供應鏈攻擊事件告訴我們，為什麼應該警惕第三方供應商

什麼是供應鏈攻擊?

當有人以有許可權訪問您系統和資料的外部合作伙伴或供應商的身份侵入您的系統時，就會發生供應鏈攻擊，也稱為價值鏈或第三方攻擊。與以往相比，隨著越來越多的供應商和服務提供商可以接觸到敏感資料，在過去幾年裡，這極大地改變了普通企業受攻擊的範圍。

由於出現新型的攻擊，因此與供應鏈攻擊相關的風險從未如此之高，導致公眾對威脅的意識不斷提高以及監管機構加強監督。與此同時，攻擊者擁有比以往更多的資源和工具，可以創造一場完美的風暴。SolarWinds公司的攻擊事件就是一個典型的例子。

SolarWinds公司的攻擊事件凸顯了供應鏈風險

網路工具供應商SolarWinds的18000名客戶曾受到單一民族國家的攻擊，這一訊息變得越來越糟。根據《紐約時報》最近的一篇報道，SolarWinds公司的攻擊事件是由俄羅斯發起的，正如最初人們所認為的那樣，侵入了“幾十個”政府和企業網路。多達250個組織機構受到影響，攻擊者利用了多個供應鏈層。

李維斯公司（Levi Strauss）副首席資訊保安官史蒂夫·扎勒斯基（Steve Zalewski）表示，這違背了信任鏈。“這是所有第三方產品的大問題，”他說。“我們不會再將其產品放在內部使用。我們不得不依賴第三方的方式來建立這種信任，而這在國內或國際都沒有辦法做到。”

扎勒斯基表示，隨著企業越來越依賴於外部供應商，這一問題正在不斷惡化。他補充道，現在是時候該審視軟體行業的整個生態系統以解決這一問題了。“要徹底解決這一問題，我們需要的是一個國際信任鏈，就像一個全球PKI系統，”他說，“在這一系統中，我們可以就一套全球的工具和做法達成一致。”

不幸的是，沒有切實可行的方法來做到這一點。“我們需要一個法律、監管和集體層面上的防禦，”扎勒斯基說。“但要做到這一點需要年復一年的漫長時間。”

安全評級公司Bitsight估計，SolarWinds公司的攻擊事件可能使網路保險公司賠付高達9000萬美元。這還只是因為政府機構不購買網路保險。此外，攻擊者想盡可能低調地竊取資訊，因此並沒有對系統進行太大破壞。

2017年的另一次供應鏈攻擊事件也是由俄羅斯發起的，該攻擊事件的目標是烏克蘭的基礎設施，而作為此次攻擊的一部分，烏克蘭的會計軟體也遭到了破壞，並且該惡意軟體迅速傳播至其他國家。NotPetya病毒最終給馬士基、聯邦快遞和默克等跨國公司造成了超過100億美元的損失，並使業務運營中斷。

供應鏈攻擊對駭客而言很有吸引力，因為當常用軟體遭到破壞後，攻擊者可以有許可權訪問所有使用該軟體的企業。

所有技術供應商都容易受到供應鏈攻擊

任何為其他組織機構生產軟體或硬體的公司都可能成為攻擊者的目標。單一民族國家的攻擊者擁有豐富的資源和技能，甚至可以侵入具備最高安全意識的公司。

甚至安全供應商也可能成為目標。例如，以SolarWinds公司攻擊事件為例，網路安全供應商FireEye是被入侵的知名公司之一。FireEye公司表示，攻擊者沒有侵入面向客戶的系統，而只是使用滲透工具進行安全測試。這一攻擊事件的事實令人擔憂。

受到SolarWinds攻擊者入侵的其他供應商包括微軟公司和另一家安全供應商Malwarebytes。“考慮到SolarWinds公司攻擊事件的供應鏈屬性，以及需要高度警惕，我們立即對Malwarebytes公司所有的原始碼、構建和交付流程進行了徹底調查，包括對我們自己的軟體進行逆向工程，”公司執行長Marcin Kleczynski在一篇文章中說道。

電子郵件安全供應商Mimecast宣佈，他們也受到了老練的網路攻擊者入侵，並且有報道稱，該攻擊行為與SolarWinds攻擊事件的幕後黑手是同一個組織。

這些攻擊事件表明，任何供應商都很容易受到攻擊，並可能會遭到破壞。安全供應商Immuniweb表示，全球400強網路安全公司中有97%的公司都在暗網上存在資料洩露或其他安全事故，並且有91家公司存在可被利用的網站安全漏洞。

這些型別的攻擊行為並不是最近才出現的。2011年，RSA Security公司承認其SecurID令牌遭到駭客攻擊。因此，該公司的一位客戶洛克希德·馬丁公司（Lockheed Martin）遭到了攻擊。

除了像SolarWinds攻擊事件這樣涉及到損害商業軟體供應商的攻擊行為之外，還有另外兩類供應鏈攻擊行為——針對開源軟體專案的攻擊和開源軟體案例的攻擊，其中，政府會直接干預其管轄範圍內的供應商產品。

開源供應鏈面臨的威脅

商業軟體並不是供應鏈攻擊的唯一目標。Sonatype公司的“2020年軟體供應鏈狀況報告”稱，針對開源軟體專案的供應鏈攻擊是企業面臨的一個主要問題，因為90%的應用程式都包含開原始碼，而其中11%的應用程式存在已知漏洞。

例如，在2017年艾奎法克斯公司（Equifax）的入侵事件中，該公司稱其損失了近20億美元，而攻擊者利用了一個未打補丁的Apache Struts漏洞。21%的公司表示，他們在過去12個月內遭遇過與開原始碼相關的攻擊。

最近，攻擊者已開始利用數百萬個基於Java應用程式中使用的開源Apache Log4日誌庫中的漏洞。這些利用漏洞的行為很難進行識別和遏制。利用Log4j漏洞的一種情況是，允許在執行有漏洞的應用程式的伺服器上遠端執行程式碼，而無需進行身份驗證。這使得該漏洞在通用安全漏洞評分系統（CVSS）量表上獲得了10分的嚴重級。另一個漏洞可能導致發生拒絕服務狀態。

由於Log4j被用在許多商業應用程式中，因此組織機構可能並不知道自己事實上正在使用日誌庫，而且容易受到攻擊。這就導致企業急於想明確自身所面臨的威脅和風險級別，並希望供應商能及時提供有效的補丁程式。

攻擊者不必等待某一漏洞神奇地出現在開源軟體中。在過去的幾年裡，攻擊者已開始蓄意破壞開原始碼的開發或分發過程，而且這一做法正在奏效。根據Sonatype公司的調查，這類新一代攻擊行為比前一年增加了430%。

如何防範供應鏈攻擊

那麼，企業能做些什麼呢？一些監管架構（例如金融部門或醫療領域的監管架構）已提供了第三方風險測試，或者已制定了一些供應商需要遵守的標準。“在支付卡行業中，有一個軟體質量元件可用來測試移動支付元件的質量，”威爾遜說，這是指支付卡行業資料安全標準（PCI-DSS）。

還有一些更通用的框架，例如能力成熟度模型（CMM）、ISO 9001、通用標準（Common Criteria）、SOC 2等。“我非常喜歡CMM稽核，”威爾遜說。“另一方面，我承認其所支付的成本。直到最近，唯一堅持使用通用標準的人就是情報人員。”

還有針對密碼模組的FiPS-140認證。“這一認證真的很貴，”威爾遜說。“讓一款應用程式獲得FIPS-140認證需要花費一百萬美元，除非您向聯邦政府出售黑莓手機，否則您不會做該認證。”

企業已經習慣於廉價且快捷的軟體。“我們必須承認，幾十年來，我們一直以低廉的成本編寫軟體，而現在我們要自食其果了，”威爾遜說。

然而，如果企業開始要求進行更多的測試，或者監管機構介入，並強制要求進行更好的管理，那麼審計成本可能會下降。“如果人們開始在測試環節上投入更多資金，那麼測試企業將獲得更多收入，同時形成更多的競爭，”威爾遜說。還會有更多的創新，例如自動化測試。

扎勒斯基說，在李維斯公司，我們會對軟體供應商進行審查。“我們要求軟體供應商提供可證明和可審計的憑證，以證明自己已實施了某一安全框架，而且能夠證明自己符合該框架，”他說。然後，補充道，李維斯公司並沒有規定供應商必須要遵循某一特定的框架。“但我們希望你們能承諾，願意寫下自己所採取的安全措施和做法，這樣我們才能確保供應商符合我們的要求。這就是我們管理風險的方式，也是您最應該做的事情。”

資料中心不應該做的一件事就是停止安裝補丁程式。事實上，李維斯公司的補丁管理流程意味著，在SolarWinds攻擊事件新聞傳出之前，SolarWinds軟體的修復程式就已安裝完成，從而可使公司免受其他攻擊者利用該漏洞進行攻擊。

但他承認，我們公司的系統無法發現SolarWinds更新程式中存在的惡意軟體。當然，沒有人能做到——FireEye和微軟公司也都沒有做到。扎勒斯基表示，該問題在於很難在更新程式中掃描可疑行為，因為更新程式的目的顯然是為了改變軟體的行為方式。

“這就是軟體工作方式的本質，”扎勒斯基說。“該問題是存在於生態系統中，以及該生態系統組成的方式上。不法分子正在尋找和利用這些漏洞。”

安全公司Deep Instinct的研究業務副總裁西蒙奧倫（Shimon Oren）表示，對供應鏈的攻擊仍然比針對已知漏洞的攻擊要罕見得多。“我認為，未做修補的漏洞或未安裝安全更新程式所帶來的風險，遠遠超過了供應鏈受到攻擊的風險。”據IBM公司的“2020年資料洩露成本報告”稱，所有資料洩漏事件中有16%的根源是因為第三方軟體中的漏洞。

奧倫建議，企業不要拖延安裝補丁程式，而是要詢問自己的供應商，你們有什麼機制來保護自身的軟體不受破壞。“他們持有什麼樣的安全態度？他們目前有什麼樣的程式碼驗證機制？”

他表示，不幸的是，目前還沒有一套可用的標準，能專門解決軟體開發過程中的安全問題。“我認為沒有任何東西可以說明，您的程式碼是安全的。”

一個致力於解決這一問題的組織是“資訊和軟體質量聯盟”（Consortium for Information and Software Quality），它是技術標準機構“物件管理組織”（Object Management Group）下屬的一個特殊興趣小組。例如，該組織正在制定的一個標準是等效於材料清單的一個軟體。該軟體可讓企業客戶瞭解自己所使用的軟體中包含哪些元件，以及這些元件中是否存在任何已知的安全問題。

“該軟體目前正在開發中，我們預計這一工作將在今年春天的某個時候完成，”執行董事比爾·柯蒂斯（Bill Curtis）說。他表示，微軟公司、Linux基金會和其他大公司（總共約有30家公司）都參與其中。

供應鏈風險評估方面的缺口

樂博法律事務所（Loeb & Loeb）隱私、安全和資料創新業務聯合主席、律師伊安喬利（Ieuan Jolly）表示，進行適當的盡職調查至關重要，這項工作與企業與其供應商協商簽訂一份合同同等重要，甚至更為重要。如果某一供應商由於自身原因造成違約而倒閉，那麼他的客戶將無法獲得任何損失賠償。如果這些客戶確實獲得了損失賠償，“但對於公司所遭受的聲譽損失而言，這一補償是遠遠不夠的，”他說。

根據萬事達卡公司旗下的RiskRecon公司和Cyentia Institute公司最近對風險管理專業人士進行的一項調查，其中79%的組織機構目前已制定了管理第三方風險的正式計劃。最常見的風險評估方法是問卷調查（84%的公司使用該方法），和檔案審查（69%的公司使用該方法）。一半的公司採用遠端評估，42%的公司採用網路安全評級，34%的公司採用現場安全評估。

儘管問卷調查方法很受歡迎，但只有34%的風險專業人士表示，他們相信供應商的回答。然而，當發現問題時，81%的公司極少要求進行糾正，而只有14%的公司非常堅信，他們的供應商能滿足自身的安全要求。

RiskRecon公司的執行長兼聯合創始人凱利·懷特（Kelly White）表示，尤其是在SolarWinds攻擊事件之後，組織機構需要關注他們的軟體供應商，尤其是那些擁有訪問公司資產許可權的軟體供應商。他表示，這包括增加評估標準以涵蓋整個軟體開發過程，“以確保擁有足夠的管理措施，可防止引入惡意程式碼。”

懷特表示，現在也是需要對最低許可權進行加倍關注的時候了。“在我擔任一家大型金融機構的首席資訊保安官期間，任何需要與網際網路通訊的軟體，其網路訪問許可權都會受到限制，只能訪問那些預先設定的更新站點，”他說。懷特之前在錫安銀行集團（Zions Bancorporation）擔任首席資訊保安官。

懷特表示，這一策略不僅可防止軟體與惡意的命令和控制伺服器進行通訊，而且還可以在軟體試圖進行通訊時發出警報。