对 SolarWinds 事件更深的思考：如何防御供应链攻击

简介： 消灭企业安全体系中“隐秘的角落”

 

————
APT攻击愈演愈烈，与SolarWinds相关的安全反思已持续半月，阿里云安全带来了面向供应链攻击特征属性的全面攻防观察，以飨从业者。
————

后期精彩的APT内网对抗往往依赖于「先从外部撕开」一道口子，对于黑客而言，脆弱的供应链无异于一块「新大陆」，成为击穿「关键基础设施」的最佳切入点。

应用开发方式变革引入供应链风险

随着企业上云，传统的网络边界正在逐渐消失，尤其是突如其来的疫情，更是让几乎所有企业都不得不进行远程办公，员工开始从家庭网络、咖啡厅与企业网络建立连接，企业的IT架构正在从「有边界」向「无限边界」发生转变。

受益于开源软件与成熟的三方产品和服务（COTS）的优势，国内互联网、金融行业快速发展。在COTS模式下，企业可以快速采购到能够满足当前业务需要的生产工具、软件或硬件产品，从而节省成本和时间。

开源软件的蓬勃发展改变了应用开发形态，现代应用的开发人员不再首选自研，而是会看当前业界是否已有成熟的框架或解决方案。

Synopsys公司发布的《2020年开源安全和风险分析OSSRA报告》中指出，当前超过90%的现代应用融入了开源组件，平均每个应用包含超过124个开源组件，其中49%的开源组件存在高危漏洞。

从政府服务到金融机构每个组织都依靠软件来为客户提供服务。嵌入式软件不再仅仅局限于计算机，现在可以控制复杂的电网、交通、医疗硬件、汽车以及卫星，软件正在吞噬整个世界。

在传统边界安全的防护理念下，安全是一个整体，保证安全不在于强大的地方有多强大，而在于真正薄弱的地方在哪里。企业边界无限扩大后，面临的风险会随之增加，边界上任一节点的「安全性」被打破后，黑客就能通过这层信任链路，利用多种APT手段渗透到企业内部，窃取核心数据。

以往企业防护的策略，可以从梳理企业最有价值资产开始，再看资产潜在面临的最大威胁是什么，基于威胁分级、资产分级的方式来循序渐进做治理。

在今天这种企业架构与软件开发形态下&#