供應鏈攻擊已成全球企業的“心腹大患”
隨著開源、云原生等技術的應用,軟件供應鏈開始向多元化發展。此舉雖加速了技術的革新和升級,但也讓供應鏈安全成為全球企業的“心腹大患”。
據2021年7月發布的《2020年中國網絡安全報告》稱,軟件供應鏈攻擊已成為2020年最具影響力的高級威脅之一。
卡巴斯基最新的IT安全經濟學報告顯示,約有三分之一的大型企業遭遇了供應鏈攻擊,給企業造成的平均財務影響高達140萬美元,已成為年度損失最高的攻擊事件類型。
無獨有偶,2021年10月19日,Cyentia發布了《信息風險洞察研究》(IRIS)報告,數據顯示,在排名前五十的多方數據泄露事件中,發現一場大型事件泄露平均涉及31家企業,企業經濟損失的中位值高達9000萬美元,而典型網絡安全事件帶來的損失只有20萬美元左右。
Cyentia指出,供應鏈攻擊是多方數據泄露的主要原因,倘若企業沒有做好應對供應鏈攻擊的準備,那么就會置身于多方數據泄露的風險之中,給企業帶來的經濟損失也比單方數據泄露事件要高的多。
2021年7月發生的Kaseya供應鏈攻擊事件也證明了這一觀點。在這次攻擊事件中,俄羅斯勒索組織REvil給網絡安全行業上了印象深刻的一堂課:波及17個國家,上千家企業和機構,上百萬臺設備被加密,索要贖金高達7000萬美元,是迄今為止規模最大的供應鏈事件。
從這里我們也可以看出供應鏈攻擊的可怕之處,只要拿下一家供應鏈企業,那么其客戶和合作伙伴都將因此遭受攻擊,由此引發的連鎖反應將會是全球性的,災難性的。
什么是供應鏈攻擊
供應鏈是指,創建和交付最終解決方案或產品時所牽涉的流程、人員、組織機構和發行人。在網絡安全領域,供應鏈涉及大量資源(硬件和軟件)、存儲(云或本地)、發行機制(web應用程序、在線商店)和管理軟件。
而所謂供應鏈攻擊,顧名思義就是針對供應鏈發起的網絡攻擊,并通過供應鏈將攻擊延伸至相關的合作伙伴和下游企業客戶。
因此,供應鏈攻擊至少分為兩個部分:一是針對供應鏈的攻擊;二是針對客戶企業的攻擊。一次完整的供應鏈攻擊是以供應鏈為跳板,最終將供應鏈存在的問題放大并傳遞至下游企業,產生攻擊漣漪效應和巨大的破壞性。
目前,供應鏈攻擊通常和APT攻擊、勒索攻擊結合在一起,攻擊者最終的目的是加密企業設備、系統或數據,以此勒索企業牟取暴利。
由于供應鏈攻擊涉及供應商和企業用戶兩大組織,因此直接加劇了處理事件、取證分析和事件整體管理的復雜性。這意味著企業針對攻擊的應急響應流程也將變的更加復雜,系統恢復的時間也會更長。正因為如此,供應鏈攻擊往往能夠造成難以想象的嚴重后果。
Imperva曾分享了五種典型的攻擊手法,分別是:
- 利用供應商的產品進行注入(典型的如SolarWinds事件)
- 利用第三方應用程序(如郵件/瀏覽器漏洞)
- 利用開放源代碼庫中包含的漏洞
- 依賴關系混淆
- 惡意接管(擔任社區項目維護者,注入惡意代碼)
從以上五種典型的攻擊手法中,我們也可以發現,有的供應鏈攻擊(如依賴關系混淆)企業可以提前預防,但是有的供應鏈攻擊(如利用供應商的產品進行注入)企業束手無策。
供應鏈攻擊增長迅猛,企業難忍切膚之痛
2020年12月13日,隨著FireEye發布的一條攻擊報告,SolarWinds供應鏈攻擊事件開始進入到公眾視野。無論是微軟、谷歌等大型企業緊急響應,還是美國政府機構 FBI的快速介入,都讓人感到“事情很不妙”。
在最終結果出來之前,幾乎沒有人相信,這一次攻擊竟然產生了如此嚴重的后果。
12月14日,SolarWinds向美國證券交易委員會(SEC)提交了供應鏈攻擊事件的報告。報告顯示,微軟、英偉達、思科、德勤、VMWare等多個世界巨頭企業,美國國務院、五角大樓、國土安全部、商務部、財政部、司法部、網絡安全和基礎設施局等大量的政府單位,全都在受害人的列表中。
這樣的情形在以前幾乎無法想象,也讓供應鏈攻擊一躍成為網絡安全領域的焦點之一,此后供應鏈攻擊“大事件”層出不窮。
2021年3月,占據全球90%航空份額的通信和IT廠商,國際航空電信公司(SITA)受到供應鏈攻擊,直接造成了航空業“大地震”,漢莎航空、新西蘭航空、泰航空、韓國航空、日本航空等多個航空公司業務受到影響,甚至出現大范圍的數據泄露。
再比如上文提及的國際軟件服務提供商Kaseya供應鏈攻擊事件,無數國際大企業因此遭受損失,其嚴重的后果使得美國政府和微軟等IT巨頭,都快速介入并進行應急響應。
供應鏈攻擊所產生的嚴重后果進一步激發了網絡攻擊的動力,而當越來越多的攻擊者轉向供應鏈時,供應鏈攻擊事件就如同雪花般散落開來。
總的來說,自2020年以來,供應鏈攻擊事件呈現爆發增長的態勢,并且給企業帶來了難以忍受的切膚之痛。
2021年6月,奇安信發布了《2021中國軟件供應鏈安全分析報告》。數據顯示,2020年全年,奇安信代碼安全實驗室檢測的代碼總量為335011173行,共發現安全缺陷3387642個,其中高危缺陷361812個,整體缺陷密度為10.11個/千行,高危缺陷密度為1.08個/千行。
而Palo Alto Networks 安全咨詢部門Unit 42發布的《2021年下半年云威脅報告》顯示,63%用于構建云基礎設施的第三方代碼模板包含不安全的配置,96%部署在云基礎設施中的第三方容器型應用包含已知漏洞。
除了分析數據外,Unit 42的研究人員還受一家大型SaaS供應商委托,對其軟件開發環境進行紅隊演練。僅僅三天時間,Unit 42研究人員就發現了軟件開發過程中的重大漏洞,足以讓客戶輕易受到類似SolarWinds和Kaseya的攻擊。
換句話說,由于此前未曾重視供應鏈的安全建設,以至于如今在很多地方都隱藏著漏洞和威脅。一旦這些漏洞被攻擊者利用,SolarWinds事件和Kaseya事件很有可能會再次上演。
對此,歐洲網絡和信息安全局發布的《供應鏈攻擊的威脅分析》報告指出,眼下攻擊者已經將注意力轉移到供應商上,和2020年相比,2021年供應鏈攻擊預計將增加4倍,而且這些攻擊給企業帶來的影響也越來越大,包括系統停機、金錢損失和聲譽損害等。
早在2017年,NotPetya勒索軟件就曾利用供應鏈更新發起攻擊,全球59個國家的政府部門、醫院、銀行、機場等系統受到影響,造成超過100億美元的損失。
此前,CrowdStrike發布的調查數據也說明了這一問題。調查結果顯示,在2018年,被調查的企業中有三分之二曾遭遇軟件供應鏈攻擊;90%的企業因軟件供應鏈攻擊而導致財產損失,平均成本超過110萬美元;80%的受訪者認為,軟件供應鏈攻擊將成為未來三年內最大的網絡威脅之一。
如今,三年已過,預言成真,供應鏈攻擊也已經成為嚴重的網絡威脅。
BlueVoyant最新發布的報告指出,在過去的2020年中,供應鏈風險陡增,全球大約93%的大中型企業組織由于供應鏈薄弱而遭受直接破壞。特別是SolarWinds漏洞和勒索軟件攻擊等活動,更加凸顯了企業組織面臨的供應鏈攻擊風險。
下一代軟件供應鏈攻擊正在爆發
隨著開源、云原生等技術的大范圍應用,下一代軟件供應鏈威脅也正在逐漸爆發。
全球開源技術正在快速增長和應用,這一點相比業內人士都有這樣的感覺。數據顯示,GitHub 的活躍代碼倉庫與活躍用戶數分別增長了35.3% 和21.2%;Gitee 的代碼倉庫與用戶數的增長數據更是達到了192%和162%。
同時,企業“借用”開源代碼已經變的越來越普遍,但其安全性難以保證。
例如2021年10月28日,抖音前端宣布將UI庫Semi Design 進行開源,隨即就被發現,它的代碼中存在阿里巴巴同類產品 Ant Design 的痕跡。試想一下,如果抖音為開源,“借用”的行為就不會發現,這也反過來證明,“開源代碼借用”是一件非常“平常”的事情。
根據Sonatype最新發布的《2021年軟件供應鏈狀況報告》,全球對開源代碼的旺盛需求導致軟件供應鏈攻擊同比增長650%。全球的開發商累計從第三方開源生態系統“借用”超過2.2萬億個開源軟件包或組件,以加快上市時間。但是,這些開源軟件和組件中存在各種漏洞,反而大大增加了供應鏈攻擊的風險。
而CVE官方網站統計的數據顯示,2020 年發布的開源漏洞中未被 CVE 官方收錄漏洞有 1362 個,占 2020 年發布漏洞總數的 23.78%;CVE 官方未收錄數據呈上長趨勢,增長率逐年遞增,2018 年環比 2017 年增長速度達 133.52%。
越來越多的數據都表明,下一代供應鏈攻擊正在到來,其顯著特點是刻意針對“上游”開源組件,進行更主動的攻擊。
此時,攻擊者不再是被動的等待漏洞的出現,而是主動將新的漏洞注入為供應鏈提供支持的開源項目中。因此,下一代軟件供應鏈攻擊將更加隱蔽,也將有更多的時間對下游企業展開攻擊,危險性將更高。
相較國外,國內下一代軟件供應鏈攻擊的風險同樣存在。
究其原因,自2020年以來國內開源技術蓬勃發展,但是其安全性也不容樂觀。根據奇安信發布的《2021中國軟件供應鏈安全分析報告》,國內企業超8成軟件項目存在已知高危開源軟件漏洞;平均每個軟件項目存在66個已知開源軟件漏洞。2020年檢測的1364個開源軟件項目整體缺陷密度為14.96個/千行,高危缺陷密度為0.95個/千行。
由此可見,國內開源技術的安全性令人擔憂,隨之而來的下一代軟件供應鏈風險也將居高不下。
供應鏈安全已經脫離了企業掌控
和日益增長的供應鏈攻擊威脅相比,下游企業卻缺乏針對性的、有效的防護手段。這意味著,即便是企業自身擁有較好的安全能力,但面對供應鏈攻擊依舊難以有效預防和應急響應。
這就和食品供應鏈一樣,當生產食品的原料有不健康的成分(比如添加劑不合格或超標),那么生產出來的食品很有可能是不健康的。軟件供應鏈安全也是如此,如果上游提供的“代碼”有問題,那么企業使用的產品也同樣存在問題。
最關鍵的是,企業也無法確定,哪些產品有問題,也無法解決上游企業代碼的問題,自然也就無法進行防控。反過來,攻擊者卻可以借供應商的渠道順利侵入企業,并在內部發起攻擊。這就好比你身邊一個好朋友,突然朝你捅了一刀,有心算無心之下,受傷的概率會非常高。
眾所周知,軟件供應鏈可劃分為開發、交付、運行三個大的環節,其中每個環節都可能會引入供應鏈安全風險從而遭受攻擊。通過對軟件開發人員和供應商的攻擊,攻擊者可以借供應鏈分發惡意軟件來訪問源代碼、構建過程或更新機制。這些惡意軟件因為來自受信任的供應商渠道和數字簽名,因此很容易繞過企業已有的安全防護體系,并完成下一步攻擊。
隨著網絡攻擊趨利性和潛伏性不斷增加,供應鏈攻擊呈現出非同一般的耐心,不少攻擊者長期潛伏在企業內部,一旦爆發開來將會給企業帶來嚴重損失。
同時,企業對于供應鏈攻擊的應急響應過程過于繁瑣,所需要的時間太過漫長,很難再黃金時間內完成應急響應和數據恢復。
這也是供應鏈攻擊在下游企業爆發之后,往往能夠取得不俗成果的原因。
巨頭著手開始應對供應鏈攻擊
面對火燒眉毛的供應鏈攻擊威脅,越來越的企業和有識之士認識到,僅依靠單個企業是無法應對供應鏈攻擊,因此必須要集合行業的力量,從上游清除“安全威脅”。
基于此,微軟、英特爾和高盛在可信計算組 (TCG) 成立了一個專注于供應鏈安全的新工作組。
未來,這個組織將在TCG的支持下,為可信計算平臺如廣泛使用的可信平臺模塊 (TPM) 開發、定義和推廣開源和供應商中立行業標準和標準。
其中,有兩點非常關鍵:
- 提供確保設備的真實性;
- 幫助組織機構從網絡安全攻擊中恢復。
但是想要做到這兩點顯然不容易,企業因此而付出的成本將會非常高,這就會降低企業采取相應防護措施的主觀意愿。這意味著,距離新成立的供應鏈安全組真正發揮作用。依舊還有很長的路要走。
此外,在2021年8月舉辦的白宮網絡安全會議上,蘋果、微軟、IBM、亞馬遜也在積極制定相關計劃,以改善供應鏈安全。
其中,美國將全面加強和供應商的合作,并將采用多重身份認證,進一步確保安全性;亞馬遜也表示將向用戶提供免費的多重身份驗證設備,以提高安全性,并將提供安全意識培訓。
我國也在不斷加強供應鏈的安全性。
為了有效提升開源技術的安全性,近日,人民銀行等五部門聯合發布了《關于規范金融業開源技術應用與發展的意見》,以此提高應用水平和自主可控能力,促進開源技術健康可持續發展。
事實上,在國家/行業層面制定相應的監管政策要求、標準規范正是應對供應鏈攻擊的有效舉措。同時,我們還應該建立起國家級/行業級軟件供應鏈安全風險分析平臺,并且將軟件供應鏈安全的相關工作納入產品測評、系統測評等工作中。
當然,最最關鍵的是,我們必須對供應鏈攻擊保持足夠的警惕,并集結行業的力量共同應對。正如《意見》中所提到的一樣,企業用戶在購買軟件和應用開源技術時應進行充分評估,建立完善的使用規范,保障安全的底線。
