/朝聞通/2022年08月09日廣州消息——随着數字化的高速發展,各項關鍵信息基礎設施和重要應用對來自上遊的供應越來越依賴,網絡罪犯和黑客也已發現供應鍊裡充滿了可供利用的漏洞,供應鍊攻擊作為APT攻擊中常用的技術手段之一,往往比較容易被忽視、且難以檢測,持續時間更長。
什麼是供應鍊攻擊?
供應鍊攻擊是一種面向軟件開發人員和供應商的新興威脅。其攻擊對象為第三方軟件供應商、開發或測試平台、開源軟件等。目标是通過感染合法應用,利用供應鍊之間的相互連接和開放源代碼庫中包含的漏洞,接觸應用鍊中的所有客戶,攻擊客戶主機。其攻擊具備隐藏性和持久性,産生漣漪效應并具有巨大的破壞性。
軟件供應鍊
以NPM(NodeJS包管理和分發工具)供應鍊攻擊事件為例,介紹下典型供應鍊攻擊事件。
2021年12月,國外的安全研究人員發現了Java代碼的惡意NPM模塊,NPM 是JavaScript 運行時Node.js的默認程序包管理器,大多數web應用都使用了NPM組件。在NPM安全事件暴露時,這些惡意代碼已被大量下載,捆綁在NPM模塊中的惡意代碼在數量未知的應用程序和網頁中運行,收集了無數的用戶數據。截止2022年7月1日,供應鍊安全公司ReversingLabs對NPM跟蹤報告表明,雖然一些惡意代碼包已經從NPM模塊中删除了,但仍有部分NPM模塊存在惡意代碼,NPM模塊近幾月的總下載量已超過27萬次,破壞了數萬個下遊桌面應用和網站。
為什麼供應鍊攻擊難防範?
旦第三方組件存在了漏洞或被植入木馬,那麼依賴或關聯該組件的程序也會存在同樣的漏洞或感染病毒,第三方組件漏洞爆發後,客戶不知道是否安裝了含有漏洞的組件。
如log4j圖譜所示, Apache software、jackcore、log4j-core等組件均依賴和關聯log4j,客戶僅知曉使用了Apache等組件,不清楚是否安裝了log4j。
2.供應鍊漏洞具備隐秘性
供應鍊漏洞對軟件的影響是最直接、隐秘、長久的,其隐秘性使客戶很難及時發現這些已建立信任關系的漏洞,在集中爆發期前,客戶将長期遭受漏洞的利用攻擊的威脅,面臨非法登陸、數據洩露、勒索軟件等第三方供應鍊帶來的安全隐患。
Log4j2事件,Log4j2 漏洞是來自于開源組件的軟件供應鍊威脅,漏洞相關攻擊事件的目标分布廣泛且攻擊鍊極短,在該漏洞曝出時,已有大量使用log4j2開源組件的客戶遭受了勒索、挖礦、僵屍網絡等攻擊。
3.供應鍊威脅的影響力具備擴散性
上遊産品漏洞會影響下遊所有角色,引起安全風險的連鎖傳遞,導緻受攻擊面積的不斷擴大。
SolarWinds事件,黑客入侵了SolarWinds内網,在Orion源碼植入後門,SolarWinds客戶通過Orion更新服務器升級Orion為含有後門的新版本,黑客通過含有後門的Orion竊取客戶數據,導緻客戶的核心數據大量洩漏。
如何抵禦供應鍊攻擊?
針對上述攻擊特征,優炫軟件針對供應鍊攻擊提供安全、高效、專業的解決方案,利用技術和實踐來防止數據、應用和關鍵業務系統受到攻擊。
優炫操作系統安全增強系統(RS-CDPS)針對供應鍊攻擊方案可分為以下幾步。
第一步:安全資産梳理
采集并梳理主機内,細顆粒度安全資産及第三方組件,并按照應用、框架等進行分類,讓安全管理人員對于業務應用包含的第三方組件,清晰明了。支持風險組件關鍵字一鍵搜索,方便客戶快速定位風險組件及主機。
第二步:開源漏洞軟件持續監測
周期性掃描使用的軟件包及其依賴項,并将它們與易受攻擊的軟件包和版本的廣泛數據進行比較,以查看業務應用中是否存在任何已知漏洞。如果某個依賴項存在已知漏洞,尤其是被歸類為嚴重級别的漏洞,将及時告警并給出處理建議,讓安全管理員進行處理。
第三步:關鍵文件(數據)保護
支持設置關鍵文件或文件路徑,并動态授權進程或用戶,對文件目錄的讀寫權限,有效保護應用及核心數據的安全。即使短期内出現了供應鍊漏洞,也能夠有效降低,甚至杜絕漏洞帶來的危害。
第四步:進程動态授權
基于“零信任”原則,RS-CDPS對進程運行進行動态授權,最小限度允許必要的進程運行,防止惡意終止、修改運行進程行為,并有效防禦未知病毒的威脅。
第五步:東西向隔離
基于業務标簽化處理,以應用系統為核心,采集并通過可視化技術進行展示内網主機間訪問關系,通過最小允許原則制定策略,有效降低源自内部的攻擊橫向移動。