从solar winds黑客入侵事件中看供应链安全

最新消息显示，美国和英国正式将俄罗斯对外情 局（SVR）认定为SolarWinds 黑客入侵事件的幕后黑手。为此，美国财政部已对俄罗斯实施全面制裁，包括制裁了六家俄方企业，并计划驱逐俄罗斯驻华盛顿大使馆的 10 名官员。

近年来，软件供应链攻击安全问题频频发生。调查显示，这些攻击造成的企业损失平均超过100万美元，因此，防御供应链攻击是十分必要的。现在我们来盘点下SolarWinds 供应链攻击的事件始末、影响，以及带给企业的一些思考。

什么是软供应链攻击h2>

想知道供应链攻击，就得先了解下什么是供应链。
供应链是指生产及流通过程中，涉及将产品或服务提供给最终用户活动的上游与下游企业所形成的 链结构。整个过程涉及原料供货商、供应商、制造商、仓储商、运输商、分销商、零售商以及终端客户。
供应链结构基本呈“线性”模式，所以当供应链上游出现干扰时，必将影响下游。也就是说，当恶意攻击者在受信任的第三方合作伙伴或提供商的软件上安装恶意软件，就有可能依赖供应链上的信任关系逃避传统安全产品的检查,潜入目标 络，实施非法攻击。这类型的攻击就是供应链攻击。

愈演愈烈的软供应链攻击

目前，供应链攻击的频率和成熟度在不断提高。根据行业估计，供应链攻击现在占所有 络攻击的50％，去年同比激增了 78％。多达三分之二的公司经历了至少一次供应链攻击事件。同时，80%的IT专业人士认为软件供应链攻击将是他们的企业在未来三年面临的最大 络威胁之一。

以下是供应链攻击的常用攻击方式：

• **损害软件更新服务器。**黑客通过入侵公司用来分发软件更新的服务器，窃取或伪造证书签名的软件更新，将恶意软件带进攻击目标。一旦应用程序自动更新，就会迅速感染大量系统。

  **获得对软件基础结构的访问权限。**黑客使用 会工程学技术渗透到开发基础架构中，破坏构建环境和服务器，从而在软件编译和签名之前将恶意代码注入软件。而一旦软件进行了数字签名，就很难检测出恶意代码。

  **攻击第三方代码库。**恶意软件还通过第三方代码（例如源代码存储库、软件开发工具包和开发人员在其应用程序中使用的框架）传递。如果 络罪犯访问该存储库，则他们可以像授权开发人员一样更改代码，这提供了将恶意代码添加到产品核心的机会。

其中，源代码存储库成为下一代软件供应链攻击的主要媒介。Synopsys在《2020软件供应链 告》中指出，当前超过90%的现代应用融入了开源组件，其中11%OSS组件中存在已知漏洞。而同时，针对开源项目的 络攻击数量同比增加了430%。下一代软供应链攻击方式正在兴起。

对于上游的软件供应商和开发人员
我们建议：
1、构建安全的软件更新程序，强化软件开发生命周期管理。
2、制定针对供应链攻击的事件响应流程，及时准确地通知客户。
3、加强员工安全意识培训，避免被攻击者钓鱼攻击。
4、建立“快速升级态势”，快速响应新的零日漏洞。

对于下游的厂商
我们建议：
1、应用零信任原则强化内部环境，包括加强账 验证、令牌验证、访问源校验等，持续性验证访问用户身份，收敛攻击暴露面，降低攻击成功概率。这样，即使恶意代码进入了内部环境，也无法越权访问。
2、采取部署蜜罐等基于行为的攻击检测解决方案，抵御复杂的供应链攻击，提高防御速度。一旦攻击者进行横向渗透，遍布全 的蜜罐就能快速感知。同时，蜜罐会将数据集中到本地威胁情 上，利用大数据分析和机器学习技术，生成完整的攻击者“画像”，从而主动防御新的攻击。这样，即使供应链攻击者更新源代码，也能快速发现。
3、建立纵深防御体系，联动威胁情 产品，快速拦截攻击，全局视角提升对威胁的发现识别、理解分析、响应处置。