每個組織都仰賴軟體供應鏈。熟悉的應用程式建立在包含開放原始碼、API 和第三方整合的 Web 上,這一切讓它們得以順利執行。出於這種相互依賴的動態,採用一款新工具意味著選擇信任其整個開發生態系統,而不僅僅是工具本身。
利用這種現象的軟體供應鏈攻擊,是一種越來越普遍的破壞企業網路的攻擊方法。Gartner 預測,「到 2025 年,全球 45% 的組織將遭受軟體供應鏈的攻擊,比 2021 年增加三倍。」
相比直接侵犯目標的網路,攻擊者通常會利用目標所依賴的第三方應用程式或開放原始碼中的弱點。這提供對目標網路的間接存取。
即便如此,軟體供應鏈攻擊有時更多的是機會主義,而非針對性。攻擊者不會從目標逆向找出他們的供應商,而是會入侵廣泛使用的東西,例如開放原始碼或特定應用程式,然後從中獲益。這些攻擊很有吸引力,因為相對於所需的努力,它們提供了可觀的回報。
攻擊者可透過多種方式存取第三方資源,例如使用遭竊的帳號認證,或者利用零時差或未修補的弱點。然後,他們使用此特殊權限存取來發動下游攻擊。軟體供應鏈攻擊可採取不同的形式,包括:
第三方網路存取。如果第三方或供應商遭到入侵,攻擊者可利用其權限從客戶和合作組織處竊取資料、向其散佈惡意程式碼等。例如,在 Kaseya 攻擊中,網路犯罪幫派 REvil 利用了用於公司遠端監控和管理解決方案的伺服器中的漏洞。然後,REvil 使用這些提高的權限將勒索軟體部署到數百名 Kaseya 客戶。
軟體/應用程式更新。裝置可能下載隱藏在更新包中的惡意程式碼。2017 年,俄羅斯攻擊者就採用了這種方法,他們在流行的烏克蘭會計軟體的更新中嵌入了 NotPetya 惡意程式碼。攻擊的影響範圍遠不止烏克蘭,白宮評估此次攻擊造成的全球損失為 100 億美元。
開放原始碼封裝。公司通常會使用開放原始碼(或可公開存取的)程式碼,將軟體開發的效率最大化。然而,當在此程式碼中發現弱點時,使用它的組織將面臨風險。除了利用已知弱點外,攻擊者還可能將惡意代碼植入這些封裝中,作為傳播惡意程式碼的另一種方法。
另請注意,儘管基於軟體的攻擊最普遍存在,66% 的攻擊集中在供應商程式碼上,但供應鏈攻擊可能採取不同的形式。例如,微晶片、筆記型電腦、物聯網 (IoT) 裝置和作業技術 (OT) 都可能遭到入侵。韌體(或者說嵌入到硬體中的軟體)也可能成為目標。
SolarWinds 攻擊可以說是最知名的軟體供應鏈攻擊範例。2020 年 12 月,網路安全提供者 FireEye 報告說,他們成為了一場攻擊的受害者。俄羅斯網路犯罪組織 Nobelium 已將目標對準 FireEye 的 IT 監控供應商 SolarWinds,並將惡意程式碼插入他們的一個軟體更新套件中。總共有 18,000 個組織下載了受感染的更新。
SolarWinds 表明,對受信任的善意供應商進行攻擊,可能會導致對使用該供應商的組織造成攻擊。
儘管許多公司要求供應商符合 SOC 2 合規性或滲透測試等安全標準,但任何組織都無法保證其能免受所有攻擊。
例如,Apache 在 2021 年 12 月在其開放原始碼記錄程式庫 Log4j 中暴露了一個嚴重弱點。Log4j 非常普遍,網路安全和基礎結構安全局 (CISA) 的主任 Jen Easterly 表示,「每個人都應該假設自己已暴露且易受攻擊。」攻擊者立即開始利用該弱點,並將繼續這樣做。
雖然大規模的攻擊或備受矚目的受害者經常成為新聞,但軟體供應鏈樣式的攻擊並非專門針對大型公司。攻擊者也可能使用此方法進行較小的攻擊活動(例如針對開發環境的攻擊活動),這些活動不一定會成為頭條新聞。這意味著這種攻擊樣式可能比研究所表露出來的要更為常見。
那麼,如果沒有供應商能夠完全免受攻擊,企業應如何應對供應鏈攻擊?減少組織對第三方的過度信任是一個很好的開始。實施 Zero Trust 架構可以在這方面產生重大作用。
與信任網路內部的使用者和裝置的周邊模型不同,Zero Trust 假設攻擊者存在於網路內。Zero Trust 架構根據身分和情境評估使用者、裝置和工作負載,並動態地做出存取決策。更具體地說,Zero Trust 架構透過以下方式保護企業網路免受軟體供應鏈攻擊:
管理第三方存取。Zero Trust 存取管理工具可讓組織依據使用者、裝置或工作負載輕鬆自訂存取層級。組織可以針對第三方使用者的連接方式設定嚴格的標準,並且可以強制執行最低權限。
防止橫向移動。如果攻擊者入侵了網路,Zero Trust 架構會限制他們在整個網路中移動並造成進一步損害的能力。例如,Zero Trust 提倡微分段,這表示攻擊者必須重新驗證才能到達網路內的不同區域。
保護應用程式。Zero Trust 可以有效地在網際網路中隱藏內部應用程式,保護它們免受攻擊。這樣,即使內部應用程式包含弱點,攻擊者也無法利用該弱點。
防範惡意程式碼。DNS 篩選可以封鎖命令和控制攻擊,這些攻擊可能隱藏在軟體更新中。在此類攻擊中,裝置上的惡意程式碼會向伺服器發出訊號,表示已準備好接收攻擊者的指示。DNS 篩選可以封鎖建立此連線所需的 DNS 請求。
保護您的組織免受軟體供應鏈攻擊;透過 Zero Trust 網路存取,將 Zero Trust 規則延伸至 SaaS 和自我託管應用程式,並為第三方使用者、員工和 IoT 裝置強制執行最低權限存取。Cloudflare Gateway 會封鎖對可疑網站的存取、防止資料外流,並保護使用者免受命令和控制攻擊。
Cloudflare Zero Trust 是 Cloudflare One 的一部分,後者是一種安全存取服務邊緣 (SASE) 架構,可將遠端使用者、分公司和資料中心安全地連接到所需的應用程式和網際網路資源。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
閱讀本文後,您將能夠瞭解:
為什麼軟體供應鏈攻擊正在日漸引起關注
一些重大攻擊產生的影響
攻擊者可以利用各種進入點來發動這些攻擊
如何保護軟體供應鏈