自行購買和部署硬件及軟件資產。這無疑加劇了鎖定應用程序以及強制執行最小特權訪問的難度。

Schwarberg補充道，隨著隨著合同和訂閱續訂的紛涌而至，組織應向其軟件和服務提供商詢問有關滲透測試，以及如何測試其軟件并限制潛在影響等更深層次的問題

從供應鏈安全的角度對軟件供應商進行全面評估并不容易，并且需要許多公司可能并不具備的資源和專業知識，但是，審計組織可能會利用此事件作為催化劑，并圍繞此事件建立更多的功能。

5. 這種類型的攻擊僅由APT組織和民族國家黑客發起嗎?

迄今為止，許多備受矚目的軟件供應鏈攻擊(包括SolarWinds攻擊和ShadowPad攻擊)都歸因于與政府有可疑聯系的APT組織。根據大西洋理事會(Atlantic Council)對過去10年中披露的115種軟件供應鏈攻擊和漏洞的分析結果發現，其中至少27種是民族國家贊助的。但是，實施軟件供應鏈攻擊所需的技能和資源并不僅限于傳統的網絡間諜組織。

多年來，各種攻擊都涉及后門開源組件或后門版本的合法應用程序，這些后門版本由受感染的下載服務器提供服務，而這些服務器很可能是網絡犯罪分子出于經濟動機發起的。甚至還存在一個與勒索軟件有關的案例。

在過去幾年中，許多勒索軟件團伙采用了過去僅在APT組織中才能看到的復雜技術，包括內存中進程注入，深度偵察，使用系統管理工具進行的手動黑客入侵和橫向移動，無文件惡意軟件等等。一些勒索軟件團伙還針對管理服務提供商(managed service providers，簡稱“MSP”)進行了攻擊，這些攻擊在概念上與軟件供應鏈攻擊相似：針對可以憑借業務關系對其他公司進行特權訪問的組織。

如今，越來越多的網絡雇傭軍團體在地下網絡犯罪市場向政府和私人實體出售黑客服務。隨著越來越多的組織開始采用這種攻擊媒介，所有組織(無論大小或是從事的行業)都可能通過軟件供應鏈入侵而成為APT式攻擊的受害者。