软件供应链仍然脆弱

下划线什么安全行家已警告了多年：软件供应链很复杂，脆弱的，有些看不见的和不充分的保护。

例如，在 2020 年 12 月 2 日，也就是政府宣布被黑客入侵的前 11 天，我们引用了消息来源警告称，软件供应链极易受到网络攻击，主要是因为供应链中的许多环节可能不可见或不为设计工程师所知。我们的消息来源称，在固件更新期间和之后，攻击尤其可能发生，这正是 SolarWinds 黑客攻击发生的方式：在更新被木马化以传送恶意软件的 Orion 软件期间。

软件供应链中的弱点是趋势科技一年前发布的报告“对智能制造系统的攻击”的主要发现（并在我们 12 月的报道中提到）。该报告分析了意大利工业 4.0 实验室模拟商品生产的安全性。

SolarWinds 黑客突显了所谓的外部供应链的漏洞和缺乏可见性 - 公司使用但在其他地方设计的东西。公司工作流程中的实施可能包括编写代码或至少修补已知漏洞。

镜像可以被称为内部代码——其他人称之为嵌入式组件、供应链——用于设计和开发产品的代码。在考虑用于保护这些设备及其软件的不同过程时，这是一个有用的区别。到目前为止，与正在开发的软件相比，第三方设备软件中潜伏的危险受到了更多的关注。

即使是相对孤立的智能制造系统，也可能包含由内部员工和外部顾问定制设计的工业物联网设备，包括包含第三方组件的定制设计软件。所有这些都会在通常复杂的供应链中造成薄弱的安全环节。（来源：趋势科技）

威胁有多严重？

非常糟糕，无论是在可能发生的事情、确定它是如何发生的、如何处理它以及防止它再次发生方面。

除了广为人知的黑客攻击之外，彻头彻尾的可怕供应链危害无处不在。例如，在 4 月份发现了一种僵尸式木马，它可以打开浏览器窗口，让其他恶意应用程序进入并发送文本以传播恶意软件，但即使在恢复出厂设置后也无法销毁。它是在手机制造商 Gigaset 的服务器的软件更新期间注入到Android 智能手机中的。该恶意软件只能通过复杂的程序卸载。

同样在 4 月，国家反情报和安全中心报告称，外国黑客越来越多地攻击联邦政府的供应商，破坏他们的产品以监视和窃取知识产权。

微软3 月份的一份报告发现，80% 的企业在过去两年中至少经历过一次固件攻击，但只有 30% 的企业预算用于固件保护。

今年早些时候，Nozomi Networks 的 OT/IoT 安全报告称软件供应链漏洞研究和利用是网络安全领域“最近几个月最重要的趋势”。对于外部供应链威胁，“这次攻击凸显了最终用户面临的风险，他们对网络中使用的软件或服务的代理权有限，但直接受到他们的攻击的影响。”

伊万·斯佩齐亚莱
Nozomi Networks Labs 的安全研究员 Ivan Speziale 告诉EE Times，软件组件可能相对不可见，因为代码是“通过一个接一个地堆叠组件直到您获得可交付成果来创建的” 。“这些组件中的每一个都可能由其他组件组成，所以一旦你得到这个可交付成果，就很难理解隐藏在所有这些层或组件下的东西。

“您必须尝试了解这些层是如何组成的，它们的内部是什么，谁负责它们，并且您必须为每项服务重复这个过程，”Speziale 补充道。

鉴于黑客利用漏洞的普遍性，详细分析尤为重要。2 月份发布的Verve 工业保护 ICS 咨询报告分析了ICS-CERT在 2020 年发布的 248 份安全咨询。工业控制系统 (ICS) 漏洞在 OEM 应用软件和嵌入式设备之间平均分布。其中约有 15% 影响了供应链。

在与供应链相关的建议中，报告称：“这是对具有隐藏漏洞的传统设备的潜在威胁。现实情况是，这些底层组件——与 CodeMeter 或 InstallShield 相关的漏洞——存在于许多设备中，其影响甚至无法通过下载次数、受影响的资产所有者或任何有用的指标来衡量。”

此外，根据该研究，并非所有供应商都报告漏洞，托管在 GitHub 或 FOSS 等公共存储库上的项目中的漏洞可能根本不会被报告。大部分 ICS 设备由旧机器组成，运行可能不再更新的旧组件。

所有这些使得检测组织 ICS 设备中的供应链漏洞变得非常困难。

据Bleeping Computer称，在 Verve Industrial 报告浮出水面一个月后，黑客攻击了 GitHub 上的官方 PHP 存储库，为 PHP 源代码添加了远程代码执行后门。尽管这些变化被及时发现并恢复，“考虑到 PHP 仍然是服务器端编程语言，为互联网上超过 79% 的网站提供支持，这一事件令人震惊，”文章说。

Speziale 表示，“许多组织都知道他们拥有 SolarWinds 的软件，但不知道它进入他们的网络有多远，它的使用有多特权，或者它对攻击者有多大用处。”

行业、政府回应

针对最近的黑客攻击，白宫于 5 月 12 日敲定了一项行政命令。它仅涵盖联邦机构。尽管如此，有人说该命令的影响将波及整个行业，因为正如我们所讨论的，联邦机构是技术产品和服务的巨大买家。

该命令要求改进联邦机构的网络安全实践，以及与软件供应商开展业务的方式。步骤包括：在网络和基础设施中使用多因素授权、云计算和零信任原则；强制性违规报告；要求供应商在采购过程中提供软件物料清单 (SBOM)；并建立一个网络安全安全审查委员会来分析主要的黑客行为并推荐攻击后的行动。

另外，美国国土安全部采取措施改善供应链安全。上个月在 RSA 大会 2021上宣布，国土安全部的网络安全和基础设施安全局 (CISA) 提出了一项计划，用于修复关键基础设施设备中“最严重”供应商的固件漏洞。

行动包括要求供应商提供 SBOM，并要求供应商提供软件组件的意图，并披露软件中包含的漏洞缓解技术（如果有）。还包括：开发用于验证供应商代码声明的规范；开发公共风险评分系统；并促进鼓励减少购买不合格产品的政策。

据SC 杂志报道，CISA 的副主任 Boyden Rohner 和方法学分支负责人 Thomas Ruoff 表示，他们希望将这些控制与行政命令中的控制结合起来。

Rohner 和 Ruoff 表示，CISA 将通过与利益相关者的讨论开始确定关键基础设施领域的固件风险。最初对固件漏洞的关注可能会集中在“专用的、独立的产品”上，例如可编程逻辑控制器 (PLC)。

其他联邦行动包括众议院军事委员会成立一个工作组，以调查国防供应链中的漏洞等问题。

工业界也没有忽视这个问题。例如，在 3 月份，Linux 基金会和几个合作伙伴创建了一个免费的加密软件签名服务Sigstore，以提高开源程序的安全性。

4 月，针对软件可靠性、安全性、性能效率和可维护性的自动化源代码质量措施成为 ISO 标准：ISO/IEC 5055:2021。这些措施最初是由信息和软件质量联盟的发起人制定的。

Speziale 说：“没有单一的解决方案可以消除软件供应链问题。这是一个过程。当我们使用第三方服务和软件时，我们承担了一定的风险。”

降低风险的另一个重要因素是第三方服务和软件的部署方式。“例如，网络中的 PLC 只需要访问该网络的一个网段，因此我们应该只将其连接到该网段，”他说。

“它不应该与位于其他地方的工作站交谈。”

克里斯格罗夫
Nozomi Networks 的技术布道者 Chris Grove 将这个主题放在了一个更大的角度。“SolarWinds 不仅仅是供应链攻击变得更加普遍——这是攻击者在这种特殊情况下利用的机会，”他说。

“这更多地与对手的行为以及他们愿意对我们过去没有看到的方法更具侵略性有关。一旦攻击路径被发现，就会有二次攻击者利用这个机会——其他攻击者现在看到供应链攻击是可能的。”
相关实战：https://www.99qibang.cn/information/116fbbed00dd4820943ce328304acaf8.html
https://www.99qibang.cn/information/2aec9d017b4146de9db1a26a61433f94.html
https://www.99qibang.cn/information/2f28228493ca48659d9e53228ea9fc74.html
https://www.99qibang.cn/information/47cb0839e6584442847cefa2a1c65933.html