供應鍊是一個一直出現在我們身邊的詞語,隻是更需要我們去感受。以最近人們熱衷的開榴蓮盲盒來說,從最初的榴蓮種植、采摘、購買、入庫、存儲、分銷、購買到配送給消費者的一系列過程就是供應鍊,這裡的供應鍊是指傳統的制造和供應某物的過程鍊。而今天我們要聊的主角是軟體供應鍊。
什麼是軟體供應鍊?
軟體供應鍊和傳統供應鍊類似,但不是實物的供應,而是供應代碼,是開發。它指的是軟體制造商在軟體開發、測試、部署、傳遞和維護的所有環節和過程,以及與這些過程相關的各種組織、人員、工具、技術和資源的一系列複雜過程。
軟體供應鍊現狀及攻擊類型
近年來,随着國内軟體供應鍊的迅速發展,開源占比逐年增多,在帶來便利的同時,軟體供應鍊安全風險也在不斷加劇。國外安全廠商ReversingLabs釋出的《軟體供應鍊安全狀況調查》中提到,2020-2022年針對軟體供應鍊攻擊呈指數級增長,“惡意篡改”、“後門植入”、和“供應鍊劫持”等攻擊頻發。而在之前Sonatype釋出《2021年軟體供應鍊狀況報告》中資料顯示,2021世界上軟體供應鍊攻擊增加了650%。
軟體供應鍊涉及多個組織和多種技術,絕大部分開發者根本搞不清楚自己的軟體供應鍊裡都有誰,是以,軟體供應鍊容易受到黑客攻擊、惡意軟體和其他威脅。對于軟體供應鍊攻擊而言,主要可分為惡意代碼注入、依賴混淆攻擊、更新劫持、源代碼污染四種類型。
惡意代碼注入
攻擊者對開發者常用的系統或者代碼開發編輯器進行攻擊,在他們不知情的情況下對開發工具進行篡改并将惡意代碼注入其包中。當開發者進行代碼開發時,經過被污染過的開發工具編譯出的測試程式,或部署到生産業務中的程式,都将被植入惡意代碼。
依賴混淆攻擊
依賴混淆攻擊是開源生态系統中一種獨特的設計缺陷,能夠在攻擊者端通過最小的努力甚至是自動化的方式發揮作用,它根本不需要受害者采取任何操作,受害者就會自動收到惡意軟體包,然後惡意軟體通過自動向下遊分發,進入到相應公司的内部應用軟體中。一名研究人員就利用該技術成功闖入了逾35家大公司的内部系統,這些大公司包括微軟、蘋果、PayPal、Shopify、網飛、Yelp、特斯拉和優步等。
更新劫持
軟體産品在整個生命周期中幾乎都要對自身進行更新,攻擊者通過破壞中間軟體更新功能或 CI/CD工具,并利用它在軟體更新過程中給使用者植入惡意代碼。
源代碼污染
軟體産品如果在源代碼級别就被攻擊者植入惡意代碼将難以被發現,并且這些惡意代碼将在軟體廠商的合法管道下躲避對安全産品的檢測,或許會長時間潛伏于使用者裝置中不被察覺。
軟體供應鍊相關攻擊事件
軟體供應鍊攻擊越來越受到公衆的關注,因為它們可以對公司經濟及其聲譽造成嚴重損害。倘若企業沒有做好應對供應鍊攻擊的準備,那麼就會置身于多方資料洩露的風險之中。
2022年AccessPress 供應鍊攻擊
AccessPress 是一個流行的 WordPress 插件和插件主題開發商,在超過 360,000 個活躍網站中使用,在一次大規模軟體供應鍊攻擊中遭到破壞,該公司的軟體被後門版本取代。後門使惡意攻擊者可以完全通路使用惡意插件的網站。此次攻擊總共破壞了 AccessPress Themes 網站上可用的 40 個主題和 53 個插件。
2021年Kaseya 供應鍊攻擊
REvil 勒索軟體團夥攻擊了基于 Kaseya 雲的 MSP platfor 軟體供應商 Kaseya,在獲得後端設施通路權限後,破壞了Kaseya VSA 基礎設施,之後為 VSA 内部伺服器推送惡意更新并在企業網絡上部署勒索軟體,進而感染其他第三方企業網絡。并宣稱約 60家 Kaseya 客戶和 1500 家企業受到了勒索軟體攻擊的影響。
2020年SolarWinds SUNBURST 攻擊
2020年12月13日,FireEye釋出了關于SolarWinds供應鍊攻擊的通告。通告中表明基礎網絡管理軟體供應商SlarWinds Orion 軟體更新包中被黑客植入後門,并将其命名為SUNBURST。黑客利用SolarWinds管理軟體漏洞,攻陷了多個美國聯邦機構及财富 500 強企業網絡,SolarWinds 事件是一起影響範圍廣、潛伏時間長、隐蔽性強、高度複雜的攻擊,波及全球多個國家和地區。
以上事件都從不同程度上印證了軟體供應鍊攻擊的破壞性之大,影響力之嚴重,而這也僅僅是軟體供應鍊攻擊中的冰山一角。是以,提前做好預防措施,加強軟體供應鍊管理,是保障企業網絡安全的必要條件,下一篇我們就來講講如何做好軟體供應鍊管理。