目录
一、什么是软件供应链安全
在今天,企业软件项目越来越依赖于第三方和开源组件。这些组件由不受雇于开发主要软件的组织的个人创建和维护,他们不一定使用与组织相同的安全策略。这将会带来潜在的安全风险,因为这些策略之间的差异或不一致可能会导致一些危险的漏洞被忽视。
第三方软件组件要么直接来自供应商,要么来自集中的注册中心和存储库。这些供应商和存储库构成了现代软件供应链。攻击者可以以多种方法危害软件供应链的安全,例如:
- 利用第三方组件中的bug或漏洞
- 破坏第三方的开发环境并注入恶意软件
- 创建恶意的假组件
供应链安全旨在防止、检测和减轻这些威胁以及源自组织第三方组件的任何其他威胁。
二、什么是软件供应链攻击
根据NIST(美国国家标准与技术研究所)的说法,“当网络威胁行为者渗透到软件供应商的网络中,并在供应商将软件发送给客户之前使用恶意代码来攻击软件时,软件供应链攻击就会发生,受损的软件继而会损害客户的数据或系统。这种类型的攻击会影响到所有受损软件的用户,并可能对政府、关键基础设施和私营部门软件客户产生巨大的影响。”
通常,攻击者会发现供应链中的一个薄弱环节,并利用它向供应链上游移动。他们利用受信任的关系攻破使用受害者组件、产品或服务的组织。这可以允许攻击者通过一个成功的漏洞攻破大量安全良好的组织。
软件供应链攻击将重点从组织的内部防御转移到其供应商的防御上。如果防御良好的组织使用安全标准薄弱的供应商,攻击者将集中攻击该厂商。一旦他们破坏了供应商的网络或开发过程,他们就可以利用这个立足点来渗透客户的系统。例如:
-
MSP袭击
一种特殊类型的供应链攻击目标是MSP(托管服务提供商)。组织经常外包一些环节给MSP,甚至包括一些敏感的环节,例如网络和系统管理。通过破坏MSP,攻击者可以立即进入其所有客户的公司网络。这种类型的攻击近年来迅猛增长,被用于策划勒索软件攻击、销售点入侵和商业电子邮件妥协骗局。2021年的一份报告统计,针对单个MSP或MSSP(托管安全服务提供商)的网络攻击可能会给数百家企业造成高达800亿美元的经济损失。
-
恶意软件的使用
虽然MSP攻击利用特权访问,但其他供应链攻击会危及供应商的系统和植入恶意软件,然后将其传输给供应商客户。这就是在SolarWinds事件中使用的攻击方法。攻击者在一个看似无害的软件更新中植入恶意软件,这个更新由SolarWinds签名并分发给其客户,最终导致包括思科、SAP、inter等大型跨国公司受到了冲击。