供应链是一个一直出现在我们身边的词语,只是更需要我们去感受。以最近人们热衷的开榴莲盲盒来说,从最初的榴莲种植、采摘、购买、入库、存储、分销、购买到配送给消费者的一系列过程就是供应链,这里的供应链是指传统的制造和供应某物的过程链。而今天我们要聊的主角是软件供应链。
什么是软件供应链?
软件供应链和传统供应链类似,但不是实物的供应,而是供应代码,是开发。它指的是软件制造商在软件开发、测试、部署、交付和维护的所有环节和过程,以及与这些过程相关的各种组织、人员、工具、技术和资源的一系列复杂过程。
软件供应链现状及攻击类型
近年来,随着国内软件供应链的迅速发展,开源占比逐年增多,在带来便利的同时,软件供应链安全风险也在不断加剧。国外安全厂商ReversingLabs发布的《软件供应链安全状况调查》中提到,2020-2022年针对软件供应链攻击呈指数级增长,“恶意篡改”、“后门植入”、和“供应链劫持”等攻击频发。而在之前Sonatype发布《2021年软件供应链状况报告》中数据显示,2021世界上软件供应链攻击增加了650%。
软件供应链涉及多个组织和多种技术,绝大部分开发者根本搞不清楚自己的软件供应链里都有谁,因此,软件供应链容易受到黑客攻击、恶意软件和其他威胁。对于软件供应链攻击而言,主要可分为恶意代码注入、依赖混淆攻击、升级劫持、源代码污染四种类型。
恶意代码注入
攻击者对开发者常用的系统或者代码开发编辑器进行攻击,在他们不知情的情况下对开发工具进行篡改并将恶意代码注入其包中。当开发者进行代码开发时,经过被污染过的开发工具编译出的测试程序,或部署到生产业务中的程序,都将被植入恶意代码。
依赖混淆攻击
依赖混淆攻击是开源生态系统中一种独特的设计缺陷,能够在攻击者端通过最小的努力甚至是自动化的方式发挥作用,它根本不需要受害者采取任何操作,受害者就会自动收到恶意软件包,然后恶意软件通过自动向下游分发,进入到相应公司的内部应用软件中。一名研究人员就利用该技术成功闯入了逾35家大公司的内部系统,这些大公司包括微软、苹果、PayPal、Shopify、网飞、Yelp、特斯拉和优步等。
升级劫持
软件产品在整个生命周期中几乎都要对自身进行更新,攻击者通过破坏中间软件升级功能或 CI/CD工具,并利用它在软件升级过程中给用户植入恶意代码。
源代码污染
软件产品如果在源代码级别就被攻击者植入恶意代码将难以被发现,并且这些恶意代码将在软件厂商的合法渠道下躲避对安全产品的检测,或许会长时间潜伏于用户设备中不被察觉。
软件供应链相关攻击事件
软件供应链攻击越来越受到公众的关注,因为它们可以对公司经济及其声誉造成严重损害。倘若企业没有做好应对供应链攻击的准备,那么就会置身于多方数据泄露的风险之中。
2022年AccessPress 供应链攻击
AccessPress 是一个流行的 WordPress 插件和插件主题开发商,在超过 360,000 个活跃网站中使用,在一次大规模软件供应链攻击中遭到破坏,该公司的软件被后门版本取代。后门使恶意攻击者可以完全访问使用恶意插件的网站。此次攻击总共破坏了 AccessPress Themes 网站上可用的 40 个主题和 53 个插件。
2021年Kaseya 供应链攻击
REvil 勒索软件团伙攻击了基于 Kaseya 云的 MSP platfor 软件供应商 Kaseya,在获得后端设施访问权限后,破坏了Kaseya VSA 基础设施,之后为 VSA 内部服务器推送恶意更新并在企业网络上部署勒索软件,从而感染其他第三方企业网络。并宣称约 60家 Kaseya 客户和 1500 家企业受到了勒索软件攻击的影响。
2020年SolarWinds SUNBURST 攻击
2020年12月13日,FireEye发布了关于SolarWinds供应链攻击的通告。通告中表明基础网络管理软件供应商SlarWinds Orion 软件更新包中被黑客植入后门,并将其命名为SUNBURST。黑客利用SolarWinds管理软件漏洞,攻陷了多个美国联邦机构及财富 500 强企业网络,SolarWinds 事件是一起影响范围广、潜伏时间长、隐蔽性强、高度复杂的攻击,波及全球多个国家和地区。
以上事件都从不同程度上印证了软件供应链攻击的破坏性之大,影响力之严重,而这也仅仅是软件供应链攻击中的冰山一角。因此,提前做好预防措施,加强软件供应链管理,是保障企业网络安全的必要条件,下一篇我们就来讲讲如何做好软件供应链管理。
887
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
