供應(yīng)鏈攻擊已成全球企業(yè)的“心腹大患”
隨著開源、云原生等技術(shù)的應(yīng)用,軟件供應(yīng)鏈開始向多元化發(fā)展。此舉雖加速了技術(shù)的革新和升級,但也讓供應(yīng)鏈安全成為全球企業(yè)的“心腹大患”。
據(jù)2021年7月發(fā)布的《2020年中國網(wǎng)絡(luò)安全報告》稱,軟件供應(yīng)鏈攻擊已成為2020年最具影響力的高級威脅之一。
卡巴斯基最新的IT安全經(jīng)濟(jì)學(xué)報告顯示,約有三分之一的大型企業(yè)遭遇了供應(yīng)鏈攻擊,給企業(yè)造成的平均財務(wù)影響高達(dá)140萬美元,已成為年度損失最高的攻擊事件類型。
無獨有偶,2021年10月19日,Cyentia發(fā)布了《信息風(fēng)險洞察研究》(IRIS)報告,數(shù)據(jù)顯示,在排名前五十的多方數(shù)據(jù)泄露事件中,發(fā)現(xiàn)一場大型事件泄露平均涉及31家企業(yè),企業(yè)經(jīng)濟(jì)損失的中位值高達(dá)9000萬美元,而典型網(wǎng)絡(luò)安全事件帶來的損失只有20萬美元左右。
Cyentia指出,供應(yīng)鏈攻擊是多方數(shù)據(jù)泄露的主要原因,倘若企業(yè)沒有做好應(yīng)對供應(yīng)鏈攻擊的準(zhǔn)備,那么就會置身于多方數(shù)據(jù)泄露的風(fēng)險之中,給企業(yè)帶來的經(jīng)濟(jì)損失也比單方數(shù)據(jù)泄露事件要高的多。
2021年7月發(fā)生的Kaseya供應(yīng)鏈攻擊事件也證明了這一觀點。在這次攻擊事件中,俄羅斯勒索組織REvil給網(wǎng)絡(luò)安全行業(yè)上了印象深刻的一堂課:波及17個國家,上千家企業(yè)和機構(gòu),上百萬臺設(shè)備被加密,索要贖金高達(dá)7000萬美元,是迄今為止規(guī)模最大的供應(yīng)鏈?zhǔn)录?/p>
從這里我們也可以看出供應(yīng)鏈攻擊的可怕之處,只要拿下一家供應(yīng)鏈企業(yè),那么其客戶和合作伙伴都將因此遭受攻擊,由此引發(fā)的連鎖反應(yīng)將會是全球性的,災(zāi)難性的。
什么是供應(yīng)鏈攻擊
供應(yīng)鏈?zhǔn)侵福瑒?chuàng)建和交付最終解決方案或產(chǎn)品時所牽涉的流程、人員、組織機構(gòu)和發(fā)行人。在網(wǎng)絡(luò)安全領(lǐng)域,供應(yīng)鏈涉及大量資源(硬件和軟件)、存儲(云或本地)、發(fā)行機制(web應(yīng)用程序、在線商店)和管理軟件。
而所謂供應(yīng)鏈攻擊,顧名思義就是針對供應(yīng)鏈發(fā)起的網(wǎng)絡(luò)攻擊,并通過供應(yīng)鏈將攻擊延伸至相關(guān)的合作伙伴和下游企業(yè)客戶。
因此,供應(yīng)鏈攻擊至少分為兩個部分:一是針對供應(yīng)鏈的攻擊;二是針對客戶企業(yè)的攻擊。一次完整的供應(yīng)鏈攻擊是以供應(yīng)鏈為跳板,最終將供應(yīng)鏈存在的問題放大并傳遞至下游企業(yè),產(chǎn)生攻擊漣漪效應(yīng)和巨大的破壞性。
目前,供應(yīng)鏈攻擊通常和APT攻擊、勒索攻擊結(jié)合在一起,攻擊者最終的目的是加密企業(yè)設(shè)備、系統(tǒng)或數(shù)據(jù),以此勒索企業(yè)牟取暴利。
由于供應(yīng)鏈攻擊涉及供應(yīng)商和企業(yè)用戶兩大組織,因此直接加劇了處理事件、取證分析和事件整體管理的復(fù)雜性。這意味著企業(yè)針對攻擊的應(yīng)急響應(yīng)流程也將變的更加復(fù)雜,系統(tǒng)恢復(fù)的時間也會更長。正因為如此,供應(yīng)鏈攻擊往往能夠造成難以想象的嚴(yán)重后果。
Imperva曾分享了五種典型的攻擊手法,分別是:
- 利用供應(yīng)商的產(chǎn)品進(jìn)行注入(典型的如SolarWinds事件)
- 利用第三方應(yīng)用程序(如郵件/瀏覽器漏洞)
- 利用開放源代碼庫中包含的漏洞
- 依賴關(guān)系混淆
- 惡意接管(擔(dān)任社區(qū)項目維護(hù)者,注入惡意代碼)
從以上五種典型的攻擊手法中,我們也可以發(fā)現(xiàn),有的供應(yīng)鏈攻擊(如依賴關(guān)系混淆)企業(yè)可以提前預(yù)防,但是有的供應(yīng)鏈攻擊(如利用供應(yīng)商的產(chǎn)品進(jìn)行注入)企業(yè)束手無策。
供應(yīng)鏈攻擊增長迅猛,企業(yè)難忍切膚之痛
2020年12月13日,隨著FireEye發(fā)布的一條攻擊報告,SolarWinds供應(yīng)鏈攻擊事件開始進(jìn)入到公眾視野。無論是微軟、谷歌等大型企業(yè)緊急響應(yīng),還是美國政府機構(gòu) FBI的快速介入,都讓人感到“事情很不妙”。
在最終結(jié)果出來之前,幾乎沒有人相信,這一次攻擊竟然產(chǎn)生了如此嚴(yán)重的后果。
12月14日,SolarWinds向美國證券交易委員會(SEC)提交了供應(yīng)鏈攻擊事件的報告。報告顯示,微軟、英偉達(dá)、思科、德勤、VMWare等多個世界巨頭企業(yè),美國國務(wù)院、五角大樓、國土安全部、商務(wù)部、財政部、司法部、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局等大量的政府單位,全都在受害人的列表中。
這樣的情形在以前幾乎無法想象,也讓供應(yīng)鏈攻擊一躍成為網(wǎng)絡(luò)安全領(lǐng)域的焦點之一,此后供應(yīng)鏈攻擊“大事件”層出不窮。
2021年3月,占據(jù)全球90%航空份額的通信和IT廠商,國際航空電信公司(SITA)受到供應(yīng)鏈攻擊,直接造成了航空業(yè)“大地震”,漢莎航空、新西蘭航空、泰航空、韓國航空、日本航空等多個航空公司業(yè)務(wù)受到影響,甚至出現(xiàn)大范圍的數(shù)據(jù)泄露。
再比如上文提及的國際軟件服務(wù)提供商Kaseya供應(yīng)鏈攻擊事件,無數(shù)國際大企業(yè)因此遭受損失,其嚴(yán)重的后果使得美國政府和微軟等IT巨頭,都快速介入并進(jìn)行應(yīng)急響應(yīng)。
供應(yīng)鏈攻擊所產(chǎn)生的嚴(yán)重后果進(jìn)一步激發(fā)了網(wǎng)絡(luò)攻擊的動力,而當(dāng)越來越多的攻擊者轉(zhuǎn)向供應(yīng)鏈時,供應(yīng)鏈攻擊事件就如同雪花般散落開來。
總的來說,自2020年以來,供應(yīng)鏈攻擊事件呈現(xiàn)爆發(fā)增長的態(tài)勢,并且給企業(yè)帶來了難以忍受的切膚之痛。
2021年6月,奇安信發(fā)布了《2021中國軟件供應(yīng)鏈安全分析報告》。數(shù)據(jù)顯示,2020年全年,奇安信代碼安全實驗室檢測的代碼總量為335011173行,共發(fā)現(xiàn)安全缺陷3387642個,其中高危缺陷361812個,整體缺陷密度為10.11個/千行,高危缺陷密度為1.08個/千行。
而Palo Alto Networks 安全咨詢部門Unit 42發(fā)布的《2021年下半年云威脅報告》顯示,63%用于構(gòu)建云基礎(chǔ)設(shè)施的第三方代碼模板包含不安全的配置,96%部署在云基礎(chǔ)設(shè)施中的第三方容器型應(yīng)用包含已知漏洞。
除了分析數(shù)據(jù)外,Unit 42的研究人員還受一家大型SaaS供應(yīng)商委托,對其軟件開發(fā)環(huán)境進(jìn)行紅隊演練。僅僅三天時間,Unit 42研究人員就發(fā)現(xiàn)了軟件開發(fā)過程中的重大漏洞,足以讓客戶輕易受到類似SolarWinds和Kaseya的攻擊。
換句話說,由于此前未曾重視供應(yīng)鏈的安全建設(shè),以至于如今在很多地方都隱藏著漏洞和威脅。一旦這些漏洞被攻擊者利用,SolarWinds事件和Kaseya事件很有可能會再次上演。
對此,歐洲網(wǎng)絡(luò)和信息安全局發(fā)布的《供應(yīng)鏈攻擊的威脅分析》報告指出,眼下攻擊者已經(jīng)將注意力轉(zhuǎn)移到供應(yīng)商上,和2020年相比,2021年供應(yīng)鏈攻擊預(yù)計將增加4倍,而且這些攻擊給企業(yè)帶來的影響也越來越大,包括系統(tǒng)停機、金錢損失和聲譽損害等。
早在2017年,NotPetya勒索軟件就曾利用供應(yīng)鏈更新發(fā)起攻擊,全球59個國家的政府部門、醫(yī)院、銀行、機場等系統(tǒng)受到影響,造成超過100億美元的損失。
此前,CrowdStrike發(fā)布的調(diào)查數(shù)據(jù)也說明了這一問題。調(diào)查結(jié)果顯示,在2018年,被調(diào)查的企業(yè)中有三分之二曾遭遇軟件供應(yīng)鏈攻擊;90%的企業(yè)因軟件供應(yīng)鏈攻擊而導(dǎo)致財產(chǎn)損失,平均成本超過110萬美元;80%的受訪者認(rèn)為,軟件供應(yīng)鏈攻擊將成為未來三年內(nèi)最大的網(wǎng)絡(luò)威脅之一。
如今,三年已過,預(yù)言成真,供應(yīng)鏈攻擊也已經(jīng)成為嚴(yán)重的網(wǎng)絡(luò)威脅。
BlueVoyant最新發(fā)布的報告指出,在過去的2020年中,供應(yīng)鏈風(fēng)險陡增,全球大約93%的大中型企業(yè)組織由于供應(yīng)鏈薄弱而遭受直接破壞。特別是SolarWinds漏洞和勒索軟件攻擊等活動,更加凸顯了企業(yè)組織面臨的供應(yīng)鏈攻擊風(fēng)險。
下一代軟件供應(yīng)鏈攻擊正在爆發(fā)
隨著開源、云原生等技術(shù)的大范圍應(yīng)用,下一代軟件供應(yīng)鏈威脅也正在逐漸爆發(fā)。
全球開源技術(shù)正在快速增長和應(yīng)用,這一點相比業(yè)內(nèi)人士都有這樣的感覺。數(shù)據(jù)顯示,GitHub 的活躍代碼倉庫與活躍用戶數(shù)分別增長了35.3% 和21.2%;Gitee 的代碼倉庫與用戶數(shù)的增長數(shù)據(jù)更是達(dá)到了192%和162%。
同時,企業(yè)“借用”開源代碼已經(jīng)變的越來越普遍,但其安全性難以保證。
例如2021年10月28日,抖音前端宣布將UI庫Semi Design 進(jìn)行開源,隨即就被發(fā)現(xiàn),它的代碼中存在阿里巴巴同類產(chǎn)品 Ant Design 的痕跡。試想一下,如果抖音為開源,“借用”的行為就不會發(fā)現(xiàn),這也反過來證明,“開源代碼借用”是一件非常“平常”的事情。
根據(jù)Sonatype最新發(fā)布的《2021年軟件供應(yīng)鏈狀況報告》,全球?qū)﹂_源代碼的旺盛需求導(dǎo)致軟件供應(yīng)鏈攻擊同比增長650%。全球的開發(fā)商累計從第三方開源生態(tài)系統(tǒng)“借用”超過2.2萬億個開源軟件包或組件,以加快上市時間。但是,這些開源軟件和組件中存在各種漏洞,反而大大增加了供應(yīng)鏈攻擊的風(fēng)險。
而CVE官方網(wǎng)站統(tǒng)計的數(shù)據(jù)顯示,2020 年發(fā)布的開源漏洞中未被 CVE 官方收錄漏洞有 1362 個,占 2020 年發(fā)布漏洞總數(shù)的 23.78%;CVE 官方未收錄數(shù)據(jù)呈上長趨勢,增長率逐年遞增,2018 年環(huán)比 2017 年增長速度達(dá) 133.52%。
越來越多的數(shù)據(jù)都表明,下一代供應(yīng)鏈攻擊正在到來,其顯著特點是刻意針對“上游”開源組件,進(jìn)行更主動的攻擊。
此時,攻擊者不再是被動的等待漏洞的出現(xiàn),而是主動將新的漏洞注入為供應(yīng)鏈提供支持的開源項目中。因此,下一代軟件供應(yīng)鏈攻擊將更加隱蔽,也將有更多的時間對下游企業(yè)展開攻擊,危險性將更高。
相較國外,國內(nèi)下一代軟件供應(yīng)鏈攻擊的風(fēng)險同樣存在。
究其原因,自2020年以來國內(nèi)開源技術(shù)蓬勃發(fā)展,但是其安全性也不容樂觀。根據(jù)奇安信發(fā)布的《2021中國軟件供應(yīng)鏈安全分析報告》,國內(nèi)企業(yè)超8成軟件項目存在已知高危開源軟件漏洞;平均每個軟件項目存在66個已知開源軟件漏洞。2020年檢測的1364個開源軟件項目整體缺陷密度為14.96個/千行,高危缺陷密度為0.95個/千行。
由此可見,國內(nèi)開源技術(shù)的安全性令人擔(dān)憂,隨之而來的下一代軟件供應(yīng)鏈風(fēng)險也將居高不下。
供應(yīng)鏈安全已經(jīng)脫離了企業(yè)掌控
和日益增長的供應(yīng)鏈攻擊威脅相比,下游企業(yè)卻缺乏針對性的、有效的防護(hù)手段。這意味著,即便是企業(yè)自身擁有較好的安全能力,但面對供應(yīng)鏈攻擊依舊難以有效預(yù)防和應(yīng)急響應(yīng)。
這就和食品供應(yīng)鏈一樣,當(dāng)生產(chǎn)食品的原料有不健康的成分(比如添加劑不合格或超標(biāo)),那么生產(chǎn)出來的食品很有可能是不健康的。軟件供應(yīng)鏈安全也是如此,如果上游提供的“代碼”有問題,那么企業(yè)使用的產(chǎn)品也同樣存在問題。
最關(guān)鍵的是,企業(yè)也無法確定,哪些產(chǎn)品有問題,也無法解決上游企業(yè)代碼的問題,自然也就無法進(jìn)行防控。反過來,攻擊者卻可以借供應(yīng)商的渠道順利侵入企業(yè),并在內(nèi)部發(fā)起攻擊。這就好比你身邊一個好朋友,突然朝你捅了一刀,有心算無心之下,受傷的概率會非常高。
眾所周知,軟件供應(yīng)鏈可劃分為開發(fā)、交付、運行三個大的環(huán)節(jié),其中每個環(huán)節(jié)都可能會引入供應(yīng)鏈安全風(fēng)險從而遭受攻擊。通過對軟件開發(fā)人員和供應(yīng)商的攻擊,攻擊者可以借供應(yīng)鏈分發(fā)惡意軟件來訪問源代碼、構(gòu)建過程或更新機制。這些惡意軟件因為來自受信任的供應(yīng)商渠道和數(shù)字簽名,因此很容易繞過企業(yè)已有的安全防護(hù)體系,并完成下一步攻擊。
隨著網(wǎng)絡(luò)攻擊趨利性和潛伏性不斷增加,供應(yīng)鏈攻擊呈現(xiàn)出非同一般的耐心,不少攻擊者長期潛伏在企業(yè)內(nèi)部,一旦爆發(fā)開來將會給企業(yè)帶來嚴(yán)重?fù)p失。
同時,企業(yè)對于供應(yīng)鏈攻擊的應(yīng)急響應(yīng)過程過于繁瑣,所需要的時間太過漫長,很難再黃金時間內(nèi)完成應(yīng)急響應(yīng)和數(shù)據(jù)恢復(fù)。
這也是供應(yīng)鏈攻擊在下游企業(yè)爆發(fā)之后,往往能夠取得不俗成果的原因。
巨頭著手開始應(yīng)對供應(yīng)鏈攻擊
面對火燒眉毛的供應(yīng)鏈攻擊威脅,越來越的企業(yè)和有識之士認(rèn)識到,僅依靠單個企業(yè)是無法應(yīng)對供應(yīng)鏈攻擊,因此必須要集合行業(yè)的力量,從上游清除“安全威脅”。
基于此,微軟、英特爾和高盛在可信計算組 (TCG) 成立了一個專注于供應(yīng)鏈安全的新工作組。
未來,這個組織將在TCG的支持下,為可信計算平臺如廣泛使用的可信平臺模塊 (TPM) 開發(fā)、定義和推廣開源和供應(yīng)商中立行業(yè)標(biāo)準(zhǔn)和標(biāo)準(zhǔn)。
其中,有兩點非常關(guān)鍵:
- 提供確保設(shè)備的真實性;
- 幫助組織機構(gòu)從網(wǎng)絡(luò)安全攻擊中恢復(fù)。
但是想要做到這兩點顯然不容易,企業(yè)因此而付出的成本將會非常高,這就會降低企業(yè)采取相應(yīng)防護(hù)措施的主觀意愿。這意味著,距離新成立的供應(yīng)鏈安全組真正發(fā)揮作用。依舊還有很長的路要走。
此外,在2021年8月舉辦的白宮網(wǎng)絡(luò)安全會議上,蘋果、微軟、IBM、亞馬遜也在積極制定相關(guān)計劃,以改善供應(yīng)鏈安全。
其中,美國將全面加強和供應(yīng)商的合作,并將采用多重身份認(rèn)證,進(jìn)一步確保安全性;亞馬遜也表示將向用戶提供免費的多重身份驗證設(shè)備,以提高安全性,并將提供安全意識培訓(xùn)。
我國也在不斷加強供應(yīng)鏈的安全性。
為了有效提升開源技術(shù)的安全性,近日,人民銀行等五部門聯(lián)合發(fā)布了《關(guān)于規(guī)范金融業(yè)開源技術(shù)應(yīng)用與發(fā)展的意見》,以此提高應(yīng)用水平和自主可控能力,促進(jìn)開源技術(shù)健康可持續(xù)發(fā)展。
事實上,在國家/行業(yè)層面制定相應(yīng)的監(jiān)管政策要求、標(biāo)準(zhǔn)規(guī)范正是應(yīng)對供應(yīng)鏈攻擊的有效舉措。同時,我們還應(yīng)該建立起國家級/行業(yè)級軟件供應(yīng)鏈安全風(fēng)險分析平臺,并且將軟件供應(yīng)鏈安全的相關(guān)工作納入產(chǎn)品測評、系統(tǒng)測評等工作中。
當(dāng)然,最最關(guān)鍵的是,我們必須對供應(yīng)鏈攻擊保持足夠的警惕,并集結(jié)行業(yè)的力量共同應(yīng)對。正如《意見》中所提到的一樣,企業(yè)用戶在購買軟件和應(yīng)用開源技術(shù)時應(yīng)進(jìn)行充分評估,建立完善的使用規(guī)范,保障安全的底線。
