防范新思维要转变!更新下载服务器滥用愈加严重

关于华硕的软件更新服务器遭骇,这样的问题是否有前例?事实上,这种更新机制遭***利用已经不是头一遭。例如,2013年南韩防病毒软件业AhnLab遭APT***一事,就是***透过更新服务器这样的正常管道,让企业使用的资安工具变成派毒工具。不过当时的***更为直接,***对企业派送恶意软件造成短时间内多间韩国银行与电视台遇害,导致使用该防毒的企业计算机与ATM受害,更影响了正常的金融交易运作,这也使得该国政府启动国家危机管控机制。在,过去也有安装下载服务器遭***的案例,例如2014年底,游戏代理商Garena的游戏安装档遭到感染,该公司在网站上发出信息安全公告,同时公司高层也透过公开声明向玩家致歉,表达对此骇侵事件的重视与负责。从上述两起关于更新、下载服务器的受骇事件来看,早有前例可循,但类似状况并未因此终止。
防范新思维要转变!更新下载服务器滥用愈加严重
在接下来几年,又相继传出各种形式的******,不是直接从攻破企业防护,而是透过供货商的更新、部署,甚至是开发过程下手,进而威胁到使用这些应用或服务的企业,令人防不胜防。举例来说,2015年的苹果XcodeGhost事件,***更是从App开发的环境下手,仿冒一个植入恶意代码的山寨版,并散布到中国云端空间与论坛,让使用的开发者,打造出的App都具有恶意软件,而这一事件也点出一个现象,那就是许多中国开发者在下载苹果开发工具时,竟是选择非官方来源的载点。

不仅如此,***的下手面向与锁定对象,都有很大不同与可能性。像是2017年***利用在乌克兰知名的会计软件,被用来散布勒索软件NotPetya,不少资安业者更是认为,这是以瘫痪系统为目标的国家级***行动,与前述南韩防病毒软件事件相同的是,******目标有相当明确的区域性。此外,在2017年还有像是知名网管工具Xshell 5、系统清理工具CCleaner,这类全球都有不少企业用户的软件,也都曾经发现被***、假冒,而成为***散播恶意软件的管道,带来广大的影响,这也与此次华硕事件相同,受害的用户遍及各地。

甚至,还有些是锁定产业上下游的事件,例如***从PC业者的合作伙伴下手,像是有研究人员揭露HP计算机的音效芯片驱动程序,内藏键盘侧录程序。此外,也有***假冒某PDF编辑软件业者合作伙伴的服务器,并透过特别的挟持手段,让用户安装PDF软件时原本要从合作伙伴下载MSI格式的字体包,变成连至***服务器,用户计算机因而被递送挖矿程序。上述这些仅仅是部分案例而已,然而我们已经不难看出利用供应链的***形式与范围之广,而且又难以察觉。在华硕的这次事件后,也再次让整体产业,都更关注到更新服务器与凭证的安全问题,更要提醒的是,尽管业者本身财物损失并不严重,但无形的商誉却造成极大的破坏。

而最关键的问题是,一旦更新服务器与程序代码签名证书受骇,等于***就能藉由这样的合法管道散布恶意威胁,不论是产品开发的公司或是产品用户,该如何继续信任这些产品的安全性?对此,面对用户软件服务更新有庞大需求的微软,他们的信息安全暨风险管理协理林宏嘉也提出他们的观察。他强调这是一种***逻辑的转变,业者过去在意的是本身有没有东西被偷,做好自身的防护,但现在也应该要转变思维,或许业者本身不是价值目标物,但是***可以透过他们去掳获到很多有价值的目标,因此,本身的防御也要跟上。

林宏嘉并表示,从犯罪的经济体系来看,过去APT***只是锁定单一目标采各种针对性***手法。现在***更在意的是经济规模,而从这些软件业者下手,可一次获取到众多的受害者,再来看谁适合成为目标,或者是先知道某群用户使用的工具,然后搞清楚其产业炼结构,再从周边找出容易攻破的点。无论如何,未来这样的网络威胁还可能会变得更泛滥。在今年初,我们也持续看到许多资安业者发布的2019网络安全预测,都在提醒供应链***将是现在的主流。对于软件开发商或自行开发应用程序的企业团队而言,近年不断在提倡安全软件开发,但软件部署与交付,以及后续软件升级与维护的安全,也都不能像过去一样轻忽。

当软件更新服务器遭骇,使用这些软件的企业与用户该如何处置?
一般而言,更新服务的作用不外乎是功能增加强化与漏洞的修补,企业在考虑升级稳定性之余,通常都是信任这样的更新机制,而这样的管道一旦被***,不论系统、PC与软件业者的更新服务,其实都将带来同样严重程度的风险,但涉及系统与底层的威胁层面,还是最令人忧心。在华硕这次传出软件更新服务器遭***,让用户可能更新了具后门的华硕Live Update版本,事后用户该如何因应?原则上,就是依照原厂提供的安全公告,将Live Update更新至最新且安全的版本,用户事后能够做的事情相当有限。另外,官方还建议若是确认自己受到影响,应备份重要数据并还原操作系统,同时定期更换密码以保障用户安全。但对于企业用户而言,若是这种威胁事件不断增加的情形下,是否对于这些更新机制也应抱持着零信任的态度?因为这类***已经暴露了软件更新机制的风险,尽管软件供应链本身需要负相当大的责任,但用户也可以进一步思考的是,若是不小心发生这样的问题,该如何降低风险?

例如,现有的防护机制是否能查出这样的风险,是否要增强端点上的侦测与响应机制,或是做出更高要求的管控,以避免未经授权的程序执行。同时,企业要对自己本身的目标掌握度也要够好,也就是要清楚知道一套软件安装在多少台电脑上,内部总共安装多少软件及其更新状态,即便问题发生也能快速清查影响范围。而对于企业在内部近端架设的软件更新主机,是否也应增设检查的关卡,来减少威胁的发生,无论如何,在软件供应链***的威胁之下,除了供货商要保障本身服务的安全,但用户与企业本身是否也该采取更严谨的做法,因为这已是现今无法回避的挑战。

转载于:https://blog.51cto.com/13373212/2391035

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值