背景介绍

2020年12月，全世界见证了迄今为止最大且最复杂的网络间谍攻击活动之一——SolarWinds攻击事件。在这起攻击事件中，攻击者通过向SolarWinds公司开发的流行网络管理平台的合法软件更新中注入恶意代码，入侵了美国联邦机构及众多企业网络。

据悉，FireEye在跟踪一起被命名为“UNC2452”的攻击活动中，发现了SolarWinds Orion软件在2020年3-6月期间发布的版本均受到供应链攻击的影响。攻击者在这段期间发布的2019.4-2020.2.1版本中植入了恶意的后门应用程序。这些程序利用SolarWinds的数字证书绕过验证，与攻击者的通信会伪装成Orion Improvement Program(OIP)协议并将结果隐藏在众多合法的插件配置文件中，从而达成隐藏自身的目的。

如今，几个月过去了，美国政府和私营企业仍在努力探索攻击的全部范围，但该事件无疑已经引起了人们对研究人员多年来一直强调的一个问题的广泛关注：软件供应链的安全性。

随着企业组织争先恐后地调查自己的系统和数据是否可能受到SolarWinds入侵的影响，高管、董事会和客户们发现，供应链攻击的威胁范围不仅限于这起事件，而且缓解与之相关的风险并非易事。安全领导者和专家们表示，在经历类似SolarWinds这样的软件供应链攻击事件后，CISO应该关注下述这些最重要的问题。

CISO应关注的5个问题

1. 即使不使用后门软件，我们是否仍处于危险之中?

在发生类似SolarWinds的攻击事件之后，企业领导者应该询问IT和网络安全管理者，他们的组织是否直接使用了受影响的软件。如果答案是肯定的，那么公司应该立即启动事件响应计划，以识别、遏制和消除威胁，并确定对业务的影响程度。

如果答案是否定的，也并不意味着该组织就是安全的。后续应该考虑的问题是：我们的合作伙伴、承包商或供应商是否受到损害?原因在于：

• 其一，供应链攻击的影响范围很广;
• 其二，公司会定期向其他方提供访问其数据或网络和服务器的权限。

重要的是，我们必须了解这样一个事实：软件供应链攻击非常复杂，并且会随着时间的推移加剧影响。

• 自2017年以来，一家名为“Winnti”(也称Barium或APT4)的中国网络间谍组织就曾实施过这种类型的攻击。当时，该组织在Netsarang公司官方发布的服务器管理软件Xshell中植入后门;
• 同年，该组织又设法在流行的系统优化工具CCleaner中植入恶意代码，并向200多万台计算机提供了恶意更新。
• 2019年，该组织又利用华硕官方服务器和数字签名推送恶意软件ShadowHammer。

研究人员认为，所有这些攻击都可以相互关联，一次攻击为执行下一次攻击提供了访问权限。

在今年2月的白宫新闻发布会上，网络与新兴技术副国家安全顾问Anne Neuberger承认了这一威胁，并警告说政府将需要数月的时间才能确定攻击的全部范围。她介绍称，

Northrop Grumman公司副首席信息安全官(CISO)Mike Raeder认为，董事会需要对此类攻击的技术方面进行更深入地了解。从长远来看，董事会应该纳入前CIO或CISO来实现自身多元化。他表示，

2. 我们当前的安全计划是否涵盖软件供应链威胁?

防御软件供应链攻击的主要问题是，它们滥用了用户和供应商之间的信任关系，并且滥用了特定软件的合法访问权和特权来执行其功能。从用户的角度来看，他们下载的软件来自信誉良好的来源，并且通过正确的发行或更新渠道进行了数字签名。用户没有能力对其基础架构中部署的软件更新进行逆向工程或代码分析，而且一般企业也不是安全厂商，并不存在具备这些技能的员工。

企业组织必须假设，他们可能无法检测到最初的软件供应链入侵。但是，他们可以采取措施来阻止和检测攻击的第二阶段，这包括尝试下载其他工具和有效负载，尝试与外部命令和控制服务器进行通信以及尝试横向移动到其他系统等。

3. 如果政府机构和像FireEye这样的安全供应商受到损害，我们如何保护自己?

Webb表示，企业组织需要关注其安全程序的成熟度。每个组织可能都构建了具有防火墙、入侵检测和防御系统、DNS控制和其他具备创建边界功能的防护措施，但是他们并没有付出很多努力来强化其内部环境。

组织可以检测到横向移动活动(例如企图滥用管理凭据)，但这通常需要高级监视和行为检测工具以及大型安全运营中心的支持，而这些对于中小型组织而言都是无法承受的。这些组织可以做的就是确保他们部署了基础安全防护，并且所有系统和内部环境都尽可能地坚固。

以Avalon公司为例，其内部网络上的通信都经过了加密处理，这样，在受到威胁的情况下，攻击者即便可以拦截流量也无法从流量中提取凭据或其他有用信息。所有DNS流量都必须通过防火墙和DNS过滤器，并且允许服务器连接的所有URL都必须是白名单中的。这样可以确保如果服务器受到威胁，那么恶意代码将无法到达命令和控制服务器，并下载其他恶意工具或执行恶意命令。

完成部署后，所有服务器都需要经过强化过程，在此过程中，一切都是被锁定和阻止的，然后根据需要对连接设置白名单。数据库也是一样。访问数据库的服务器只能查看其执行工作所需的操作。仅从内部服务器提供更新，而不能直接从Internet提供更新，从而防止受到感染的服务器打开外部连接。用户绝不能使用管理员凭据登录，并且只能使用白名单中的应用程序。最终用户、Windows服务器和Linux服务器分别位于单独的目录中，这样一来，如果一个目录遭到破坏，也不至于危及整个环境。

Webb表示，7年前，我们开始应用零信任原则，它实际上是仅根据您信任的内容以及设备应该具有的功能来管理设备。其他所有一切都是不可信的，都应被阻止。如果存在试图违反该规则的事情，就必须警惕：为什么这个系统试图做我不打算做的事情?

实际上，发现并报告此次SolarWinds攻击的FireEye公司也曾沦为攻击目标，据悉，攻击者将一个二级设备添加到了一名员工的账户中，以绕过多因素身份验证。这种行为被及时检测到并标记为可疑，而该员工随后也接受了讯问。

Webb表示，这可能就是问题的答案：坚持零信任和行为管理。如果某些事情违反了您的零信任原则，则必须对其进行调查。

4. 软件供应链攻击是否会导致对供应商和提供商进行更仔细的审查?

一些组织在选择其软件解决方案或服务时，可能会考虑供应商的漏洞管理实践：他们如何处理外部漏洞报告?他们多久发布一次安全更新?他们的安全通信是什么样的?他们会发布详细的建议吗?他们是否具有旨在减少其软件漏洞数量的安全软件开发生命周期?一些公司可能还会要求提供有关渗透测试和其他安全合规性报告的信息。

但是，对于像SolarWinds这样的攻击，软件开发组织需要超越这一点，并投资于更好地保护自己的开发基础架构和环境，因为它们正日益沦为攻击者的目标，并且可能通过他们使用的工具和软件组件成为软件供应链攻击的受害者。他们还需要考虑在应用程序设计阶段给用户带来的风险，并通过限制特权和访问应用程序(只授权执行操作所需的特权和应用程序)，来限制入侵可能带来的影响。

Webb表示，我们的责任将是对供应链施加压力：您必须加强自己的产品和服务。供应商们应该清楚地知道，必须测试和审计自己的代码，不是一年一次，而可能是每月一次的频率或是在进行任何部署之前。业务领导者需要敦促IT领导者，以确保他们只与信誉良好的供应商，以及已经采取下一步措施来保护组织正在使用的代码的人员进行合作。

凤凰城大学信息安全副总裁Larry Schwarberg表示，对于许多组织而言，朝这个方向迈出的第一步将是确认其所有软件和SaaS供应商，并为新应用程序和服务明确定义启用流程。许多组织存在“影子IT”问题，即不同的团队在未经安全团队审查和批准的情况下自行购买和部署硬件及软件资产。这无疑加剧了锁定应用程序以及强制执行最小特权访问的难度。

Schwarberg补充道，随着随着合同和订阅续订的纷涌而至，组织应向其软件和服务提供商询问有关渗透测试，以及如何测试其软件并限制潜在影响等更深层次的问题

从供应链安全的角度对软件供应商进行全面评估并不容易，并且需要许多公司可能并不具备的资源和专业知识，但是，审计组织可能会利用此事件作为催化剂，并围绕此事件建立更多的功能。

5. 这种类型的攻击仅由APT组织和民族国家黑客发起吗?

迄今为止，许多备受瞩目的软件供应链攻击(包括SolarWinds攻击和ShadowPad攻击)都归因于与政府有可疑联系的APT组织。根据大西洋理事会(Atlantic Council)对过去10年中披露的115种软件供应链攻击和漏洞的分析结果发现，其中至少27种是民族国家赞助的。但是，实施软件供应链攻击所需的技能和资源并不仅限于传统的网络间谍组织。

多年来，各种攻击都涉及后门开源组件或后门版本的合法应用程序，这些后门版本由受感染的下载服务器提供服务，而这些服务器很可能是网络犯罪分子出于经济动机发起的。甚至还存在一个与勒索软件有关的案例。

在过去几年中，许多勒索软件团伙采用了过去仅在APT组织中才能看到的复杂技术，包括内存中进程注入，深度侦察，使用系统管理工具进行的手动黑客入侵和横向移动，无文件恶意软件等等。一些勒索软件团伙还针对管理服务提供商(managed service providers，简称“MSP”)进行了攻击，这些攻击在概念上与软件供应链攻击相似：针对可以凭借业务关系对其他公司进行特权访问的组织。

如今，越来越多的网络雇佣军团体在地下网络犯罪市场向政府和私人实体出售黑客服务。随着越来越多的组织开始采用这种攻击媒介，所有组织(无论大小或是从事的行业)都可能通过软件供应链入侵而成为APT式攻击的受害者。