2021年,Codecov,一个生成代码覆盖率报告和统计数据的软件测试平台, 成为供应链攻击的目标 操纵 Docker 上传脚本。 Codecov 的环境受到损害,但没有发出任何危险信号。由于 Codecov 为超过 29,000 家企业客户提供服务,其中包括 IBM、谷歌、惠普、华盛顿邮报、Atlassian、GoDaddy、宝洁公司和加拿大皇家银行,因此造成的损失是巨大的。这次大规模泄露事件持续了几个月而未被发现。尽管从31年2021月1日开始,但直到2021年XNUMX月XNUMX日才被发现。
在另一起臭名昭著的事件中,无处不在的计算机清理工具 CCleaner 已被泄露 被黑客攻击了一个多月。拥有 CCleaner 的 Avast 已经用恶意软件后门污染了用户下载的软件更新。数百万台计算机被暴露,这一事件加剧了威胁 所谓的数字供应链攻击,其中可信的、广泛分布的软件实际上被感染了。
供应链攻击也称为第三方攻击或后门漏洞,当黑客通过向该组织提供软件服务的第三方合作伙伴或供应商渗透企业系统时,就会发生供应链攻击。它被称为供应链攻击,因为攻击发生的漏洞点是软件供应链。这些类型的攻击通常范围相当大并且难以检测。网络犯罪分子经常以这样的软件供应链为目标,因为一次违规行为就可以让他们同时危害数千名受害者。
随着越来越多的软件供应商和供应商比以前能够访问敏感数据,这些攻击的风险在过去几年中一直在增加。事实上,有许多消息来源认为,2021 年软件供应链攻击的数量比前一年增加了两倍。 2021年XNUMX月,拜登政府 将软件供应链攻击列为值得关注的领域,证实了这个问题的重要性。
软件供应链攻击有哪些不同类型?
任何向其他组织提供服务的软件公司都是供应链软件攻击的潜在目标。一次攻击只需要一个受损的软件即可在整个供应链中传播恶意软件。黑客通常会寻找安全性较差的软件或未受保护的网络协议,他们可以在软件的构建或更新过程中闯入并隐藏恶意软件。威胁行为者可以采用多种技术来执行供应链攻击。
在大多数情况下,供应链攻击隐藏在合法流程后面,以便不受限制地访问组织的软件生态系统。攻击者通常首先渗透供应商或软件供应商的安全防御。由于许多供应商的网络安全实践不佳,这通常比直接攻击受害者更容易。
一旦供应链恶意软件被注入供应商的软件生态系统,它就需要将自己附加到合法的数字签名流程中。攻击者经常利用软件更新作为入口点,在整个软件供应链中传播恶意软件。供应链攻击中使用的一些常见技术包括:
受损的软件构建工具
构建现代软件应用程序的过程与物理供应链非常相似:在大多数情况下,应用程序是使用来自不同供应商的各种现成组件构建的。这包括专有代码、第三方 API、开源组件等。从头开始构建现代应用程序是不可能的,这就是为什么大多数软件开发人员只是重复使用这些不同的组件作为标准实践。
虽然这种即插即用的做法加速了开发过程,但它引入了安全漏洞的风险,其中最主要的是供应链攻击。如果组件软件以某种方式受到损害,无数使用该组件构建应用程序的组织就很容易受到攻击。
被盗的代码签名证书或使用被盗身份签署的恶意应用程序
在这种类型的攻击中,黑客窃取了确认公司产品合法且安全的证书。这个被盗的证书使他们有可能传播伪装成合法公司产品的恶意代码。
中国政府支持的黑客组织ATP41就利用这种攻击方式进行供应链攻击。通过使恶意代码看起来合法(使用窃取的代码签名证书),他们能够使代码通过他们所攻击的系统中的安全控制。这种类型的攻击特别难以检测。
签名恶意应用程序攻击类似于窃取代码攻击;在这种情况下,攻击者使用被盗的应用程序签名身份将受感染的软件伪装成合法应用程序。这使得它能够绕过各种安全措施,从而发生攻击。
硬件或固件组件中的代码受损
每个数字设备都依赖固件才能顺利运行。在大多数情况下,该固件是由另一家公司维护的第三方产品。黑客可以将恶意代码注入固件中,使他们能够访问使用这些固件组件的数字设备的网络或系统。这种类型的攻击会在由这些固件驱动的数字设备中创建后门,使黑客能够窃取信息并安装更多恶意软件。
预装恶意软件
黑客有时会将恶意供应链恶意软件植入手机、通用串行总线 (USB) 摄像头、驱动器和其他设备等硬件设备上。这使得他们可以针对连接到受感染硬件所使用的设备的系统或网络。
例如,USB 驱动器可用于携带键盘记录器,然后该键盘记录器可以进入大型零售公司的系统。该键盘记录器可用于记录公司客户的击键,使黑客能够访问付款详细信息、客户记录等信息。
如何防范供应链攻击?
供应链攻击的本质使其难以防范。这些类型的攻击利用企业对其供应商的信任进行反击。虽然很难阻止这些攻击,但您可以采取以下一些措施来减轻其影响或降低风险:
审核您的基础设施
使用未经 IT 批准或监督的软件(影子 IT)是使您的企业容易遭受供应链攻击的因素之一。缓解这些攻击的方法之一是对组织内使用的所有软件进行全面审核。这可能会揭示供应链黑客可以利用的漏洞来发动攻击。
保留所有软件资产的最新清单
您使用的每个第三方软件(无论看起来多么安全)都是潜在的漏洞点。通过保留所有第三方软件的更新清单,您可以更好地跟踪它们的更新、升级和安全问题。这也有助于缩小潜在攻击点并部署必要的解决方案。
严格评估供应商并采用零信任方法
在使用任何第三方工具或与新供应商合作之前,您需要严格检查它们的安全性。大多数时候,供应链攻击的发生是因为供应商未能遵循标准安全实践。作为风险评估工作的一部分,您可以要求任何潜在供应商提供其标准安全实践的详细信息,以确定他们对供应链攻击的准备情况。您可以首先向您打算合作的任何供应商请求 SOC 2 类型报告和 ISO 27001 认证。在购买之前,您还应该检查他们的安全报告并验证任何产品的证书。
默认情况下,永远不要信任任何新软件或新用户。即使在确认其安全框架并同意使用其服务、限制活动或权限之后,网络上的任何新工具都会减少您的漏洞。
使用安全工具
虽然防病毒、防火墙和其他安全工具通常无法有效抵御供应链攻击,但它们仍然可以帮助验证代码完整性并降低攻击风险。即使它们无法阻止攻击的发生,这些工具仍然可以向您发出有关正在进行的攻击的警报。例如,防火墙可以让您知道何时通过网络发送大量数据,这通常是恶意软件或勒索软件攻击的情况。
保护您的端点
供应链攻击者经常利用安全性较差的端点处的软件漏洞来发起攻击。部署端点检测和响应系统将有助于保护您的端点免受恶意软件和勒索软件的侵害。这样,他们就无法再使用这些端点将攻击传播到网络的其他部分,从而在攻击进一步传播之前阻止攻击。
部署强大的代码完整性策略
利用应用程序或代码完整性的供应链攻击可以通过部署强大的代码完整性策略来阻止,这些策略仅根据严格的规则对应用程序进行授权。这些代码依赖策略将阻止任何看起来可疑或引发危险信号的应用程序。虽然可能会出现一些错误呼叫和误报,但通过这种方式降低供应链风险仍然比遭受攻击要好。任何被标记的应用程序都可以进一步调查,如果发现是合法的,则可以进行授权。
制定事件响应计划
鉴于供应链攻击的频率不断上升,最好通过制定事件响应计划来提前做好准备。每个组织都应该制定计划来保护关键任务组件,以防发生违规,以保持运营完好。您还应该制定明确的响应和沟通策略,以便在发生违规行为时通知合作伙伴、供应商和客户。您的 IT 团队应始终为潜在的攻击做好准备。适当的风险管理规划包括定期与您的团队进行事件响应演习,以评估对潜在攻击的准备情况。
最近供应链攻击的示例
供应链攻击的效率是其流行的主要因素。这些类型的攻击影响各种组织,从 Target 等大公司到政府机构。在过去的十年中,发生了一些备受瞩目的供应链攻击案例。一些最著名的供应链攻击示例包括:
-
SITA,2021
2021 年初,航空运输数据公司 SITA 经历了一次数据泄露,据信超过 580,000 万名马航乘客的飞行记录被泄露。
飞行常客计划。同样的数据泄露还影响了新西兰的芬兰航空和其他几家航空公司。专家认为攻击点是通过一家名为星空联盟的公司发起的,新加坡航空与该公司共享数据。攻击随后蔓延到整个供应链。
-
密码状态,2021
ClickStudios 是一家总部位于澳大利亚的公司,也是 Passwordstate(密码管理解决方案)的创建者,报告了 2021 年发生的供应链攻击。该攻击是通过托管在第三方 CDN 上的软件更新服务发生的。该恶意软件会自动下载到在攻击期间更新软件的客户的设备上。该恶意软件旨在解密客户数据库中存储的所有数据,并将其以明文形式发送到攻击者的外部服务器。
-
2021 年依赖性混乱
这是一次故意的攻击,旨在测试供应链攻击的传播范围。安全研究人员 Alex Birsan 利用 Microsoft、Uber、Tesla 和 Apple 等公司的应用程序向最终用户提供服务所使用的依赖协议,破坏了这些公司的系统。这些依赖性使得向网络上的各种知名用户传输伪造数据包成为可能。
-
微播,2021
Mimecast 数字证书遭到泄露导致了 2021 年最受关注的供应链数据泄露事件之一。用于在 Microsoft 365 Exchange Web 服务上验证部分 Mimecast 服务的数字证书遭到泄露。调查显示,此次黑客攻击背后的组织也对 2020 年 SolarWinds 攻击负责。此次攻击影响了 Mimecast 多达 10% 的客户。
-
SolarWinds 攻击,2020 年
这可以说是过去十年来最引人注目的供应链攻击案例。据信是外国恶意玩家的黑客通过 IT 服务提供商 SolarWinds 的第三方供应商攻击了多个美国政府机构。受到攻击影响的 18,000 名 SolarWinds 客户中包括六个美国政府部门,其中包括能源部和国家核安全管理局、美国国务院、商务部、财政部和国土部安全。
-
华硕,2018
2018 年,一次恶意攻击利用华硕的实时更新软件在超过 600 万台计算机上安装了后门恶意软件。在这次供应链攻击中,黑客利用自动更新功能在用户的 PC 上引入恶意软件。该恶意软件使用合法的华硕安全证书进行签名,因此很难检测到。幸运的是,黑客的用户名单有限,只有 XNUMX 名用户,而不在该名单上的数千名其他用户并未受到重大影响。
-
事件流,2018
在 2018 年的事件流攻击中,黑客将恶意软件注入到 GitHub 系统内的存储库中。由于 GitHub 是数百万开发人员的备份服务,因此此次攻击使多名用户面临潜在的恶意软件攻击。然而,恶意代码是专门针对 Copay 比特币钱包而编写的。如果受恶意软件影响的 Copay 开发人员在攻击期间运行发布构建脚本,则恶意代码将被捆绑到应用程序中,这将收获 Copway 用户的私钥和帐户信息,这些用户的账户中至少有 1000 个比特币。帐户。
-
Equifax 供应链攻击
Equifax 是全球最大的信用卡报告机构之一,在 2018 年遭受了供应链攻击。恶意代码是通过该公司网站上的应用程序漏洞传播的。超过 147 亿 Equifax 客户受到此次攻击的影响,该次攻击暴露了敏感的个人数据,包括地址、社会安全号码、出生日期等。
结语
如果您只需要从本文中了解一件事,那就是:软件供应链攻击是迫在眉睫的威胁。毫无疑问。
因此,您不能信任供应商的签名产品和更新;您的代码可能已经进行了修改或添加。那么如何确保您的系统不被恶意文件感染呢?确保每个库所有者或程序供应商为您提供完整的 SBOM — 了解有关 SBOM 的更多信息 点击这里—并通过请求可信证明来确保您从供应商或库所有者那里得到您所期望的东西。