随着开源、云原生等技术的应用,软件供应链开始多元化。虽然这加速了技术的创新和升级,但也使供应链安全成为全球企业“心腹大患”。
根据2021年7月发布的《2020年中国网络安全报告》,软件供应链攻击已成为2020年最具影响力的高级威胁之一。
最新的卡巴斯基IT根据安全经济学报告,约三分之一的大型企业遭受了供应链攻击,平均财务影响高达140万美元,成为年度损失最高的攻击类型。
无独有偶,2021年10月19日,Cyentia发布了《信息风险洞察研究》(IRIS)报告显示,在前50名数据泄露事件中,平均涉及31家企业,经济损失高达9000万美元,典型网络安全事件损失仅为20万美元左右。
Cyentia指出供应链攻击是多方数据泄露的主要原因。如果企业没有准备好应对供应链攻击,它将面临多方数据泄露的风险,给企业带来的经济损失远高于单方数据泄露。
2021年7月发生的Kaseya供应链攻击也证明了这一观点。俄罗斯勒索组织在这次攻击中组织REvil给网络安全行业上了一堂令人印象深刻的课:到目前为止,最大的供应链事件是影响17个国家、数千家企事业单位、数百万台设备加密,赎金高达7000万美元。
从这里,我们也可以看到供应链攻击的可怕之处。只要我们赢得供应链企业,其客户和合作伙伴就会受到攻击,由此产生的连锁反应将是全球性和灾难性的。
什么是供应链攻击?
供应链是指创建和交付最终解决方案或产品时涉及的流程、人员、组织和发行人。在网络安全领域,供应链涉及大量资源(硬件和软件)、存储(云或本地)和发行机制(web应用程序、在线商店)和管理软件。
顾名思义,所谓的供应链攻击是针对供应链的网络攻击,并通过供应链将攻击扩展到相关合作伙伴和下游企业客户。
因此,供应链攻击至少分为两部分:一是对供应链的攻击;二是对客户企业的攻击。一个完整的供应链攻击是以供应链为跳板,最终扩大供应链问题,传递给下游企业,产生攻击涟漪效应和巨大的破坏性。
目前,供应链攻击通常和APT结合攻击和勒索攻击,攻击者的最终目标是加密企业设备、系统或数据,从而勒索企业牟取暴利。
由于供应链攻击涉及供应商和企业用户,直接加剧了事件处理、证据收集分析和事件整体管理的复杂性。这意味着企业对攻击的应急响应过程将变得更加复杂,系统恢复时间将更长。因此,供应链攻击往往会造成难以想象的严重后果。
Imperva分享了五种典型的攻击方法:
- 注入供应商的产品(典型的例子)SolarWinds事件)
- 使用第三方应用程序(如邮件/浏览器漏洞)
- 利用开源代码库中包含的漏洞
- 混淆依赖关系
- 恶意接管(作为社区项目维护者,注入恶意代码)
从以上五种典型的攻击技术中,我们也可以发现一些供应链攻击(如依赖混淆)企业可以提前预防,但一些供应链攻击(如使用供应商的产品注入)企业无助。
供应链攻击增长迅速,企业难以忍受皮肤痛苦
2020年12月13日,随着FireEye发布攻击报告,SolarWinds供应链攻击开始进入公众视野。无论是微软、谷歌等大型企业的紧急响应,还是美国政府机构 FBI快速干预让人感觉到“事情很不妙”。
在最终结果出来之前,几乎没有人相信这次攻击产生了如此严重的后果。
12月14日,SolarWinds向美国证券交易委员会(SEC)提交供应链攻击报告。报告显示,微软、英伟达、思科、德勤、VMWare美国国务院、五角大楼、国土安全部、商务部、财政部、司法部、网络安全和基础设施局等世界巨头等大量政府单位都在受害者名单中。
这种情况在过去几乎是不可想象的,这也使得供应链攻击成为网络安全领域的焦点之一。此后,供应链攻击“大事件”层出不穷。
2021年3月,通信和通信占全球航空份额的90%IT制造商,国际航空电信公司(SITA)航空业直接受到供应链攻击“大地震”,汉莎航空、新西兰航空、泰国航空、韩国航空、日本航空等航空公司的业务受到影响,甚至大规模数据泄露。
再比如上面提到的国际软件服务提供商Kaseya无数大型国际企业在供应链攻击中遭受损失,其严重后果使美国政府和微软等IT巨头迅速介入并做出应急响应。
供应链攻击所产生的严重后果进一步激发了网络攻击的动力,而当越来越多的攻击者转向供应链时,供应链攻击事件就如同雪花般散落开来。
总的来说,自2020年以来,供应链攻击呈现爆发式增长趋势,给企业带来了难以忍受的切肤痛苦。
2021年6月,奇安信发布了《2021中国软件供应链安全分析报告》。数据显示,2020年全年,奇安信代码安全实验室检测的代码总量为335011173行,共发现安全缺陷3387642个,其中高危缺陷361812个,整体缺陷密度为10.11个/千行,高危缺陷密度为1.08个/千行。
而Palo Alto Networks 安全咨询部Unit 42发布的《2021年下半年云威胁报告》显示,63%的云基础设施第三方代码模板包含不安全配置,96%的云基础设施第三方容器应用包含已知漏洞。
除分析数据外,Unit 42的研究人员也受到了规模的影响SaaS供应商委托红队演练其软件开发环境。只有三天,Unit 42研究人员就发现了软件开发过程中的重大漏洞,足以让客户轻易受到类似SolarWinds和Kaseya的攻击。
换句话说,漏洞和威胁隐藏在许多地方,因为它们以前没有重视供应链的安全建设。一旦这些漏洞被攻击者利用,SolarWinds事件和Kaseya事件很可能会再次发生。
对此,欧洲网络和信息安全局发布的《供应链攻击威胁分析》报告指出,目前攻击者已将注意力转向供应商,与2020年相比,预计2021年供应链攻击将增加4倍,而且这些攻击对企业的影响也越来越大,包括系统停机、金钱损失和声誉损失。
早在2017年,NotPetya勒索软件利用供应链更新发起攻击,影响全球59个国家的政府部门、医院、银行、机场等系统,造成100多亿美元的损失。
此前,CrowdStrike发布的调查数据也说明了这一问题。调查结果显示,2018年,三分之二的被调查企业遭遇软件供应链攻击;90%的企业因软件供应链攻击而遭受财产损失,平均成本超过110万美元;80%的受访者认为,软件供应链攻击将成为未来三年最大的网络威胁之一。
现在,三年过去了,预测成真了,供应链攻击也成了严重的网络威胁。
BlueVoyant根据最新报告,2020年供应链风险大幅增加,全球约93%的大中型企业因供应链薄弱而直接受到破坏。SolarWinds漏洞和勒索软件攻击突出了企业组织面临的供应链攻击风险。
下一代软件供应链攻击正在爆发
下一代软件供应链等技术的广泛应用,下一代软件供应链的威胁也在逐渐爆发。
与业内人士相比,全球开源技术发展迅速,应用迅速。数据显示,GitHub 活跃代码仓库和活跃用户数量分别增加35.3% 和21.2%;Gitee 代码仓库和用户数量的增长数据达到192%和162%。
同时,企业“借用”开源代码变得越来越普遍,但其安全性难以保证。
例如,2021年10月28日,抖音前端宣布UI库Semi Design 开源后,立即发现阿里巴巴同类产品 存在于其代码中Ant Design 的痕迹。假设抖音是开源的,“借用”不会发现行为,反过来证明,“借用开源代码”是一件非常“平常”的事情。
根据Sonatype在最新发布的《2021年软件供应链状况报告》中,全球对开源代码的强劲需求导致软件供应链攻击同比增长650%。全球开发商从第三方开源生态系统开始“借用”超过2.2为了加快上市时间,有数万亿个开源软件包或组件。然而,这些开源软件和组件存在各种漏洞,这大大增加了供应链攻击的风险。
而CVE根据官网统计,2020年发布的开源漏洞中没有 CVE 官方收录的漏洞有 1362个 ,占 2020年发布的 23.78%;CVE 官方未收录的数据呈上升趋势,增长率逐年上升。2018年 比2017 年增长率达到 133.52%。
越来越多的数据表明,下一代供应链攻击正在到来,其显著特征是故意针对“上游”开源组件,进行更积极的攻击。
此时,攻击者不再被动地等待漏洞的出现,而是主动向支持供应链的开源项目注入新的漏洞。因此,下一代软件供应链攻击将更加隐蔽,并将有更多的时间攻击下游企业,危险性会更高。
与国外相比,国内下一代软件供应链攻击的风险也存在。
原因是国内开源技术自2020年以来蓬勃发展,但其安全性并不乐观。根据奇安信发布的《2021年中国软件供应链安全分析报告》,国内企业80%以上的软件项目存在已知的高风险开源软件漏洞;每个软件项目平均有66个已知开源软件漏洞。2020年检测到的1364个开源软件项目的整体缺陷密度为14.96个/千行,高危缺陷密度为0.95个/千行。
由此可见,国内开源技术的安全性令人担忧,下一代软件供应链的风险也将居高不下。
供应链安全已经脱离了企业的控制
与日益增长的供应链攻击威胁相比,下游企业缺乏有针对性和有效的保护手段。这意味着,即使企业本身具有良好的安全能力,也很难有效地预防和应对供应链攻击。
这就和食品供应链一样,当生产食品的原料有不健康的成分(比如添加剂不合格或超标),那么生产出来的食品很有可能是不健康的。软件供应链安全也是如此,如果上游提供的“代码”如果有问题,企业使用的产品也有问题。
最重要的是,企业无法确定哪些产品存在问题,也无法解决上游企业代码的问题,因此自然无法进行预防和控制。另一方面,攻击者可以通过供应商的渠道成功入侵企业,并在内部发起攻击。这就像你周围的一个好朋友突然捅了你一刀。如果你不小心,受伤的概率会很高。
众所周知,软件供应链可分为三个主要环节:开发、交付和运营,每个环节都可能引入供应链安全风险并受到攻击。攻击者可以通过攻击软件开发人员和供应商来访问源代码、构建过程或更新机制。由于这些恶意软件来自可靠的供应商渠道和数字签名,因此很容易绕过企业现有的安全保护系统,完成下一次攻击。
随着网络攻击的趋利性和潜伏性的增加,供应链攻击表现出非凡的耐心。许多攻击者长期潜伏在企业内部,一旦爆发,将给企业带来严重损失。
同时,企业对供应链攻击的应急响应过程过于繁琐,时间过长,黄金时间内难以完成应急响应和数据恢复。
这也是为什么供应链攻击往往能在下游企业爆发后取得好成绩的原因。
巨人开始应对供应链攻击
面对燃烧眉毛的供应链攻击威胁,越来越多的企业和有识之士意识到,仅仅依靠一个企业是无法应对供应链攻击的,因此必须从上游收集行业的力量“安全威胁”。
基于此,微软、英特尔和高盛在可信计算组 (TCG) 成立了专注于供应链安全的新工作组。
这个组织将在未来TCG在可信计算平台的支持下,如广泛使用的可信平台模块 (TPM) 开发、定义和推广开源和供应商中立的行业标准和标准。
有两点很关键:
- 确保设备的真实性;
- 帮助组织恢复网络安全攻击。
然而,要做到这两点显然并不容易。因此,企业将支付非常高的成本,这将降低企业采取相应防护措施的主观意愿。这意味着新成立的供应链安全真正发挥了作用。还有很长的路要走。
此外,苹果、微软、IBM、为了提高供应链的安全性,亚马逊也在积极制定相关计划。
其中,美国将全面加强与供应商的合作,采用多重身份认证,进一步确保安全;亚马逊还表示,它将为用户提供免费的多重身份验证设备,以提高安全性和安全意识培训。
中国也在不断加强供应链的安全。
为有效提高开源技术的安全性,中国人民银行等五个部门最近联合发布了《关于规范金融业开源技术应用和发展的意见》,提高应用水平和独立控制能力,促进开源技术的健康可持续发展。
事实上,在国家/行业层面制定相应的监管政策要求和标准是应对供应链攻击的有效措施。同时,建立国家/行业软件供应链安全风险分析平台,将软件供应链安全相关工作纳入产品评价和系统评价。
当然,最重要的是要对供应链攻击保持足够的警惕,聚集行业力量共同应对。正如《意见》中提到的,企业用户在购买软件和应用开源技术时应充分评估,建立完善的使用规范,确保安全底线。