Solarwinds违规使危险的攻击向量脱颖而出,但供应链攻击远非新现象
在2020年12月,全世界的大部分地区都因19日的复兴而分心,并在美国总统大选的后果中分散了安全研究人员,忙于跟踪新的恶意软件运动 - UND2452-对西方世界的网络安全产生了严重的影响。
随后与俄罗斯国家赞助的网络犯罪帮派联系APT29(或舒适的熊)攻击“ Trojanized”软件更新到Orion,这是SolarWinds的IT监视和管理应用程序。
FireEye的研究人员,该活动的第一个备受瞩目的受害者,发现黑客将一部分猎户座变成了与第三方服务器通信的后门。FireEye将Trojanized插件命名为标准的Windows安装程序补丁文件 - “ Sunburst”。
阅读更多随着犯罪分子的规模妥协应用程序,对开源生态系统的上游攻击增加了400%
几天之内,数十家全球企业和政府部门报告了阳光感染,包括微软和美国国土安全部。
Sunburst提供了多个有效载荷,其中一些通过泪珠装载机发射了钴罢工灯塔。根据Fireeye,“此供应链折衷之后的折衷活动包括横向移动和数据盗窃”。
更令人担忧的是,阳光特洛伊木马首次开始感染2020年3月的网络。
世界刚刚目睹了有史以来最大的软件供应链攻击。
什么是软件供应链攻击?
当黑客在第三方软件组件中操纵代码以损害使用它们的“下游”应用程序时,就会发生软件供应链攻击。
攻击者利用妥协的软件来窃取数据,损坏的目标系统或通过横向移动访问受害者网络的其他部分。
2013年袭击美国零售巨头目标也许是横向运动的最著名例子。黑客在Target的供暖和通风供应商处妥协了系统,然后使用该应用程序的可信赖状态来访问零售商的敏感数据。
因此,都可以针对组织供应链的任何其他“上游”部分,包括应用程序开发人员,SolarWinds,API提供商和开源社区等现成软件的发布商。
“在软件供应链攻击中,恶意演员通过损害其软件供应链中最不安全的要素来针对组织或个人,” Netskope的网络情报校长Paolo Passeri告诉每日swbeplay2018官网ig。
攻击者篡改了发展过程注入恶意组件(例如远程访问工具)的软件,该软件将使他们立足于目标组织或个人。”
Solarwinds透露,它在2020年12月受到备受瞩目的供应链攻击袭击
最近的供应链攻击
- 依赖混乱,2021年 -安全研究人员违反系统属于Microsoft,Apple,Uber和Tesla之类的新型攻击技术。亚历克斯·伯山(Alex Birsan)利用依赖性/命名空间混乱,成功地向下游伪造(但良性)套餐发送给了数十个备受瞩目的目标,而无需社会工程。
- 模仿,2021 -云安全公司模仿报告攻击者损害了供应商在Microsoft 365 Exchange Web服务上验证其服务的证书。beplay体育能用吗大约有10%的模仿客户使用依靠折衷证书的应用程序,但模仿者说只有少数受到影响。
- Solarwinds,2020 -迄今为止,最深远的供应链攻击源于后门Sunburst,该后门被注入了Orion IT管理应用程序的更新工具中。Solarwinds表示,在向SEC提交的文件中,有18,000名客户下载了后门。微软又已通知攻击的40名客户。
- 华硕,2018年 -攻击称为配音影声2018年,华硕计算机的目标所有者。赛门铁克(Symantec)的研究人员认为,这次袭击是通过华硕的自动更新功能提供的恶意软件,从6月到10月运行,并影响了多达500,000个系统。其他供应商也可能受到影响。
- 事件流,2018年 -2018年对GitHub存储库的攻击注射了恶意软件进入废弃的flatmap-stream依赖性,这是事件流的一部分。将受损的依赖性纳入其代码的应用数量仍然未知。
是什么使供应链攻击如此危险?
解决问题是一个艰巨的问题。
Venafi说:“从我们最近的Solarwinds攻击中看到的证据,IT安全团队对软件供应链带来的风险有限。”每日swbeplay2018官网ig。
现代软件总是由现成组件构建:专有代码,开源组件和第三方API。没有一个开发人员可以自己构建现代应用程序,而软件重用是常态。
在Solarwinds攻击之前写作,GitHub安全研究员Maya Kaczorowski引用的数据表明85-97%的企业软件代码库来自开源组件。根据Github的说法,平均项目现在有203个依赖八翼状态民意调查。
但是,尽管代码重复使用简化并加速了应用程序开发,但它造成了一些非常严重的安全问题 - 尤其是妥协的现成组件可能会使无数组织容易受到攻击。
软件组件的供应商“为多个客户提供服务,因此,如果他们的系统受到妥协,这是一个更广泛的问题”,安全顾问Bridewell Consulting主管Scott Nicholson告诉每日swbeplay2018官网ig。
“许多组织对供应链风险感到自满 - 我们最近的研究表明,不到五分之一(18%)的关键国家基础设施组织将第三方供应商和合作伙伴视为其组织的最大风险。”
尽管供应链攻击已经存在一段时间了 - 一些研究人员自1980年代以来声称,许多CISO才知道现在才意识到威胁的严重性,尤其是对企业应用程序的严重性。
安全研究员兼Unbound Tech的联合创始人Yehuda Lindell教授说:“我们越来越意识到这一点。”每日swbeplay2018官网ig。
“我们在不远的过去中看到了很多[事件]:太阳能,模拟,华硕,攻击者设法在固件的恶意版本上签署了合法的钥匙,从而感染了数百万台计算机。”他警告说,这是一个“非常有效的攻击矢量”,尤其是因为黑客可以一次性地损害各种组织。
软件供应链攻击是对各种规模的组织的持续威胁
软件与硬件供应链攻击
无论是路由器,服务器,物联网设备或手机,硬件制造商还将某些组件的提供给无数组织以及软件开发人员的提供,通常对这种安全风险的可见性通常有限。
根据微软的说法,硬件及其固件比软件更难篡改,因为它需要拦截设备或它们的零件在前往工厂的途中或工厂地板操作。但是后果可能是严重的。
微软说,一旦实现了恶意的变化,“极难检测和修复,使肇事者长期访问”,这尤其是因为“因为它们绕过了基于软件的传统安全检测工具”。
您可以防止或减轻供应链攻击吗?
在技术层面上,DevOps团队之间的安全意识提高是第一个,许多专家认为 - 最关键的一步。
团队需要将安全性纳入整个开发过程中,拥有其应用程序使用的依赖性的全面地图,请注意漏洞披露,并具有可靠的系统来修补安全错误。
项目负责人还可以查看软件材料清单(SBOM)以跟踪组件,并审核自己的控件以确保软件安全。
你可能还喜欢不透明的软件供应链是生死攸关的问题。
例如,GitHub提供了软件组成分析工具,包括依赖图查看所有上游依赖性和依赖关系,提供自动化依赖项更新。
同时,运行时应用程序自我保护(RASP)工具现在由NIST推荐作为减轻软件供应链漏洞的一种手段。
公司还应考虑使用应用程序扫描工具(两者都Sast和Dast)接收其应用程序与命令和控制服务器之间通信的早期警告。
加强软件供应链的提示
- 审核未经批准的“ Shadow It”基础架构并删除过时或冗余的系统
- 创建有效的软件资产库存并保持最新状态
- 在购买谈判中与供应商的CISO交谈,以评估供应商的安全姿势
- 映射和测试密钥服务,并评估在安全漏洞时恢复或替换它们的能力
- 将供应商风险的验证视为持续的过程,而不是一次性的过程
- 考虑RASP和其他客户端保护工具
资料来源:Immuniweb,beplay体育能用吗Unbound Tech,PA咨询,Netskope,Imperva,Tanium
组织还应加强其软件采集策略。IT部门通常依靠问卷和供应商的自我认证来执行尽职调查,还应考虑审核,源代码审查和渗透测试- 更健壮的替代方案,即使更加昂贵。
耶胡达·林德尔(Yehuda Lindell)教授讲述了他如何拒绝潜在的SaaS供应商,当时他要求其笔测试结果后发现它仅解决了几个发现的最严重脆弱性。
更多的组织PA Consulting网络安全负责人艾略特·罗斯(Elliot Rose)表示,应该遵循这一领先优势。
罗斯告诉罗斯说:“许多组织都意识到他们需要对关键第三方进行持续监控和评估。”每日swbeplay2018官网ig。
“这并不容易,但越来越必要,并且有一些新的工具和方法可以减轻负担。”
现在,监视供应链风险是许多监管机构(包括英国金融行为管理局)的要求。
有关的Gossamer工具旨在捍卫开源项目免受Solarwinds风格的供应链攻击
除了在采购新供应商时,组织还应关闭冗余基础架构。
“人有阴影或出于各种原因,无论是人类的疏忽,粗心还是健忘,都可以从互联网上访问,或者是从互联网访问的,或者废弃的服务器,系统或应用程序。beplay体育能用吗每日swbeplay2018官网ig。
CIO应该摆脱盲目信任他们购买,构建和使用的软件。
这意味着限制访问关键系统的应用程序数量,限制其横向跨网络移动的能力,并不断监视系统,以便如果受到攻击,它们可以迅速采取行动。
可能很难防止供应链攻击,但是组织可以采取一些缓解步骤
Synopsys Cyrc(网络安全研究中心)的首席安全策略师Tim Mackey告诉“供应链的工作,”每日swbeplay2018官网ig。
“如果企业无法诚实地回答他们依赖于业务中每个软件的代码的问题,无论是商业,开源,免费,固件,云或移动设备,然后在补丁管理过程中存在空白。”
Tanium技术总监Sharat Ganesh同意。
他告诉他说:“客户应在环境中不断验证和减轻自己的漏洞。”每日swbeplay2018官网ig。
“然后,他们可以对在生产环境中安装第三方软件产品的可接受风险进行客观的,数据驱动的评估。”
他说,软件供应链是“信任链”。Solarwinds攻击揭示了为什么不应轻轻批准这种信任。
