拜登崩溃了,俄罗斯原来是个“高级黑”……
最新消息显示,美国和英国正式将俄罗斯对外情报局(SVR)认定为SolarWinds 黑客入侵事件的幕后黑手。为此,美国财政部已对俄罗斯实施全面制裁,包括制裁了六家俄方企业,并计划驱逐俄罗斯驻华盛顿大使馆的 10 名官员。
近年来,软件供应链攻击安全问题频频发生。调查显示,这些攻击造成的企业损失平均超过100万美元,因此,防御供应链攻击是十分必要的。现在我们来盘点下SolarWinds 供应链攻击的事件始末、影响,以及带给企业的一些思考。
什么是软供应链攻击?
想知道供应链攻击,就得先了解下什么是供应链。
供应链是指生产及流通过程中,涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的网链结构。整个过程涉及原料供货商、供应商、制造商、仓储商、运输商、分销商、零售商以及终端客户。
供应链结构基本呈“线性”模式,所以当供应链上游出现干扰时,必将影响下游。也就是说,当恶意攻击者在受信任的第三方合作伙伴或提供商的软件上安装恶意软件,就有可能依赖供应链上的信任关系逃避传统安全产品的检查,潜入目标网络,实施非法攻击。这类型的攻击就是供应链攻击。
SolarWinds 黑客入侵事件就属于典型的供应链攻击。
SolarWinds是美国知名的基础网络管理软件供应商,全球大概有33,000名客户使用其旗下的Orion网络监控软件。恶意攻击者将恶意代码隐藏在Orien软件更新包中,通过受信任的供应链自动分发给下游的33,000名客户。一旦用户更新该软件,恶意代码就会以与应用相同的信任和权限运行,攻击者进而获得用户系统的访问权。
通过这种方式,黑客“隔山打牛”完成了对Orion客户——美国五角大楼和国土安全部、能源部、财政部、微软、Fireeye和其他组织的攻击。
愈演愈烈的软供应链攻击
目前,供应链攻击的频率和成熟度在不断提高。根据行业估计,供应链攻击现在占所有网络攻击的50%,去年同比激增了 78%。多达三分之二的公司经历了至少一次供应链攻击事件。同时,80%的IT专业人士认为软件供应链攻击将是他们的企业在未来三年面临的最大网络威胁之一。
以下是供应链攻击的常用攻击方式:
- 损害软件更新服务器。黑客通过入侵公司用来分发软件更新的服务器,窃取或伪造证书签名的软件更新,将恶意软件带进攻击目标。一旦应用程序自动更新,就会迅速感染大量系统。
- 获得对软件基础结构的访问权限。黑客使用社会工程学技术渗透到开发基础架构中,破坏构建环境和服务器,从而在软件编译和签名之前将恶意代码注入软件。而一旦软件进行了数字签名,就很难检测出恶意代码。
- 攻击第三方代码库。恶意软件还通过第三方代码(例如源代码存储库、软件开发工具包和开发人员在其应用程序中使用的框架)传递。如果网络罪犯访问该存储库,则他们可以像授权开发人员一样更改代码,这提供了将恶意代码添加到产品核心的机会。
其中,源代码存储库成为下一代软件供应链攻击的主要媒介。Synopsys在《2020软件供应链报告》中指出,当前超过90%的现代应用融入了开源组件,其中11%OSS组件中存在已知漏洞。而同时,针对开源项目的网络攻击数量同比增加了430%。下一代软供应链攻击方式正在兴起。
企业该如何应对供应链攻击
供应链攻击,已经成为APT攻击中的常用攻击手段,该攻击方法存在以下特点:
- 攻击面广,危害极大。由于软件供应链是一个完整的流动过程,因此在软件供应链上发生的攻击具有扩散性。一旦突破供应链的上游一环,便会“伤及一片”,对大量的软件供应商和最终用户造成影响。
- 潜伏周期长,检测困难。因为恶意代码是跟随”可信任”的软件更新进入到内网环境中,所以具有高度隐藏性。它可以欺骗并绕过外部防护,然后在目标网络环境中建立高权限账户,不断地访问并攻击新的目标。而且,不少软件供应链攻击者不直接攻击供应商,而是利用供应商来规避公司的网络安全机制检测风险。因此,想要从根源上就检测出攻击行为十分困难。
面对越来愈频繁的供应链攻击,需要上下游企业的共同努力,通过共同建立联防联控体系,提升遭受供应链攻击时的响应处置和恢复能力。
(1) 对于上游的软件供应商和开发人员
我们建议:
- 构建安全的软件更新程序,强化软件开发生命周期管理。
- 制定针对供应链攻击的事件响应流程,及时准确地通知客户。
- 加强员工安全意识培训,避免被攻击者钓鱼攻击。
- 建立“快速升级态势”,快速响应新的零日漏洞。
(2) 对于下游的厂商
我们建议:
- 应用零信任原则强化内部环境,包括加强账号验证、令牌验证、访问源校验等,持续性验证访问用户身份,收敛攻击暴露面,降低攻击成功概率。这样,即使恶意代码进入了内部环境,也无法越权访问。
- 采取部署蜜罐等基于行为的攻击检测解决方案,抵御复杂的供应链攻击,提高防御速度。一旦攻击者进行横向渗透,遍布全网的蜜罐就能快速感知。同时,蜜罐会将数据集中到本地威胁情报上,利用大数据分析和机器学习技术,生成完整的攻击者“画像”,从而主动防御新的攻击。这样,即使供应链攻击者更新源代码,也能快速发现。
- 建立纵深防御体系,联动威胁情报产品,快速拦截攻击,全局视角提升对威胁的发现识别、理解分析、响应处置。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
见证信任的力量 赋能数字经济发展
4月23日,以“见证信任的力量”为主题的2021年信任互联大会在北京圆满召开。本次大会由全国信息安全标准化技术委员会和北京市密码管理局指导,北京数字认证股份有限公司和中国科学院大学数据保护研究中心联合主办,是国内首届聚焦网络信任领域的盛会,希望通过本次会议集业界合力,构造出一个符合时代特征的网络信任体系,营造出“天朗气清、生态良好”的网络空间,赋能数字经济高质量发展。 中国科学院大学数据保护研究中心主任荆继武教授主持开场 致力打造网络信任新格局 中央网信办网络安全协调局副局长、一级巡视员 高林 中央网信办网络安全协调局副局长、一级巡视员高林在致辞中强调,党的十八大以来,以习近平同志为核心的党中央高度重视网络安全和信息化工作,围绕网络强国建设发表一系列重要的论述,作出一系列重大部署,推动网信事业取得历史性成就,总书记深刻指出网络安全牵一发动全身,深刻影响政治、经济、文化、社会、军事等各个领域安全,没有网络安全就没有国家安全,就没有经济社会的稳定运行,广大人民群众的利益也难以得到保障。 截至2020年12月,我国网民规模达到9.89亿,构成了全球最大的数字社会。网络可信体系建设对于维护网络...
- 下一篇
Darkside勒索软件攻击升级,不给钱就“做空”企业
根据最新的动态,勒索软件Darkside正采用全新技术针对已经在纳斯达克或者其他股票市场上市的公司,试图通过网络攻击手段做空企业,让公司股价下跌,增加受害者的压力。 4月20日,DarkSide的数据泄露网站上公开写道:“我们的团队和合作伙伴加密了许多纳斯达克和其他证券交易所上市公司的数据。如果公司拒绝支付赎金,我们准备公布攻击信息,从而在股票减持价格中获利。” 这也就是说,一旦有不道德的交易者愿意接受DarkSide的报价,那么该勒索团伙就可以通过售卖上市公司内幕信息牟利,当交易者数量足够多的情况下,公司的股票完全可能因人为操纵而下跌。对于勒索团伙来说,其目的在于加大恐吓,逼迫受害者支付赎金,但做空的风险和可能性似乎是存在的。 从投资者角度来看,内幕交易活动会对公司的股票产生多大影响?穆迪投资的副总裁兼网络风险分析师Leroy Terrelonge表示:股票的波动通常是短暂的,交易者从黑客那里得到的任何事先通知最终都会随着市场上其他人同样获得这些信息后而不再产生影响。也就是当正确的信息通过市场过滤,证券价格就会回到之前的水平。 参考来源:scmagazine 【责任编辑:赵宁宁 TE...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Linux系统CentOS6、CentOS7手动修改IP地址
- 2048小游戏-低调大师作品
- CentOS8安装Docker,最新的服务器搭配容器使用
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- 设置Eclipse缩进为4个空格,增强代码规范
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16