股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
亚信安(ān)全:以“零信任+XDR”斩断供应链APT攻击
发布时间 :2021年01月28日
类型 :勒索软件
分(fēn)享:
近期的SolarWinds供应链攻击事件绝对不是一件随随便便就可(kě)以开始和结束的大事件。
2020年12月,网络安(ān)全世界再遭黑客挑战,他(tā)们侵入了IT软件提供商(shāng)SolarWinds的网络,利用(yòng)SolarWinds 的 Orion 平台软件秘密分(fēn)发恶意软件来监视用(yòng)户,并提取敏感数据文(wén)档。在最近的报道中(zhōng)可(kě)以发现,数百家组织,包括政府机构和私营企业等都受到影响,同时这个名(míng)单还在持续增長(cháng)。这也就是所有(yǒu)网安(ān)工(gōng)程师最為(wèi)担心的“供应链攻击”。
以零信任PK供应链攻击
实际上供应链攻击早已成為(wèi)APT攻击中(zhōng)的常用(yòng)攻击手段,具(jù)备了攻击手法隐蔽,检测困难等特点,且危害极大。2013年的棱镜门事件、2015年的XcodeGhost事件、2017年的Xshell后门代码,均是攻击者通过供应链攻击手法,无论是受攻击企业,还是普通大众,均受到了巨大的影响。而本次SolarWinds事件作(zuò)為(wèi)最严重的供应链攻击事件之一,涉及面广、影响大,更应该敲响人们对于供应链安(ān)全的警钟。
需要警惕的是,许多(duō)企业默认将供应链列為(wèi)“可(kě)信”,这加大了APT攻击的防范难度。例如:针对SolarWinds的攻击者在2019.4-2020.2.1版本中(zhōng)植入了恶意的后门应用(yòng)程序,这些程序就利用(yòng)到了SolarWinds的数字证书绕过验证。
这对于依赖数字化平台开展业務(wù)的用(yòng)户来说,压力山(shān)大。现在,每一个产(chǎn)品的开发总是存在大量的合作(zuò)商(shāng),很(hěn)多(duō)系统越来越复杂、越来越庞大,大多(duō)是通过模块化、组件化的方式,需要引入第三方的模块或者和第三方的业務(wù)系统对接并使用(yòng)其提供的数据,但我们无法完全掌控第三方系统的安(ān)全性,如果其存在漏洞(也包括合作(zuò)伙伴网络中(zhōng)存在的“水坑”攻击、跳板攻击等)被攻击,需要保证我们自己的系统不会因此而受到影响。所以,零信任将是应对供应链攻击最有(yǒu)效的方案之一。
对于软硬件的供应链来说,传统网络安(ān)全架构的逻辑可(kě)看成是“全信任”——我肯定信任你们,但是我要全方位、一层一层地检查。殊不知,但凡信任之后再检查,就始终有(yǒu)疏忽的地方。零信任作(zuò)為(wèi)一种全新(xīn)的安(ān)全保障概念,它的核心是商(shāng)业机构不会缺省信任任何内部或外部的网络链接或信息请求,所有(yǒu)对于系统的访问都会建立在身份、端点、服務(wù)等一系列参与服務(wù)的角色,必须得到安(ān)全策略一致的验证和授权之后才能(néng)进行。因此,这必将是替代传统网络安(ān)全架构和防御策略的核心,更是企业未来数字化商(shāng)业的一个重要基础。
以XDR揪出并治理(lǐ)供应链威胁
回顾SolarWinds事件,根据相关报告描述,攻击者会让代码在休眠2周左右之后采用(yòng)第三方进行通信,并且根据返回的指令执行操作(zuò),包括传输文(wén)件、执行文(wén)件、重启系统等。而这些通信会伪装(zhuāng)成Orion Improvement Program(OIP)协议并将结果隐藏在众多(duō)合法的插件配置文(wén)件中(zhōng),从而达成隐藏自身的目的。不过,从这条信息中(zhōng),我们其实可(kě)以看到一个“有(yǒu)趣”的事情——这次攻击“太着急了”。
通过对历史上重大数据窃取事件的分(fēn)析,亚信安(ān)全发现,APT攻击者平均潜伏的天数長(cháng)达 205 天,有(yǒu)的甚至可(kě)能(néng)潜伏長(cháng)达数年之久。这也代表了APT攻击最為(wèi)显著的特征——隐匿行踪、長(cháng)期潜伏、持续渗透。
发现APT攻击者在内部系统的藏身之处有(yǒu)一定的难度,但不是说企业就束手无策。针对APT攻击的每个阶段,亚信安(ān)全的XDR解决方案,对应包括了“准备、发现、分(fēn)析、遏制、消除、恢复、优化”这7个阶段。准备阶段包括了针对每一种黑客攻击类型的标准预案,自发现威胁数据之后,将数据集中(zhōng)到本地威胁情报和云端威胁情报做分(fēn)析,利用(yòng)机器學(xué)习和专家团队,通过分(fēn)析黑客进攻的时间、路径、工(gōng)具(jù)等所有(yǒu)细节,其特征提取出来,再进行遏制、清除、恢复和优化。
写在最后,也写给“自己”
回顾针对供应链发动APT攻击的真实案例再次证明了,在软硬件开发交付环节被攻击后会产(chǎn)生巨大危害,故软件开发及交付环节的安(ān)全防范至关重要。為(wèi)此,亚信安(ān)全建议软硬件厂商(shāng)在开发交付环节尽可(kě)能(néng)做到:
1. 建立可(kě)信的开发环境,这包括可(kě)控可(kě)信任的软硬件环境,诸如正规渠道購(gòu)买、下载的软硬件,可(kě)信的第三方开源/商(shāng)业库、算法等,采購(gòu)安(ān)全可(kě)信的软件外包服務(wù)。关注所用(yòng)组件的安(ān)全通告,如被揭露出严重安(ān)全问题,通过配置或加入其他(tā)安(ān)全性控制作(zuò)為(wèi)缓解措施,必要时升级相关的组件。
2. 培养开发人员的安(ān)全意识,将SDL融入到开发流程中(zhōng),把安(ān)全性的评估作(zuò)為(wèi)开发过程中(zhōng)的必要评审项。开发环节严格遵守开发规范,开发完成的软硬件发布前,交给独立的内部或外部测评组织进行安(ān)全性评估,及时解决所发现的问题。
3. 在正规且统一的可(kě)信渠道发布软件,软件安(ān)装(zhuāng)运行时能(néng)够提供强校验能(néng)力,升级更新(xīn)自身时校验下载回来安(ān)装(zhuāng)包的签名(míng),并且将相关签名(míng)证书作(zuò)為(wèi)企业核心资产(chǎn)严格保管,保证证书不泄露,不会运行被劫持的升级包。
最后,还有(yǒu)一点值得关注,与SolarWinds类似的國(guó)内外IT管理(lǐ)软件,均存在着权限过大的问题,一旦被入侵,所造成的影响也将覆盖到整个业務(wù)层面。具(jù)體(tǐ)来说,IT运维管理(lǐ)软件在企业网络架构中(zhōng)拥有(yǒu)绝对的超级权利,从技(jì )术角度来看,它控制了工(gōng)作(zuò)在底层的运维平台,就能(néng)将整个网络的信息转发到任何一个接收点,没有(yǒu)任何障碍,且不易察觉。甚至在一些特殊行业(金融、能(néng)源、制造)的封闭网络,别有(yǒu)用(yòng)心者(“内鬼”)一旦触及或接管运维系统的管理(lǐ)权,用(yòng)户也很(hěn)难确保核心数据不会造成泄露。
分(fēn)享到微信
X