聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
今年7月,旨在提升欧洲整体网络安全水平的欧盟网络安全局 (ENISA) 发布了《供应链攻击威胁全景图》报告,分九个部分全面介绍了供应链相关情况,如下:
1、引言
2、什么是供应链攻击?
3、供应链攻击的生命周期
4、典型的供应链攻击
5、供应链事件分析
6、并非所有攻击都叫供应链攻击
7、建议
8、结论
附录A:供应链攻击总结
要点概览
多年来,虽然供应链攻击一直都是安全关注点,但似乎从2020年年初开始出现了更多更加有组织的攻击。可能是由于组织机构部署了更健壮的安全防护措施,攻击者们成功地将目标转向供应商。他们设法在系统宕机、金钱损失和名誉损失等方面产生巨大影响。供应链的重要性在于,成功的攻击可影响大量使用受影响供应商的客户。因此,单次攻击的递级效应可能会造成广泛传播的影响。
本报告旨在描绘并研究从2020年1月至2021年7月初发现的供应链攻击活动。基于观察到的趋势和模式可知,2020年供应链攻击的数量和复杂度都在增加而且这一趋势在2021年仍然继续,给组织机构带来的风险也越来越大。预计2021年发生的供应链攻击数量将是2020年的四倍。其中一半的攻击由APT组织发动,复杂度和资源大大超过更加常见的非定向攻击,因此供应商需要采取更多保护性方法来保证组织机构的安全性。
本报告展示的是供应链攻击的威胁局势,得到了 Ad-Hoc 网络威胁局势工作组的支持。
本报告的要点如下:
通过分类系统对供应链攻击进行分类,以系统化方式更好地进行分析,并说明了各类攻击的展现方式。
本报告研究了2020年1月至2021年7月初所报道的24起供应链攻击。
安全社区认为,约50%的攻击由为人熟知的APT组织发动。
约42%的攻击并未归咎于任何特定组织。
约62%的针对客户的攻击利用的是客户对供应商的信任。
在62%的攻击中,恶意软件是所使用的攻击技术。
在目标资产方面,在66%的安全事件中攻击者通过供应商代码进一步攻陷目标客户。
约58%的供应链攻击旨在获得数据(主要是客户数据,包括个人数据和知识财产)的访问权限,约16%的攻击为了访问人员。
虽然并非所有的攻击都应被视作供应链攻击,但从这些攻击的性质来看,其中很多都是未来发动供应链攻击的潜在向量。
组织机构更新网络安全方法时应将供应链攻击铭记在心,并将供应商纳入防护和安全验证机制中。
1、 引言
多年来,虽然供应链攻击一直都是安全关注点,但似乎从2020年年初开始出现了更多更加有组织的攻击。可能是由于组织机构部署了更健壮的安全防护措施,攻击者们成功地将目标转向供应商。他们设法在系统宕机、金钱损失和名誉损失等方面产生巨大影响。本报告旨在描绘并研究从2020年1月至2021年7月初发现的供应链攻击活动。
供应链攻击所产生的破坏性和涟漪效应可从 SolarWinds 攻击事件一窥全貌。SolarWinds 攻击被视作几年来规模最大的供应链攻击,尤其是从受影响实体中包括政府组织机构和大型企业来看更是如此。此事件获得大量媒体关注,并引发全球范围内的政策措施。更近期的是2021年7月发生的 Kaseya 攻击事件,它表明并且引发人们对影响管理服务提供商的供应链攻击的进一步密切关注。遗憾的是,这两个案例并非孤立事件,供应链攻击的数量在去年稳步增长。这一趋势进一步说明政策制定者和安全社区需要应用并引入新的防护措施,解决未来可能发生的供应链攻击并缓解它们的影响。
通过仔细调查和分析,本报告基于在2020年1月至2021年7月初发现的事件,说明了其中的供应链攻击活动。每起事件都划分为关键元素如攻击技术和受攻击者影响的供应商和客户的资产。供应链攻击的分类系统将有助于对攻击进行分类,同时可能成为分析此类攻击并提出专门安全控制作为缓解措施的更加结构化的方法。分类系统还有助于以共同基础划分、对比和讨论这些攻击。本报告中还探讨了所提议分类系统和其它为人熟知的框架之间的相似之处。
本报告还分析了供应链攻击的生命周期和APT攻击的生命周期的相似之处。附录中总结了自2020年以来案发生的最引人注目的供应链安全事件,这些事件均按照上述分类系统进行分解。
本报告的核心在于,分析所有报道的供应链事件,找到它们的关键特征和技术。这些分析要回答的问题是:供应链攻击中最常见的攻击技术是什么?攻击者想要获取的主要客户资产是什么?以及攻击和目标资产之间的关系是什么?
随着供应链攻击引发的关注越来越多,很多相关安全事件也被指和供应链相关,即这些事件也被视作供应链攻击。因此,我们谈到了供应链攻击的组成要件以及为何说很多攻击实际上并非供应链攻击,并辅以案例说明。了解供应链攻击的威胁局势很重要,因为对安全事件的不当划分可能会导致趋势分析和结论有误。
本报告还为政策制定者和组织机构尤其是供应商提供了一些建议,以期在对抗供应链攻击时增强整体安全态势。
本报告的结构如下:
第1章简要介绍了供应链主题以及ENISA威胁局势。
第2章讨论了供应链攻击的组成部分,并引入结构化分类系统,划分可能和已有网络威胁情报框架有关的相关事件。
第3章概述了一般供应链攻击的生命周期。
第4章详述了在2020年后期和2021年年初发生的重大供应链攻击活动。
第5章提供了相关事件的时间线并全面分析了这些事件。
第6章解决了将事件错误地划分为供应链攻击的问题。
第7章介绍了改进供应链安全并缓解供应链攻击影响的高层次和技术建议。
附录A 总结了本报告发现并分析的24起供应链事件。
2、 什么是供应链攻击?
供应链是指创建和交付最终解决方案或产品时所牵涉的流程、人员、组织机构和发行人。在网络安全领域,供应链涉及大量资源(硬件和软件)、存储(云或本地)、发行机制(web应用程序、在线商店)和管理软件。
供应链中的四个关键元素是:
供应商:即向另一个实体供应产品或服务的实体。
供应商资产:即供应商用于生产产品或服务的有价值元素。
客户:即消费由供应商生产的产品或服务的实体。
客户资产:即目标拥有的有价值元素。
实体可以是个体、由个体组成的组织或组织机构。资产可以是人、软件、文档、金融、硬件等。
供应链攻击是至少两起攻击的结合。第一种攻击是针对供应商的且后续被用于攻击目标以访问资产。该目标可以是最终客户或另外的供应商。因此,归为供应链攻击的,供应商和客户都必须是目标。
2.1 供应链攻击的分类系统
本报告提出一种分析系统对供应链攻击进行分类并将后续分析结构化。该分类系统考虑到供应的所有四个关键元素以及攻击者所使用的技术。该分析系统有助于组织机构了解供应链攻击的多个组成部分,并与其它相似攻击进行对比,而且更重要的是找到安全事件中的供应链攻击。
该分类系统应该被用作指南模板,新型的潜在供应链攻击发生后,安全社区可能尝试通过识别并描绘每个分类系统元素进行分析。如果客户未遭攻击或者供应商未受攻击,那么这种攻击很可能就不是供应链攻击。
如表1所示的分类系统,一部分为供应商设置,一部分为客户设置。对于供应商而言,第一部分是“用于攻陷供应商的攻击技术”,它说明的是供应商如何遭攻击;供应商的第二部分是“供应链攻击的供应商资产”,说明的是针对供应商的攻击目标是什么。
对于客户而言,第一部分是“用于攻陷客户的攻击技术”,说明的是客户如何遭攻击。第二部分是“供应链攻击的客户资产”,说明的是针对客户的攻击目标是什么。
对于分类系统中的这四个不同元素,我们定义了可更好地描述供应链攻击的元素。通过筛选相应元素,就可能更好地了解已知和未知的攻击情况。该分类系统在概念上不同于 MITRE ATT&CK 知识库,且它的目标并非取代而是补充后者。在某些情况下,分类系统中定义的攻击技术和MITRE ATT&CK 框架中定义的技术相关,这种情况下用方括号的形式进行了标记,如[T1189]。如下部分说明了分类系统的四个组成部分以及如何识别其元素。
表1:供应链攻击的分类系统。它由四部分组成:(1)对供应商使用的攻击技术;(2)遭攻击的供应商资产;(3)对客户使用的攻击技术;(4)遭攻击的客户资产。
欧盟网络安全事件分类系统用于在欧盟层面的事件响应协作活动和信息共享。由于该分类系统在概念上和MITRE ATT&CK有所不同且无法详细分析供应链事件,因此我们建议以相互补充的方式使用这两种分类系统。
2.2 用于攻陷供应链的攻击技术
攻击技术指的是攻击“如何”发生,而不是用“什么“发动了攻击。例如,这个类别区分是否通过在网上找到的密码 (OSINT) 攻击供应商或者密码是否是暴力获取(暴力攻击)。然而,和该分类系统无关的是,从网上找到的密码是否是被泄露的、默认的密码、还是在黑市售卖的密码。如下的攻击技术类别涵盖了本报告中所分析的供应链攻击中最常使用的攻击技术。显然,任何攻击中都可能会用到不止一种攻击技术,而且在多个案例中,实体可能并不具备攻击者如何获得对基础设施访问权限的知识,或者说这种信息并未公布或被适时报道。
表2 用于攻陷供应链中供应商的攻击技术。每种技术说明了攻击如何发生而非遭攻击的是什么。同一种攻击中可能使用了多种攻击技术。
2.3 供应链攻击针对的供应商资产
遭攻击的供应商资产指的是针对供应商的攻击目标是“什么”,便于发动后续攻击。一项或多项目标资产通常和最终目标之间存在直接关系,而且通常通过分析受影响资产清单就很有可能了解攻击者的最终意图。在某些情况下,由于缺少由供应商披露或报道的信息,因此不可能获知目标资产信息。另外,当供应商不具备识别受陷资产的知识或专业时也可能发生这种情况。
表3:遭攻击的供应商资产。每个元素识别供应商遭攻击的是“什么“。同一起攻击可能使用影响多项资产的多种攻击技术。
推荐阅读
开源软件 Nagios 曝11个漏洞,可使IT 基础设施遭接管引发供应链攻击
Apache OpenOffice 漏洞使数千万用户易受代码执行攻击
美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全
原文链接
https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~