随着开源、云原生等技术的应用,软件供应链开始向多元化发展。此举虽加速了技术的革新和升级,但也让供应链安全成为全球企业的“心腹大患”。
据2021年7月发布的《2020年中国网络安全报告》称,软件供应链攻击已成为2020年最具影响力的高级威胁之一。
卡巴斯基最新的IT安全经济学报告显示,约有三分之一的大型企业遭遇了供应链攻击,给企业造成的平均财务影响高达140万美元,已成为年度损失最高的攻击事件类型。
无独有偶,2021年10月19日,Cyentia发布了《信息风险洞察研究》(IRIS)报告,数据显示,在排名前五十的多方数据泄露事件中,发现一场大型事件泄露平均涉及31家企业,企业经济损失的中位值高达9000万美元,而典型网络安全事件带来的损失只有20万美元左右。
Cyentia指出,供应链攻击是多方数据泄露的主要原因,倘若企业没有做好应对供应链攻击的准备,那么就会置身于多方数据泄露的风险之中,给企业带来的经济损失也比单方数据泄露事件要高的多。
2021年7月发生的Kaseya供应链攻击事件也证明了这一观点。在这次攻击事件中,俄罗斯勒索组织REvil给网络安全行业上了印象深刻的一堂课:波及17个国家,上千家企业和机构,上百万台设备被加密,索要赎金高达7000万美元,是迄今为止规模最大的供应链事件。
从这里我们也可以看出供应链攻击的可怕之处,只要拿下一家供应链企业,那么其客户和合作伙伴都将因此遭受攻击,由此引发的连锁反应将会是全球性的,灾难性的。
什么是供应链攻击
供应链是指,创建和交付最终解决方案或产品时所牵涉的流程、人员、组织机构和发行人。在网络安全领域,供应链涉及大量资源(硬件和软件)、存储(云或本地)、发行机制(web应用程序、在线商店)和管理软件。
而所谓供应链攻击,顾名思义就是针对供应链发起的网络攻击,并通过供应链将攻击延伸至相关的合作伙伴和下游企业客户。
因此,供应链攻击至少分为两个部分:一是针对供应链的攻击;二是针对客户企业的攻击。一次完整的供应链攻击是以供应链为跳板,最终将供应链存在的问题放大并传递至下游企业,产生攻击涟漪效应和巨大的破坏性。
目前,供应链攻击通常和APT攻击、勒索攻击结合在一起,攻击者最终的目的是加密企业设备、系统或数据,以此勒索企业牟取暴利。
由于供应链攻击涉及供应商和企业用户两大组织,因此直接加剧了处理事件、取证分析和事件整体管理的复杂性。这意味着企业针对攻击的应急响应流程也将变的更加复杂,系统恢复的时间也会更长。正因为如此,供应链攻击往往能够造成难以想象的严重后果。
Imperva曾分享了五种典型的攻击手法,分别是:
- 利用供应商的产品进行注入(典型的如SolarWinds事件)
- 利用第三方应用程序(如邮件/浏览器漏洞)
- 利用开放源代码库中包含的漏洞
- 依赖关系混淆
- 恶意接管(担任社区项目维护者,注入恶意代码)
从以上五种典型的攻击手法中,我们也可以发现,有的供应链攻击(如依赖关系混淆)企业可以提前预防,但是有的供应链攻击(如利用供应商的产品进行注入)企业束手无策。
供应链攻击增长迅猛,企业难忍切肤之痛
2020年12月13日,随着FireEye发布的一条攻击报告,SolarWinds供应链攻击事件开始进入到公众视野。无论是微软、谷歌等大型企业紧急响应,还是美国政府机构 FBI的快速介入,都让人感到“事情很不妙”。
在最终结果出来之前,几乎没有人相信,这一次攻击竟然产生了如此严重的后果。
12月14日,SolarWinds向美国证券交易委员会(SEC)提交了供应链攻击事件的报告。报告显示,微软、英伟达、思科、德勤、VMWare等多个世界巨头企业,美国国务院、五角大楼、国土安全部、商务部、财政部、司法部、网络安全和基础设施局等大量的政府单位,全都在受害人的列表中。
这样的情形在以前几乎无法想象,也让供应链攻击一跃成为网络安全领域的焦点之一,此后供应链攻击“大事件”层出不穷。
2021年3月,占据全球90%航空份额的通信和IT厂商,国际航空电信公司(SITA)受到供应链攻击,直接造成了航空业“大地震”,汉莎航空、新西兰航空、泰航空、韩国航空、日本航空等多个航空公司业务受到影响,甚至出现大范围的数据泄露。
再比如上文提及的国际软件服务提供商Kaseya供应链攻击事件,无数国际大企业因此遭受损失,其严重的后果使得美国政府和微软等IT巨头,都快速介入并进行应急响应。
供应链攻击所产生的严重后果进一步激发了网络攻击的动力,而当越来越多的攻击者转向供应链时,供应链攻击事件就如同雪花般散落开来。
总的来说,自2020年以来,供应链攻击事件呈现爆发增长的态势,并且给企业带来了难以忍受的切肤之痛。
2021年6月,奇安信发布了《2021中国软件供应链安全分析报告》。数据显示,2020年全年,奇安信代码安全实验室检测的代码总量为335011173行,共发现安全缺陷3387642个,其中高危缺陷361812个,整体缺陷密度为10.11个/千行,高危缺陷密度为1.08个/千行。
而Palo Alto Networks 安全咨询部门Unit 42发布的《2021年下半年云威胁报告》显示,63%用于构建云基础设施的第三方代码模板包含不安全的配置,96%部署在云基础设施中的第三方容器型应用包含已知漏洞。
除了分析数据外,Unit 42的研究人员还受一家大型SaaS供应商委托,对其软件开发环境进行红队演练。仅仅三天时间,Unit 42研究人员就发现了软件开发过程中的重大漏洞,足以让客户轻易受到类似SolarWinds和Kaseya的攻击。
换句话说,由于此前未曾重视供应链的安全建设,以至于如今在很多地方都隐藏着漏洞和威胁。一旦这些漏洞被攻击者利用,SolarWinds事件和Kaseya事件很有可能会再次上演。
对此,欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出,眼下攻击者已经将注意力转移到供应商上,和2020年相比,2021年供应链攻击预计将增加4倍,而且这些攻击给企业带来的影响也越来越大,包括系统停机、金钱损失和声誉损害等。
早在2017年,NotPetya勒索软件就曾利用供应链更新发起攻击,全球59个国家的政府部门、医院、银行、机场等系统受到影响,造成超过100亿美元的损失。
此前,CrowdStrike发布的调查数据也说明了这一问题。调查结果显示,在2018年,被调查的企业中有三分之二曾遭遇软件供应链攻击;90%的企业因软件供应链攻击而导致财产损失,平均成本超过110万美元;80%的受访者认为,软件供应链攻击将成为未来三年内最大的网络威胁之一。
如今,三年已过,预言成真,供应链攻击也已经成为严重的网络威胁。
BlueVoyant最新发布的报告指出,在过去的2020年中,供应链风险陡增,全球大约93%的大中型企业组织由于供应链薄弱而遭受直接破坏。特别是SolarWinds漏洞和勒索软件攻击等活动,更加凸显了企业组织面临的供应链攻击风险。
下一代软件供应链攻击正在爆发
随着开源、云原生等技术的大范围应用,下一代软件供应链威胁也正在逐渐爆发。
全球开源技术正在快速增长和应用,这一点相比业内人士都有这样的感觉。数据显示,GitHub 的活跃代码仓库与活跃用户数分别增长了35.3% 和21.2%;Gitee 的代码仓库与用户数的增长数据更是达到了192%和162%。
同时,企业“借用”开源代码已经变的越来越普遍,但其安全性难以保证。
例如2021年10月28日,抖音前端宣布将UI库Semi Design 进行开源,随即就被发现,它的代码中存在阿里巴巴同类产品 Ant Design 的痕迹。试想一下,如果抖音为开源,“借用”的行为就不会发现,这也反过来证明,“开源代码借用”是一件非常“平常”的事情。
根据Sonatype最新发布的《2021年软件供应链状况报告》,全球对开源代码的旺盛需求导致软件供应链攻击同比增长650%。全球的开发商累计从第三方开源生态系统“借用”超过2.2万亿个开源软件包或组件,以加快上市时间。但是,这些开源软件和组件中存在各种漏洞,反而大大增加了供应链攻击的风险。
而CVE官方网站统计的数据显示,2020 年发布的开源漏洞中未被 CVE 官方收录漏洞有 1362 个,占 2020 年发布漏洞总数的 23.78%;CVE 官方未收录数据呈上长趋势,增长率逐年递增,2018 年环比 2017 年增长速度达 133.52%。
越来越多的数据都表明,下一代供应链攻击正在到来,其显著特点是刻意针对“上游”开源组件,进行更主动的攻击。
此时,攻击者不再是被动的等待漏洞的出现,而是主动将新的漏洞注入为供应链提供支持的开源项目中。因此,下一代软件供应链攻击将更加隐蔽,也将有更多的时间对下游企业展开攻击,危险性将更高。
相较国外,国内下一代软件供应链攻击的风险同样存在。
究其原因,自2020年以来国内开源技术蓬勃发展,但是其安全性也不容乐观。根据奇安信发布的《2021中国软件供应链安全分析报告》,国内企业超8成软件项目存在已知高危开源软件漏洞;平均每个软件项目存在66个已知开源软件漏洞。2020年检测的1364个开源软件项目整体缺陷密度为14.96个/千行,高危缺陷密度为0.95个/千行。
由此可见,国内开源技术的安全性令人担忧,随之而来的下一代软件供应链风险也将居高不下。
供应链安全已经脱离了企业掌控
和日益增长的供应链攻击威胁相比,下游企业却缺乏针对性的、有效的防护手段。这意味着,即便是企业自身拥有较好的安全能力,但面对供应链攻击依旧难以有效预防和应急响应。
这就和食品供应链一样,当生产食品的原料有不健康的成分(比如添加剂不合格或超标),那么生产出来的食品很有可能是不健康的。软件供应链安全也是如此,如果上游提供的“代码”有问题,那么企业使用的产品也同样存在问题。
最关键的是,企业也无法确定,哪些产品有问题,也无法解决上游企业代码的问题,自然也就无法进行防控。反过来,攻击者却可以借供应商的渠道顺利侵入企业,并在内部发起攻击。这就好比你身边一个好朋友,突然朝你捅了一刀,有心算无心之下,受伤的概率会非常高。
众所周知,软件供应链可划分为开发、交付、运行三个大的环节,其中每个环节都可能会引入供应链安全风险从而遭受攻击。通过对软件开发人员和供应商的攻击,攻击者可以借供应链分发恶意软件来访问源代码、构建过程或更新机制。这些恶意软件因为来自受信任的供应商渠道和数字签名,因此很容易绕过企业已有的安全防护体系,并完成下一步攻击。
随着网络攻击趋利性和潜伏性不断增加,供应链攻击呈现出非同一般的耐心,不少攻击者长期潜伏在企业内部,一旦爆发开来将会给企业带来严重损失。
同时,企业对于供应链攻击的应急响应过程过于繁琐,所需要的时间太过漫长,很难再黄金时间内完成应急响应和数据恢复。
这也是供应链攻击在下游企业爆发之后,往往能够取得不俗成果的原因。
巨头着手开始应对供应链攻击
面对火烧眉毛的供应链攻击威胁,越来越的企业和有识之士认识到,仅依靠单个企业是无法应对供应链攻击,因此必须要集合行业的力量,从上游清除“安全威胁”。
基于此,微软、英特尔和高盛在可信计算组 (TCG) 成立了一个专注于供应链安全的新工作组。
未来,这个组织将在TCG的支持下,为可信计算平台如广泛使用的可信平台模块 (TPM) 开发、定义和推广开源和供应商中立行业标准和标准。
其中,有两点非常关键:
- 提供确保设备的真实性;
- 帮助组织机构从网络安全攻击中恢复。
但是想要做到这两点显然不容易,企业因此而付出的成本将会非常高,这就会降低企业采取相应防护措施的主观意愿。这意味着,距离新成立的供应链安全组真正发挥作用。依旧还有很长的路要走。
此外,在2021年8月举办的白宫网络安全会议上,苹果、微软、IBM、亚马逊也在积极制定相关计划,以改善供应链安全。
其中,美国将全面加强和供应商的合作,并将采用多重身份认证,进一步确保安全性;亚马逊也表示将向用户提供免费的多重身份验证设备,以提高安全性,并将提供安全意识培训。
我国也在不断加强供应链的安全性。
为了有效提升开源技术的安全性,近日,人民银行等五部门联合发布了《关于规范金融业开源技术应用与发展的意见》,以此提高应用水平和自主可控能力,促进开源技术健康可持续发展。
事实上,在国家/行业层面制定相应的监管政策要求、标准规范正是应对供应链攻击的有效举措。同时,我们还应该建立起国家级/行业级软件供应链安全风险分析平台,并且将软件供应链安全的相关工作纳入产品测评、系统测评等工作中。
当然,最最关键的是,我们必须对供应链攻击保持足够的警惕,并集结行业的力量共同应对。正如《意见》中所提到的一样,企业用户在购买软件和应用开源技术时应进行充分评估,建立完善的使用规范,保障安全的底线。