■ 腾讯安全平台部第一负责人 安全学院副院长 杨勇
20世纪末,海湾战争打响。结果,这场美军压倒性胜利的空袭,在历史上被广泛认为是伊拉克丧失制空权的开端,也是致使伊拉克在战争中迅速走向衰败的关键一击。不过,关于这场战争的内幕一直有这样的传闻——在海湾战争爆发前,伊拉克向法国购入一批用于防空系统的打印机,准备从约旦运回巴格达。美军获悉后,立即派遣间谍潜入约旦,将带有病毒的芯片换装到这批打印机中。利用带有病毒芯片打印机,美军情报部门入侵了伊拉克军事指挥中心的主机,导致对方防空系统陷入瘫痪,这才是美军得以在空袭中如入无人之境的真正原因。铜墙铁壁般的立体式军事防御体系,被一击“破阵”。虽然传闻的真实性难以考证,但是,一块小小的芯片,却让一个国家蒙受了一场战争的屈辱。这种在打印机里埋下前置陷阱的战术,就是“供应链攻击”。
一、供应链攻击:国家博弈的战略型武器
赛博世界崇尚暴力对抗,从来不乏硬碰硬的过招、角力、械斗。传统型攻击大多如此,但是,供应链攻击,则另辟蹊径,避开正面强攻,以“渠道”制胜。本质上,供应链攻击是对目标进行“迂回”式攻击,复用已有的、正常的、多样的开发、交付或使用渠道进行打击,兵不血刃,足以致命。这也是为什么,近十年来,供应链攻击被作为一种战略型武器,在国家级战略博弈的战场上越来越常见。
2010年5月,“震网”(Stuxnet)病毒在全球以猝不及防的速度爆发,在伊朗,大面积感染并最终破坏了伊朗纳坦兹的核设施,导致伊朗的核计划推迟数年之久。但是,关注背后原因的人不多。事实上,早在2009年6月到2010年5月,围绕伊朗核设施的数家工控系统供应商、离心机制造商、零部件供应商,已陆续被国家力量攻破并植入Stuxnet,最终将病毒引入目标核设施。
2013年6月,“棱镜门”事件曝光,全球哗然。据披露,美国之所以能够实现全球范围的监听计划,得益于以思科为代表的“美国八大金刚”,即思科、IBM、谷歌、高通、英特尔、苹果、甲骨文和微软,在全球软硬件供应链中的广泛渗透。思科参与了中国几乎所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设。一旦中美关系交恶,甚至战争爆发,美国政府极有可能利用思科在全球部署的产品,发动网络战争,对敌国实施致命打击。
供应链攻击的共性,是产业链上游被污染,大量下游厂商的产品或服务作为上游组件的封装,基于海量攻击目标对知名产品或服务的潜在信任,难以彻底断根筛查,召回或升级这些产品经济成本巨大,而且周期漫长。换句话说,供应链攻击的特殊性在于,更聚焦在破坏的投放效率和投送破坏能力的生存性,而非仅仅聚焦在破坏力。如同战略核潜艇,可怕之处在于不仅仅可以发射核弹,更在于可以将毁灭性的力量投放到世界的各个角落,并且自身有强大的生存能力,可以持续投放摧毁性力量。
据斯诺登公布的文件显示,2015年,全球最大的SIM卡制造商金雅拓公司(Gemalto)就曾遭到美国国家安全局(NSA)和英国情报组织的联合攻击,攻击者直接针对的是SIM加密密钥——Ki码。金雅拓公司每年生产20亿枚SIM卡,在全球范围为美国电话电报公司、威瑞森通讯、斯普林特公司在内的450家无线网络供应商提供服务。这些散落在全球用户手中的SIM卡,恐怕难有一张能保证绝对“清白”。
2017年3月,维基解密曝光了美国中央情报局(CIA)的武器库Vault7,其中,引发全球消费者恐慌的莫过于“暗物质”——入侵苹果Mac和iOS设备的技术与工具。可以推测,CIA早在2008年起便已着手构建iPhone固件后门植入能力,并通过物流渠道劫持在全新的iPhone手机中刷入固件,让人“细思极恐”。
2018年3月,思科发布了智能安装客户端远程代码执行漏洞(CVE-2018-0171)预警,全球受影响的设备高达850万。4月7日,一个名为“JHT”的黑客组织利用该漏洞对俄罗斯和伊朗两国的网络基础设施大肆攻击,进而波及两国的众多互联网服务提供商及数据中心。黑客组织声称,已经扫描过并发现大量国家受影响的设备,包括美国,加拿大和英国,但是,他们只攻击了俄罗斯和伊朗,并表示他们厌倦了政府支持黑客对美国和其他国家的攻击。4月8日,同样的攻击手法波及中国,多个互联网数据中心及组织机构遭到攻击,交换机配置信息被清空,瘫痪导致业务网络不可用。
在军事领域,战略导弹作为精准打击敌方要害的后手武器,能对敌方战区纵深战略目标实施攻击,通常用以摧毁敌方战略目标,例如重要交通枢纽、军事和工业基地、政治经济中心、核武器设施等,具有大面积牵制和摧毁敌方的作用。
而今,网络战争在国际战场上是一把看不见的利剑。高级的供应链攻击如同战略型导弹,极有可能造成摧城拔寨般的伤害。无论是海湾战争中的打印机芯片,还是“震网病毒”和“暗物质”,从关键基础设施的污染到全网/全球规模化的病变,其威力绝不亚于一枚战略导弹所带来的杀伤力。
二、国内外供应链攻击的防御思路
综上案例可见,供应链攻击具有隐秘性高、投放扩散效率高、攻击面更广阔更立体等特征,且攻击点愈往上游,影响量级就愈大。因此,近年来,围绕供应链攻击的防御和应对,逐渐成为安全领域的重要研究方向。在这方面,各国政府、国内外互联网厂商和安全机构做了很多努力和大量的实践。
(一)各国政府投入大量精力应对供应链安全
在不断强化供应链安全对于国家战略重要性的同时,各国政府机构也先后在多项相关政策法规中提出要求。
2011年11月,为提供与供应链风险管理和安全相关的直接支持,支持与国际同行之间的国际协议,欧盟委员会和美国国土安全局共同发表了关于供应链安全问题联合声明(Joint Statement on Supply-chain Security)。
2012年4月,美国国防部高级研究计划局(DARPA)在商用IT软件和系统固件审查项目(Vetting Commodity IT Software and Firmware)中,对商用IT产品和IT设备的软件进行审核。
2015年4月,美国国家标准与技术研究院(NIST)正式发布软件供应链制定规范NIST.SP800-161(Supply Chain Risk Management Practice for Federal Information Systems and Organizations),帮助组织机构管理软件供应链风险,建立适当的政策和流程控制。NIST的标准系列文件,目前已成为美国和国际安全界广泛认可的事实标准和权威指南。
2016年10月,英国国家互联网应急中心(CERT-UK)发布供应链网络安全风险白皮书,其中,介绍了各类软件供应链的风险案例和规避建议。2018年1月,英国国家网络安全中心(NCSC)发布供应链安全专题和指导文件,其中包括12条安全原则,供应链攻击示例和安全性评估方法以及管理实践。该指南旨在帮助网络、物理和人员安全建立对供应链的有效控制和监督。
近两年来,随着管理措施的陆续落地和管理范围的扩大,美国的供应链安全防御体系不断加强。2018年1月,美国参议院和众议院18位议员致函美国联邦通讯委员会(FCC),督促其就通信网络和供应链完整性免受安全威胁采取实质行动。
2018年4月,FCC发布关于保护通信供应链免受国家安全威胁的新规。FCC负责监督约85亿美元的通用服务基金(USF),新规“禁止使用USF的资金采购对美国通信网络或通信供应链构成国家安全威胁的设备或服务”,以此致力于解决网络供应链安全问题。
(二)Google等国际厂商缩小被攻击面抵御入侵
Google等国外互联网大厂商的作战思路,与日本抗震的思路不谋而合。作为地震频发的国家,日本在很多年前的研究重点就不再是预测地震,而是转向抗震体系和地震演练等方面,扩大投入和建设,做好地震必发的准备,收到很好的效果。
同样,Google在应对供应链攻击上,减少关注“可能性”,更多地关注“结果本身”,即把主要精力放在“做好自己”上,尽可能地缩小自己的攻击面。Google从基础设施的安全开始,自下向上,逐层涵盖到硬件、软件、操作规范等方面。
第一,投入大量的资源寻找所使用开源软件的0day漏洞,将开源软件和自研软件同等对待,实施安全开发流程(SDL)的安全审计。从公开数据看,Google也是提交CVE漏洞最多、Linux KVM 安全补丁最多的厂商。
第二,严格审控自有互联网数据中心的物理安全,包括生物识别、金属检测、摄像头、路障、激光入侵检测,同时,Google也要求使用的第三方互联网数据中心的物理安全措施对其完全可控。
第三,投入大量资金监控用于操作基础设施的客户端设备,以确保操作系统及时更新到安全的补丁包,限制允许安装的软件。
第四,严格限制并严密监控那些被赋予基础设施管理员权限的员工。持续评估一些特殊任务所需要的最小权限,鼓励自动化的安全可控的方式来完成工作。
第五,在硬件安全上,所有的服务器主板、网络设备都自行设计。Google谨慎地选择每一个组件的供应商,精心挑选组件,并且和供应商一起审计、确认该组件所提供的安全属性是符合要求的。此外,Google还自行设计芯片,包括一个硬件的安全芯片,这种芯片被部署在服务器以及外围设备上,用于在硬件层面识别合法的Google自有设备。
此外,Google 还与IBM、黑鸭软件(Black Duck)、杰蛙科技(JFrog)、红帽(Red Hat)等7家技术公司在2017年合作推出了一个名为Grafeas的开源计划,一个旨在为企业定义统一的方式审计和管理其软件供应链的开源项目。Grafeas能够存储、查询和检索所有类型软件组件的重要元数据,帮助企业构建规模尺度上的安全和管理的综合模型。
通过一系列措施,Google在应对供应链攻击的战场上,塑造了“以我为主”的战区环境,掌握网络空间战场上的主动权。
(三)国内互联网厂商斩断攻击路径
相对国外互联网巨头的防御思路,国内互联网厂商的普遍做法则更重视“检”和“防”,防御思路更偏向于尝试斩断攻击路径。
国内很多互联网企业和安全厂商都在持续建设检测和响应制度,建立资产管理及持续监控能力,对供应链各个环节的基础资产盘点,如设备、移动APP、服务端软件指纹识别和快速应急响应。安全团队也尽量多地对各个维度的行为和数据进行记录,对海量数据进行存储、分析、挖掘和关联,利用AI分析和深度识别网络通信等维度的异常行为。现在,一些国内厂商也开始对部分第三方开源组件的未知漏洞建立沙箱动态分析能力,如Python第三方恶意模块。
从整体上看,中国对于底层硬件和基础软件安全的研究起步较晚,防御重心向产业链下游生态下沉。不过,近些年来,国内有些企业也陆续开始对部分硬件和软件基础设施实现自研,如linux内核定制、自研存储方案、自研办公通讯软件等。
综合国内国外的防御思路,虽然战略重点不同,但都离不开“攻、检、防”三大块。简单说,就是降低对开源或广泛分发软件的脆弱渠道依赖,加强链条自主可控,提升威胁感知能力,缩短响应供应链事件的时间。
三、思考和探讨
20世纪末的海湾战争,被广泛视为现代智能战争大规模引入的开端。之后的数十年间,在战争双方的此消彼长间,一场场从各个节点延展开来的偷袭、械斗、轰炸轮番上演。有人哀嚎,有人伤亡,有人深陷其中却无力抵挡。从军事领域到网络空间,关于供应链攻击的防御战略,以下两点思考,望与大家共同探讨。
第一,防御理论需要升维。通过封锁、隔离等传统手段来应对供应链攻击是当今的主流防御思想之一,但是,在万物互联互通的今天,安全没有孤岛。单一的、精简型的企业会逐渐被连接一切的数字生态系统所覆盖。在这个成紧密网状的生态系统下,纯粹隔离性的手段,在未来攻防之间的较量中,必定会被逐渐淘汰。
第二,防御资源需要升级。在当今军事战场上,对付洲际弹道导弹唯一有效的防御策略是“以导弹打导弹”——发射一枚同等量级的拦截导弹来进行阻拦,这无疑需要重量级的防御资源。同样,面对具备战略级杀伤力的供应链攻击,防守单元不能是单一组织,而需要上升到国家、社会层面,加大投入,全面升级防御资源。
在未来网络空间的攻防战场上,竞争对手极有可能将供应链攻击作为一种战略性武器掌握更多主动权。只有做好对于攻击的提前研究和全局思考,以及基于“攻、检、防三位一体”的防御体系的主动建设,才能使我们在风谲云诡的信息战场上始终立于有利境地。
(本文刊登于《中国信息安全》杂志2018年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。