本篇文章為大家展示了SolarWinds事件中如何防御供應鏈攻擊，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

成都創(chuàng)新互聯(lián)2013年至今，先為丹棱等服務建站，丹棱等地企業(yè)，進行企業(yè)商務咨詢服務。為丹棱企業(yè)網(wǎng)站制作PC+手機+微官網(wǎng)三網(wǎng)同步一站式服務解決您的所有建站問題。

應用開發(fā)方式變革引入供應鏈風險

隨著企業(yè)上云，傳統(tǒng)的網(wǎng)絡邊界正在逐漸消失，尤其是突如其來的疫情，更是讓幾乎所有企業(yè)都不得不進行遠程辦公，員工開始從家庭網(wǎng)絡、咖啡廳與企業(yè)網(wǎng)絡建立連接，企業(yè)的IT架構正在從「有邊界」向「無限邊界」發(fā)生轉變。

受益于開源軟件與成熟的三方產(chǎn)品和服務（COTS）的優(yōu)勢，國內互聯(lián)網(wǎng)、金融行業(yè)快速發(fā)展。在COTS模式下，企業(yè)可以快速采購到能夠滿足當前業(yè)務需要的生產(chǎn)工具、軟件或硬件產(chǎn)品，從而節(jié)省成本和時間。

開源軟件的蓬勃發(fā)展改變了應用開發(fā)形態(tài)，現(xiàn)代應用的開發(fā)人員不再首選自研，而是會看當前業(yè)界是否已有成熟的框架或解決方案。

Synopsys公司發(fā)布的《2020年開源安全和風險分析OSSRA報告》中指出，當前超過90%的現(xiàn)代應用融入了開源組件，平均每個應用包含超過124個開源組件，其中49%的開源組件存在高危漏洞。

從政府服務到金融機構每個組織都依靠軟件來為客戶提供服務。嵌入式軟件不再僅僅局限于計算機，現(xiàn)在可以控制復雜的電網(wǎng)、交通、醫(yī)療硬件、汽車以及衛(wèi)星，軟件正在吞噬整個世界。

在傳統(tǒng)邊界安全的防護理念下，安全是一個整體，保證安全不在于強大的地方有多強大，而在于真正薄弱的地方在哪里。企業(yè)邊界無限擴大后，面臨的風險會隨之增加，邊界上任一節(jié)點的「安全性」被打破后，黑客就能通過這層信任鏈路，利用多種APT手段滲透到企業(yè)內部，竊取核心數(shù)據(jù)。

以往企業(yè)防護的策略，可以從梳理企業(yè)最有價值資產(chǎn)開始，再看資產(chǎn)潛在面臨的最大威脅是什么，基于威脅分級、資產(chǎn)分級的方式來循序漸進做治理。

在今天這種企業(yè)架構與軟件開發(fā)形態(tài)下，越來越多的商業(yè)軟件、硬件設備、開源項目被集成到企業(yè)的IT基礎設施中，從而擴大了潛在的攻擊面，讓安全防御變得越來越復雜，以及充滿著大量「不確定性」。黑客發(fā)起攻擊不再關注你是誰，只要你與被攻擊目標的網(wǎng)絡或業(yè)務存在關聯(lián)，就會成為重點攻擊對象。

并不是所有的軟硬件供應商都自建完善的安全團隊，對產(chǎn)品開展軟件安全生命周期管理（SDLC）來確保其安全性。三方軟件供應商對安全的「漠視態(tài)度」，是導致黑客頻頻入侵「輕易得手」的關鍵原因。

對于黑客而言，脆弱的供應鏈無異于一塊「新大陸」，成為黑客擊穿「關鍵基礎設施」資源投入的最佳「切入點」。

知己知彼，供應鏈攻擊手段有哪些？

如果你不了解黑客是如何對供應鏈發(fā)起攻擊的，那么就無法保證其安全。

阿里云安全通過分析歷史曾經(jīng)發(fā)生過的126起供應鏈攻擊事件，將相關攻擊手段總結為以下15種：

1. 社工開發(fā)者賬號替換正規(guī)應用

對安卓、蘋果、三方移動應用商店內提供的應用，瀏覽器的插件，通過盜取應用開發(fā)者賬號替換正規(guī)應用，以及發(fā)布相似名稱「仿冒知名應用」，或通過重打包的技術，使用合法的應用程序添加自己的惡意代碼，從而散布存在惡意代碼的應用。

2. 黑灰產(chǎn)模式推廣惡意軟件

通過向第三方下載站點、共享資源社區(qū)、破解軟件聯(lián)盟等組織投放含有惡意代碼的應用，通過SEO優(yōu)化方式劫持搜索引擎結果，引導大眾下載惡意軟件。

3. 向開源軟件倉庫投毒

攻擊者通過向主流的軟件包管理源（PyPI、Node.js npm、Maven、RubyGems、Docker Hub）投放大量「相似拼寫名稱」諧音的軟件包或鏡像，仿冒正規(guī)項目，從而讓有惡意代碼的代碼包被安裝到開發(fā)或生產(chǎn)環(huán)境。

4. 以假亂真

攻擊者通過分析特定行業(yè)內的知名軟件、項目名稱，搶注對應的域名，模仿官網(wǎng)，所提供的軟件下載鏈接，早已植入了惡意代碼。針對國外知名的軟件進行漢化，并提供「漢化版」下載鏈接，也屬于該范疇。

5. 入侵官方網(wǎng)站替換下載鏈接

企業(yè)官網(wǎng)通常由WEB應用構成，應用程序相對于其他業(yè)務形態(tài)更加脆弱，黑客通過應用漏洞控制軟件官網(wǎng)后，篡改官方下載鏈接地址為植入了惡意后門的軟件，從而間接控制目標計算機。

6. 劫持正式更新下載地址的域名

黑客通過域名服務商的漏洞，控制域名解析系統(tǒng)，將軟件、OT設備用于下發(fā)更新通知的域名劫持到了黑客的服務器，通過更新通道將惡意代碼植入目標計算器。

7.  污染網(wǎng)絡基礎設施的DNS解析記錄

利用企業(yè)級路由器的已知漏洞或弱口令批量入侵網(wǎng)絡設備，修改路由器上的NS解析服務器為黑客所控制的服務器，通過劫持軟件用于更新的域名解析記錄，從而利用更新通道將惡意代碼植入目標計算器。

8. 下載節(jié)點緩存、cdn緩存、P2P緩存、城域網(wǎng)緩存，被投毒污染

當前互聯(lián)網(wǎng)體系下，硬件、軟件、物聯(lián)網(wǎng)OT設備的更新和數(shù)據(jù)分發(fā)，均依賴網(wǎng)絡基礎設施來承載，當終端客戶進行更新、下載時通過網(wǎng)絡鏈路拉取，網(wǎng)絡基礎設施為了提升效率節(jié)省成文，會對一些資源進行緩存。攻擊者可通過定向污染緩存來實現(xiàn)投毒，最終攻擊終端用戶。

9. 入侵官方更新升級系統(tǒng)

軟件、硬件產(chǎn)品在發(fā)展的過程中，為了提升產(chǎn)品體驗、升級能力、修復BUG等，需要進行更新升級，供應商因此建設有配套的更新升級系統(tǒng)。黑客通過自身的攻擊能力與掌握的漏洞，對供應商發(fā)起攻擊與橫向滲透，最中取得升級系統(tǒng)的控制權。利用竊取或偽造證書簽名的軟件更新，將惡意軟件帶進攻擊目標。

10. 入侵軟、硬件開發(fā)公司，向目標項目的源碼植入惡意代碼

軟件、硬件產(chǎn)品從無到有，需要經(jīng)歷漫長的開發(fā)生命周期流程，包括：產(chǎn)品設計、物料采購、開發(fā)硬件電路板、代碼實現(xiàn)、測試、發(fā)布流轉等過程。直到產(chǎn)品最終流轉到真正要供應鏈下游終端客戶的生產(chǎn)環(huán)境。

黑客通過自身的攻擊能力與掌握的漏洞，入侵軟件、硬件供應商的辦公與開發(fā)環(huán)境，直接向產(chǎn)品代碼內植入后門，在設備上預安裝的惡意軟件 (相機、USB、電話等)，實現(xiàn)惡意代碼與后門的分發(fā)，最終進入被攻擊目標的網(wǎng)絡。

11. 倉儲、物流鏈路劫持

第三方供應商在針對網(wǎng)絡設備、安全設備、智能硬件等物理設備的倉儲和交付過程中，為了節(jié)約成本，均會采用三方的倉儲與物流服務。攻擊者通過買通或偷盜的形式，取得于存儲在倉庫或物流環(huán)節(jié)中的設備接觸機會，通過拆機或替換的方式向芯片或設備固件中寫入后門。

12. 供應商預留的遠程管控能力和超級權限賬號

供應商為了降低售后服務和維護成本，在交付的產(chǎn)品中，偷偷預留了遠程管控的功能，供應商可實現(xiàn)對部署在客戶環(huán)境中的產(chǎn)品，進行遠程管理控制。為了維護方便，供應商同時也會預留一些超級管理員、運維、測試等賬號。

13. 編譯環(huán)境，開發(fā)工具污染篡改源碼，植入后門

攻擊者通過對開發(fā)者常用的代碼開發(fā)編輯器發(fā)起攻擊，通過對開發(fā)工具的篡改，以及附加一些惡意的模塊插件。當開發(fā)者進行代碼開發(fā)的時候，惡意模塊悄悄的再開發(fā)者寫的代碼中植入后門。經(jīng)過被污染過的開發(fā)工具編譯出來的程序，或部署到生產(chǎn)業(yè)務的源碼，都將被植入惡意代碼。

14. 應用運行環(huán)境、應用組件環(huán)境被植入后門

應用軟件存在編譯型與解釋型兩種語言形態(tài)，解釋型的軟件代碼在運行時，需要依賴運行環(huán)境將源碼翻譯成中間代碼，再由解釋器對中間代碼進行解釋運行。攻擊者通過入侵常見的JAVA、PHP、Python、Ruby等運行環(huán)境的安裝包，或向XAMPP、PHP Study成熟的環(huán)境軟件等，植入后門后直接影響業(yè)務。

15. SaaS化上游服務污染

為了收集統(tǒng)計數(shù)據(jù)，網(wǎng)站管理員通常會在每個網(wǎng)頁中添加一個基于JavaScript代碼的網(wǎng)站跟蹤腳本，來跟蹤訪問次數(shù)和查看流量歷史記錄。在前端開發(fā)體系，有大量優(yōu)秀的框架供開發(fā)者快速實現(xiàn)各類功能，比如：Jquery、Bootstrap、Vue等，開發(fā)者為了省事，會直接引用官方提供的CDN地址。當上游的JS代碼源被入侵，引用這些三方JS代碼的業(yè)務，將演變?yōu)榘l(fā)起更大規(guī)模代理人攻擊的跳板。

供應鏈攻擊的應對建議

一、從最關鍵的供應商開始，將供應商的數(shù)字資產(chǎn)納入全面的、基于真實風險的安全評估體系中：采用攻防實戰(zhàn)的方式來驗證產(chǎn)品能力，而不僅僅是合規(guī)檢查。引入更加具有代表性的反向驗證體系，以消除供應商網(wǎng)絡上，可直接對組織造成業(yè)務中斷或破壞的安全盲點。

? 對所在組織網(wǎng)絡具有重要訪問權限的供應商；

? 擁有所在組織「敏感數(shù)據(jù)」的供應商；

? 制造特殊零件或開發(fā)特殊系統(tǒng)的供應商。

二、安全始于可見性，為每個硬件、應用程序持續(xù)構建詳細的物料清單，從而全面洞察每個硬件、應用軟件的組件情況：隨著軟件行業(yè)以「前所未有」的速度發(fā)展，開發(fā)人員承受著以「更快的效率」和「更低的成本」來交付產(chǎn)品的壓力。因此開源軟件、開源組件成為了軟件生態(tài)系統(tǒng)中至關重要的一環(huán)，許多漏洞被一層又一層地隱藏在依賴之下，開源亟需更有效的保護策略。為所有應用程序創(chuàng)建SBOM（軟件物料清單），可以幫助企業(yè)發(fā)現(xiàn)當前運行中的程序、源代碼、構建依賴項、子組件所依賴的開源組件清單，以檢測開源軟件組件是否帶有已知的安全漏洞或功能漏洞，漏洞披露時可通過清單列表迅速響應排查，最終確保軟件供應鏈中使用的都是安全的組件。從風險管理的角度跟蹤和檢測開源軟件、開源組件的安全態(tài)勢。

三、盡可能地縮小攻擊面、減少碎片化，降低對第三方組件、開源軟件的依賴，選擇可信度較高，對安全重視的供應商：以白名單形式限制硬件型號的準入和允許安裝的軟件，以及確保安裝最新的安全補丁。通過正規(guī)渠道購買、下載的軟硬件介質，使用經(jīng)過驗證可信的第三方開源/商業(yè)庫、算法等，采購安全可信的軟件外包服務。

四、慎用對安全態(tài)度消極的廠商所開發(fā)的軟件或硬件產(chǎn)品：建立完整的供應鏈安全風險管理流程，企業(yè)高層為安全第一責任人，并由安全部門統(tǒng)一集中管理和運營。為了讓供應商更加注重安全，在采購條款中明確要求，只有產(chǎn)品出具了足夠說服力的安全控制證明，才能進入采購體系，并對供應商進行定期的安全抽查。

五、加強信任鏈路的自主可控能力，全鏈路加密和驗簽：要求供應商在提供更新、升級通道的同時，在網(wǎng)絡鏈路中須加入自定義證書的能力（用戶自定義密鑰BYOK）。同時，代碼簽名是在軟件供應鏈中建立信任的重要過程，簽名和驗證體系可以確保程序的執(zhí)行都是可信、可靠的。

六、提升軟件、硬件產(chǎn)品安全風險的發(fā)現(xiàn)能力：投入資源挖掘當前企業(yè)正在使用的商業(yè)軟件、開源軟件漏洞，將商業(yè)軟件、開源軟件和自研軟件同等對待，實施安全開發(fā)流程（SDL）的安全審計。

七、減輕已知漏洞的影響：通過產(chǎn)品架構，或在產(chǎn)品設計中內置安全性，部署和啟用惡意軟件防護和檢測能力。在使用了第三方組件的應用服務器側部署運行時保護技術RASP，網(wǎng)絡側部署WAF，主機側部署HIPS等防御系統(tǒng)，來緩解已知漏洞的影響。

八、網(wǎng)絡和物理環(huán)境訪問控制、運輸安全：軟件和硬件分發(fā)過程的安全性，物理和網(wǎng)絡安全之間沒有差距。有時，黑客會選擇利用物理安全上的漏洞，從營業(yè)廳或車庫發(fā)動網(wǎng)絡攻擊。同樣，攻擊者在尋找進入物理場所入口時，可能會利用網(wǎng)絡漏洞來獲取物理門禁的訪問權限。黑客甚至會在物流運輸階段下手，供應商需找可靠、安全的運輸物流公司，以最大程度地減少運輸過程中被篡改的風險。

九、軟件和硬件具有安全驗簽能力，物理磁盤默認加密：硬件系統(tǒng)在安全啟動過程中會進行驗簽，如果無法識別簽名，系統(tǒng)將不會啟動，且磁盤也無法解密。防止黑客向固件或磁盤存儲寫入后門或惡意代碼。

十、聯(lián)防聯(lián)控，建立供應鏈安全聯(lián)盟以應對系統(tǒng)性威脅，提升企業(yè)在遭受供應鏈攻擊時的響應與恢復能力：由單一組織構成的防守陣線顯得勢單力薄，在關鍵基礎設施如此重要的今天，應對供應鏈攻擊亟需上升至國家、社會層面，成立行業(yè)同盟，全面升級聯(lián)防、聯(lián)控的體系。

上述內容就是SolarWinds事件中如何防御供應鏈攻擊，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)站題目：SolarWinds事件中如何防御供應鏈攻擊
文章URL：http://chinadenli.net/article42/gechec.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導航、軟件開發(fā)、關鍵詞優(yōu)化、定制開發(fā)、網(wǎng)站制作、用戶體驗

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經(jīng)允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)