攻击者首选薄弱环节下手,而Web供应链浑身都是薄弱环节。
SolarWinds后门感染成千上万公司企业和至少250家联邦机构,越南政府认证机构遭遇新型复杂攻击,年复一年层出不穷的网络安全事件让公司和高管认清了自身系统面对供应链攻击的脆弱不堪。
正如行业专家指出的,SolarWinds事件清晰呈现了某些网络攻击是几乎无法检测的。此外,SolarWinds事件也暴露出政府和私营产业网络总体上的脆弱性,促使国家安全委员会成立了网络统一协调特别工作组,旨在协调调查和缓解这一事件。
与大多数供应链攻击类似,SolarWinds事件中,恶意代码是在合法软件更新过程中插入的(插入到SolarWinds的Orion平台),并且隐藏在经数字签名的代码组件当中。
谈到供应链攻击,就不得不提造成灾难的两大关键因素:盲目信任和冗长复杂的链条。然而,这两个因素近乎存在于当前上线的每一个Web应用和网站里。
Web供应链就是大堆第三方代码与成千上万衍生物的大杂烩。时至今日,Web应用普遍包含上千个模块(也称为代码依赖)。每个模块又有其自身的依赖,因而每个Web应用可能迅速积累起成千上万的第三方代码。别忘了,这每个代码还代表着攻击界面的扩大,尤其是考虑到第三方往往没有多少资源投入安全维护的情况下。我们已经多次见证了什么叫仅仅一名恶意用户就能发起一场严重的Web供应链攻击。
2019年的一份研究报告探讨了依赖Web上第三方代码的潜在副作用。作者指出的一个关键问题就是Web上缺乏权限隔离,所有第三方代码都拥有作为内部开发代码的相同权限。一段被黑第三方代码就能悄悄将恶意代码贯通整个供应链,直至进入合法软件更新,就像SolarWinds事件中发生的那样。但事涉Web供应链,情况变得更加糟糕。这组研究人员发现,仅仅20个维护者账户就能触及整个Web生态系统的半壁江山,也就是说,这些账户中但凡有一个被黑,就能引发一次全球性Web供应链攻击,影响数百万家公司。
名为Magecart或Web刮取的另一种Web供应链攻击方法也甚嚣尘上。这种方法会在第三方脚本中注入恶意代码,比如聊天窗口小部件,在用户访问特定网页时加载受感染的代码。在Magecart Web刮取攻击中,恶意代码会收集支付表单提交的所有信用卡数据,并秘密发到攻击者的服务器上。
这些方法会导致黑客国家队大肆发动Web攻击吗?研究人员明确指出了多起事件中Web供应链攻击和黑客国家队之间的明显关联。我们知道,攻击者总是首选薄弱环节下手,而Web供应链浑身都是薄弱环节,简直就是明晃晃的靶子。
正如SolarWinds事件显示的,公司企业承担不起供应链攻击的严重风险。解决Web供应链攻击需要立即采取行动,了解这一安全弱点,积极寻找减小攻击界面的方法。
事实上,企业和机构必须尽可能降低对第三方代码的依赖,增强自身代码审查,并采用各种机制检测运行时恶意客户侧行为。恶意客户侧行为检测策略逐渐获得关注,因为这种策略能够帮助公司企业不依赖特征码就能实时检测恶意行为。因此,运行时监控能够大幅减少检测和封锁攻击源所需的时间。
Web供应链攻击的复杂度持续上升,频频利用客户侧代码混乱不堪的现状。公司企业打赢这场Web供应链阻击战最强有力的武器就是坚定改善应用安全。