政企机构要花费上百亿美元,才能消除SolarWinds网络管理工具遭到大规模攻击造成的余波,多达18000家组织受此事件的影响。
在这起安全事件中,攻击者对一款广泛使用的SolarWinds软件的更新做了手脚。在网络安全界,这就叫供应链攻击——这是一种破坏性特别强的网络入侵。只要攻陷单单一家供应商,攻击者就可以访问这家供应商的所有客户。
美国国家安全也面临很大的风险,因为遭到攻击的IT组织名单中包括五角大楼、美国国务院和国土安全部的IT组织。
美国四大联邦机构:联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、国家情报局局长办公室(ODNI)以及国家安全局(NSA)近日发表了一份联合声明,声称SolarWinds攻击“的源头很可能来自俄罗斯”。
SolarWinds可能是政府网络安全界的一起轰动事件,但不是我们见过的第一起重大供应链攻击,也不是俄罗斯黑客在全球范围内发动的第一次供应链攻击。
2017年,俄罗斯黑客攻击了乌克兰的财会软件,这是一起旨在攻击乌克兰基础设施的攻击的一部分,不过恶意软件迅速传播到了其他国家。NotPetya最终给马士基、联邦快递和默克等多家跨国公司造成了超过100亿美元的损失,严重扰乱了它们的业务运营。
软件供应链不堪一击
任何一家科技公司都是潜在的目标。政府撑腰的攻击者拥有实施供应链攻击所需的丰富资源和技能,甚至可以渗入到对安全极为注重的公司。
连安全供应商也会沦为目标。在SolarWinds事件中,比较知名的中招公司之一是FireEye,这是全球最著名的网络安全供应商之一。FireEye表示,攻击者并没有进入面向客户的系统,他们只访问了用于安全测试的渗透工具。但是像FireEye这样的公司都遭到攻击却令人担忧。
另一个例子发生在2020年11月,当时另一家领先的网络安全公司Sophos遭遇了数据泄密事件,一些敏感的客户信息因此外泄。
安全供应商Immuniweb在去年秋天的一份研究报告中称,全球前400家网络安全公司中97%遇到过数据泄露或其他安全事件,91家公司存在可被人趁虚而入的网站安全漏洞。
供应链攻击不是最近才出现的一个动向。2011年,RSA Security承认其SecurID令牌被黑入。其中一个客户洛克希德·马丁公司因此遭到了攻击。
如果这些供应商都岌岌可危,可以说每家供应商都岌岌可危。SolarWinds之类的攻击危及商业软件供应商,是三种供应链攻击类型之一。另外两种攻击是针对开源软件项目的攻击以及国家政府在本国供应商开发的产品中直接干扰。
开源供应链威胁
据Sonatype发布的《2020年软件供应链状况》报告显示,针对开源软件项目的供应链攻击是企业界面临的一大问题,因为所有应用软件中90%都含有开源代码,这些开源代码中11%存在已知的漏洞。
比如在2017年的Equifax安全事件中(该公司声称损失近20亿美元),攻击者就钻了一个未打上补丁的Apache Struts漏洞的空子。而21%的公司表示,它们在过去的12个月遇到过与开源有关的攻击。
但是攻击者不必等到开源软件中出现安全漏洞。在过去这几年,攻击者已开始开发自己的漏洞,蓄意破坏开源开发和发布流程。这一招卓有成效。据Sonatype调查显示,这种类型的下一代攻击较上一年猛增了430%。
国外源头威胁
如果你可以命令一家软件公司在其产品中安装恶意软件,何必煞费苦心地黑入这家软件公司?
这对于俄罗斯来说不是一个办法,毕竟它不是技术出口大国。
2019年的《计算机硬件、知识产权与供应的制造、投资以及控制性审查法案》(MICROCHIPS Act)得到了美国两党的支持,两位参议员迈克·克拉波(Mike Crapo)和马克·华纳(Mark Warner)在宣布该法案的声明中说:“美国军队、政府和关键民用平台中做过手脚的电子产品给了攻击者提供潜在的后门,可以伺机破坏这些系统。”
星座研究公司(Constellation Research)的副总裁兼首席分析师史蒂夫·威尔逊(Steve Wilson)说:“几乎所有国家、行业和企业都过度暴露在敌对政府及其他低成本供应子链的面前。”
他告诉媒体,不可能解开厘清这些相互关联的软件。“您应该提防第三方提供商。”
如何防范供应链攻击?
安全管理人员该如何防范呢?Synopsys公司的副总裁兼首席分析师莉兹•米勒(Liz Miller)说:“严酷的现实是,我们软件供应链的状况充其量表现一般,部分原因是软件供应链本身过于复杂。”
她告诉媒体,不过公司企业可以采取一些措施。她说,首先,它们可以向技术供应商索要一份“材料清单”,列出该供应商使用的所有代码组件,这有助于识别与开源组件漏洞有关的潜在漏洞。
她说:“高度厌恶风险的组织可以考虑采取另一个措施,即在实施代码之前审核代码。”她表示,Synopsys的Black Duck就是可以帮助公司开展这项工作的一款工具。
从SolarWinds攻击事件中应该汲取的一个教训是,安装供应商的补丁并不是坏主意。Aqua Security的现场首席技术官蒂斯维•科伦(Tsvi Korren)说,这次攻击确实黑入了自动化软件更新系统,但任由已知的漏洞出现在您的系统中要危险得多。他说:“得费很大的劲才能黑入一家公司的内部系统。”
相比之下,利用已知漏洞快速又省事,吸引来了技能高低不一的攻击者。科伦告诉媒体:“我们应该避免任由漏洞躺在那里。”
安全管理人员可以要求供应商给予一些保证。他说:“要求知道对方的内部监管链(chain of custody)是什么样合情合理。从编写一行代码到打包和分发,对方又如何确保整个过程的完整性?”
新的软件开发流程标准将出台
他表示,遗憾的是,目前还没有专门针对供应商软件开发流程安全性的行业标准。“但是我预计这起事件后会出现一系列标准,这将是一件好事。”
信息和软件质量联盟(Consortium for Information and Software Quality)是开展这项工作的一家组织,这个特殊兴趣小组隶属技术标准机构对象管理组织。
执行董事比尔·柯蒂斯(Bill Curtis)说:“我们正在研究的标准之一是软件物料清单。它会告诉您是否存在已知漏洞。”他说,预计该标准会在今年春季发布。
柯蒂斯建议软件购买者要求供应商审核软件查找有无漏洞。他说:“大多数供应商不会喜欢这个想法,会显得很反抗。”
他说,许多工作由联邦政府在推动。他说:“国防部对于我们武器的秘密被盗已经厌烦透顶。他们意识到了问题出在供应链上。如果其中一家安全薄弱的承包商被渗透,攻击者就可以趁机攻击供应链上游。”
凯捷北美公司的首席安全官兼网络战略主管乔•麦克曼(Joe McMann)说,国防部门已经在向软件供应商提出更多的要求。他表示,国防部门现在要求供应商必须符合网络成熟度模型认证(Cyber Maturity Model Certification)。
Deep Instinct网络安全公司的研究副总裁西蒙•奥伦(Shimon Oren)表示,数据中心管理人员还可以询问供应商是否拥有SOC-2认证;按照这种认证,外部审计员核查供应商是否已落实了足够的安全措施。另外还有一项专门针对软件开发的ISO标准。
他告诉媒体:“这两项认证都拥有的软件供应商通常更有可能总体上得到更好的保护,”但也不能保证绝对安全。“认证并不能使它们免遭攻击。”
SolarWinds收拾残局
SolarWinds保住业务可能为时已晚,但是它现正在实施专家建议、客户开始要求的一些安全做法。
即将上任的首席执行官苏达卡拉•马克里什纳(Sudhakar Ramakrishna)在一份声明中承诺,该公司正在加强安全控制,格外重视软件开发环境,在重置所有用户登录信息,并实施多因子身份验证机制。
SolarWinds还将添加更多的自动和手动检查机制,以确保编译好的代码版本与源代码匹配,加强漏洞管理计划,并使用第三方工具对其软件进行渗透测试,以分析源代码中的漏洞。
这些都是每一家软件供应商应该采取的所有措施,以免沦为下一个SolarWinds。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
