What is a Supply Chain Attack? 

A supply chain attack 是一个组织受到 threat actor 通过该组织的供应链合作伙伴之一获得了访问目标网络的权限. 通过这种方式,威胁参与者不仅可以访问其 network security 他们成功侵入了,但也侵入了所有接入被入侵网络的第三方.

根据网络安全基础设施和安全局(CISA), 供应链攻击——也被称为软件供应链攻击——可能发生“新获得的软件可能从一开始就受到损害, 或者可能通过补丁或热修复等其他方式发生妥协.”

How Do Supply Chain Attacks Work?

Supply chain attacks work by 攻击者战略性地将恶意代码部署到他们知道要立即离开网络的更新中. 这是因为威胁参与者选择了一个作为另一个组织的供应商的组织作为目标, 他们可能会以补丁等形式向他们提供定期更新 vulnerabilities. CISA确定了攻击者首选的三种常见攻击技术:

  • Hijacking updates:攻击者正在寻找部署威胁,如 ransomware 到客户绑定的包(如补丁或其他常规供应商提供的更新)上. 
  • Undermining code signing攻击者试图“编写”供应商提供的更新, 这样他们就可以成功地冒充受信任的供应商. 
  • Compromising open source code:攻击者攻击使用开源代码库的开发人员. 开发人员没有意识到他们正在利用受感染的代码,并将其直接交付到自己的流程中. 

为什么供应链攻击越来越多?

Supply chain attacks 是否由于世界上大部分通信和企业信息共享的数字化等因素而呈上升趋势. Attackers, too, 是否越来越有信心通过其供应链合作伙伴破坏目标组织的能力, 例如受信任的供应商或承包商. 

最近供应链攻击增加的另一个主要原因是开源软件采购的激增. 一些安全组织甚至不会在短期内定期了解新的开源漏洞——即使在它们被披露之后. 

也许一个项目按时交付, 但是恶意代码很久以前就被注入到那些开源组件中,而这些组件正是构建该项目的基础. 如果在项目发布之前发现了恶意代码,那就太好了. 但现在,非但没有继续前进,反而以补救为名.

开源代码可以在开发组织中创造惊人的效率, 但是如果没有检测到漏洞或攻击者签名, 那么,这对该组织和整个企业来说都可能是灾难性的. 由于开放环境,开源软件中的安全性还带来了一些其他独特的挑战. 利用开源软件库的项目倾向于接受——根据利用开源的本质——各种各样的贡献. 

Within a project of this type, for example, 新特性的优先级可能不够高,不足以让主要开发人员参与 软件开发生命周期 to dedicate time to it. 但是在开源社区中,任何在项目目标和最佳实践范围内花时间开发特性的人都很可能被接受并合并到项目中.

因此,项目可能突然发现自己成为通过“转换缺陷引入”恶意贡献的不知情目标."

Types of Supply Chain Attacks

除了上面提到的攻击类型之外, 让我们来看看威胁参与者在通过中介实现主要目标时喜欢利用的一些其他类型的供应链攻击. 

根据英国政府国家网络安全中心的说法, 攻击者经常通过以下几种常见媒介到达首选目的地: 

  • Third-party software providers:受信任的供应商将产品交付给以下客户, unbeknownst to the vendor, 被“木马化”了——或者被恶意代码注入了产品.
  • Website builders:创意机构为他们的客户建立合法的网站,利用网站建设者已经妥协的威胁行为者.
  • Third-party data stores:将数据存储在第三方数据聚合器和代理中的企业组织可能会发现,一旦数据离开服务器并受到损害,他们就会通过访问恶意编码的信息受到攻击.
  • Watering hole attacks:威胁行为者识别目标组织内用户经常访问的网站, whether for functional, research, or other purposes. 然后,攻击者就会入侵那些经常访问的网站,散布恶意软件. 

Examples of Supply Chain Attacks

我们已经介绍了许多类型的供应链攻击,威胁参与者倾向于将其部署到毫无戒心的供应商/客户关系上, 那么让我们来看看最近一些众所周知的恶意攻击的例子. 

  • 太阳风SUNBURST后门攻击攻击者将恶意代码部署到SolarWinds Orion平台的一个组件上, 被许多组织用来监视和管理IT基础设施. 
  • Codecov Attack代码覆盖和测试公司Codecov宣布了一个供应链漏洞,一个威胁行为者获得了该公司的Bash Uploader脚本,并在未经授权的情况下对其进行了修改, 使攻击者能够向第三方服务器导出与软件开发的构建和测试阶段相关的信息. 
  • JetBrains Attack该公司的“TeamCity”软件开发服务器包含被利用的漏洞, 允许攻击者完全控制服务器的所有项目, builds, agents, and artifacts. 因此,这成为定位攻击者执行供应链攻击的合适向量. 

如何降低供应链攻击的风险

There are obviously many tactics a security operations center (SOC) 为了减轻供应链攻击的风险和/或影响,可以采用哪些措施. 但是,让我们看一下创建更安全的供应链的一些更常见的最佳实践. 

在您和您的供应商之间建立边缘连接

Every organization 有各种外部应用程序和服务提供者的入口和出口点吗. 当获得新的服务或供应商时, 访问控制列表(acl)被更新以适应新的数据流.

事件的早期阶段往往令人生畏, frustrating, 所有相关方都很困惑, 事故应对中最关键的要素之一就是遏制. 当发现攻击时,许多供应商会立即禁用外部连接, 但是,对于任何安全专业人员来说,依靠外部方为组织的最佳利益行事都是一项具有挑战性的工作. 

如果您的组织有一个对受影响的供应商开放的外部连接列表, 创建模板或文件以方便地剪切和粘贴命令以切断连接是计划阶段的一个简单步骤 incident response. 这确保了供应商网络上发生的任何恶意行为都不会传入您的环境.

维护供应商清单和关键poc

拥有一个集中的供应商存储库,其中包含与业务关系相关的帐户和服务水平协议(sla)的关键联系人(poc),这在发生业务冲突时是非常宝贵的资产 breach or attack.

该存储库支持与供应商的相关方进行快速通信,从而打开并维护一条清晰的通信线路, 因此,可以及时分享更新,并回答关键问题. 

准备客户沟通模板

创建用于沟通的模板,以说明您的团队正在做什么来保护环境,并在发生安全事件时回答任何高级问题. For these documents, 最好与法律部门和高层领导合作,以确保披露这些信息的方式是适当的. 

  • Internal communication templates 格式化的备忘录是否能方便地说明正在发生的事情的一些关键因素,以便让员工了解情况.
  • External communication templates 媒体导向的沟通是否涉及调查或违规的严重性. 
  • Regulatory notices templates 通常由法律团队创建,以确保技术团队可以轻松地提供正确的数据. 

Read More

供应链安全:最新的Rapid7博客文章