写在前面:本文是从知识星球,前沿信安咨询阵地看到的一篇文章。以前介绍的都是美国的资料,这是第一次介绍欧盟写的文档,大家可以对比他们之间的不同。整篇文档把供应链攻击介绍的比较清楚,有说明,有举例,没有提框架、标准、模型什么的,这点和国人的风格很像,偏向实用。附录总结了24种供应链攻击,可参看下一篇,每个攻击都有示意图,放到了百度网盘上,写供应链安全的资料时,可以参考。
供应链攻击是最近比较热的话题,到底如何定义供应链攻击,本文给出了一个四元素分类法,很有参考意义。供应链攻击对人们心理影响比较大,人人自危。但随着供应商和客户认识到这种攻击形式,未来难度会越来越大。
关于 ENISA
欧盟网络安全局(ENISA),是欧盟致力于在整个欧洲共同实现高水平网络安全的机构,2004年成立,《欧盟网络安全法》(EU Cybersecurity Act)对之进行了强化。欧盟网络安全局使用网络安全认证计划,提高信息通讯(ICT)产品、服务和流程的可信度,对欧盟的网络政策做出贡献,和成员国及欧盟机构合作,帮助欧洲为未来网络挑战做好准备。通过知识共享、能力建设、意识提高,和关键利益方一起合作,加强对互联经济的信任,提高联盟基础设施的弹性,最终确保欧洲社会和公民数字化安全。关于ENISA及其工作的更多信息,请参考www.ensia.europa.eu
目录
总纲
1. 介绍
2. 什么是供应链攻击?
2.1. 供应链攻击分类
2.2. 攻击供应链时使用的技术
2.3. 供应链攻击针对的供应商资产
2.4. 攻击客户使用的技术
2.5. 供应链攻击针对的客户资产
2.6. 如何使用分类
2.7. 供应链分类和其他框架
2.7.1. MITRE ATT&CK 知识库
2.7.2. 洛克希德.马丁网络杀伤链(lockheed Martin Cyber Kill Chain)框架
3. 供应链攻击生命周期
4. 知名的供应链攻击
4.1. SOLARWINDS ORION:IT管理和远程监控
4.2. MIMECAST:云网络安全服务
4.3. LEDGER:HARDWARE WALLET
4.4. KASEYA:使用勒索软件,攻陷IT管理服务
4.5. 信息仍然未知的例子:SITA 乘客服务系统
5. 供应链事件分析
5.1. 供应链攻击时间线
5.2. 理解攻击流
5.3. 面向目标的攻击者
5.4. 攻击供应链大多数攻击手段未知
5.5. 高级的攻击都来自于APT组织
6. 并非每件事都是供应链攻击
7. 推荐
8. 结论
附录A 供应链攻击总结
总纲
多年来,供应链攻击一直是个安全关注点,但从2020年初,社区看起来正在面对更多有组织的攻击。也许是由于客户采取了更有力的保护措施,攻击者试图转向供应商。从几个例子可以看出,他们已经在系统宕机时间、金钱损失和声誉损害等方面产生重大影响。供应链的重要性体现在,成功的攻击可能影响大量使用受攻击产品的直接用户,因此,单一的攻击事件也许会造成巨大的波及。
本报告的目标是绘制和研究从2020年1月到2021年7月初发现的供应链攻击。基于观察到的趋势和特征,在2020年,供应链攻击在数量和复杂度上都有上升,直到2021年,继续保持这个趋势,这日益增加了组织风险。据估计2021年的供应链攻击会是2020年的四倍。一半的攻击来自于高级持续性威胁(APT),他们的复杂度和资源极大地超过了更常见的非针对性攻击,因此为了确保组织安全,包括供应商,对新的防护方法也就有更多的需求。
报告展示了网络安全局和供应链攻击有关威胁全景介绍,在网络威胁全景图特设工作组的支持下,产生此报告。
报告的主要重点如下:
一种对供应链攻击的分类方法,以系统化的方式更好地分析他们,理解他们的表现方式。
从2020年1月到2021年7月初,报告了24起供应链攻击事件,都在本文中得到研究。
50%的攻击来自于安全社区知名的APT组织。
42%的攻击还没有找到发起组织。
62%的针对客户的攻击,利用他们对供应商的信任。
62%的案例,使用恶意软件进行攻击。
当考虑目标资产,66%的事件攻击者重点在供应商代码,以便进一步攻击目标客户。
58%的供应链攻击旨在获取数据访问权(主要是客户数据,包括个人数据和知识产权),16%获得对人的访问权。
不是所有攻击都被认定为供应链攻击,但由于他们的本质,许多会是未来新供应链攻击的潜在手段。
组织需要时刻小心供应链攻击,更新自己的网络安全方法,涵盖所有供货商的保护和安全验证。
1. 介绍
供应链得到安全关注许多年了,但从2020年初,社区看起来正在面对更多有组织的攻击。也许是由于客户采取了更有力的保护措施,攻击者设法转向了供应商。从几个例子可以看出,他们在系统宕机时间、金钱损失和声誉损害等方面产生重大影响。本报告目标是绘制和研究2020年1月和2021年7月发现的供应链攻击。
从SolarWinds攻击中可以看到供应链攻击巨大破坏效果和涟漪反应。SolarWinds被认为是过去几年中最大的供应链攻击之一,特别考虑到包括政府组织和大型公司在内的被影响实体,获得大量的媒体关注,导致全球的政策提案。最近,2021年7月,Kaseya攻击又被大家所知,进一步提升了对托管服务提供商供应链攻击的特别注意。不幸的是,这两个例子不是孤立的,供应链攻击的数量在去年稳定增长。这个趋势进一步强调了政策制定者和安全社区去设计引入新的保护手段,应对将来潜在供应链攻击,降低他们的影响。
报告根据2020年1月到2021年7月发现的事件,通过仔细调查和分析,绘制了供应链攻击图表。每个事件都被分解成关键元素,如同样受到攻击者影响的、供应商和客户的攻击技术和资产。供应链攻击分类方法的引入,将有助他们的分类。分析这样的攻击,并使用特定的安全控制来缓解他们,也许是更加结构化方法的起点。建议分类方法也有助于在共同的基础上,分类、对比和讨论这些攻击,也介绍了建议分类方法和其他著名框架之间的相似之处。
报告也分析了供应链攻击的生命周期和更多知名APT攻击之间的相似性。附录中包括2020年最重大的供应链事件总结,根据前述的分类方法,对每个事件进行解构。
报告的核心是分析所有这些供应链事件,确定他们的关键特性和技术。分析回答了这些问题:在供应链攻击中,最常用的攻击技术是什么?攻击者最想得到用户主要资产是什么?攻击和目标资产之间的关系是什么?
随着供应链攻击关注度的提高,许多其他的相关安全事件也得到注意,并和供应链攻击关联起来,暂时假定为供应链攻击。因此我们会讨论什么构成了供应链攻击,为什么许多攻击不是真正的供应链攻击,附以案例来说明。理解这个和供应链攻击有关的威胁全景图非常重要,因为错误的事件分类也许会导致错误的趋势分析和结论。
报告也包括一组针对策略制定者和组织、特别是供应商的建议,采用这些建议会改善供应链攻击的整体安全态势。
报告的结构如下:
第一章 简要介绍供应链主题和欧盟网络安全局的威胁全景。
第二章 讨论什么构成了供应链攻击,介绍结构化分类方法,区分相关事件,同著名的网络威胁情报框架的关系。
第三章 概述典型供应链攻击的生命周期。
第四章 详细介绍发生在2020年底和2021年初的供应链攻击。
第五章 相关事件的时间线,提供事件的全面分析。
第六章 解决供应链攻击事件误分类问题。
第七章 引入高水平的技术建议,改进供应链安全,减轻供应链攻击影响。
附录A 总结报告中确定和分析的24起供应链攻击。
2. 什么是供应链攻击?
供应链指为了生成和交付最终方案或产品,涉及的流程、人、组织和分销商组成的生态系统。在网络安全方面,供应链涉及很广泛的资源(硬件和软件)、存储(云或本地)、分发机制(web应用,在线商城)和管理软件。
在供应链中,有四个关键元素:
供应商是一个为其他实体提供产品或服务的实体
供应商资产:供应方用来生产产品或服务的有价值元素
客户:消费供应商生产的服务或产品的实体
客户资产:目标拥有的有价值元素
实体可以是个人、小组、或组织。资产可以是人、软件、文档、财务、硬件或其他。
供应链攻击是至少两种攻击的组合。第一个攻击针对供应商,然后是利用供应商攻击目标,获得目标资产的访问权。目标可以是最后的客户或其他供应商。因此,如果攻击被归类为供应链攻击,供应商和客户都是目标。
2.1. 供应链攻击分类
报告提出一种分类方法来描述供应链攻击,并对随后分析建立一种结构。这种分类方法考虑到供应链所有四个关键元素和攻击者使用的技术。分类会帮助组织了解供应链攻击的各个部分,和其他类似的网络安全攻击对比,更重要的是,确定这个事件为供应链攻击。
分类应该用作指导模板,当发现新的潜在供应链攻击,社区可以根据四种不同的元素,通过识别和匹配,来进行分析。如果没有客户被攻击,或没有供应商被攻击,可能就不是供应链攻击。
如表1所示,分类法一部分用于供应商,一部分用于客户。对供应商,第一部分叫作“攻击供应链使用的技术”,识别供应链是如何被攻击的。第二部分是“供应链攻击的供应商目标资产”,识别什么是供应商被攻击的目标。
对客户,第一部分是“攻击客户使用的技术”,识别客户是如何受到攻击,第二部分叫“供应链攻击客户目标资产”,识别客户受到攻击的目标资产。
对这四个分离的元素每个部分,我们都定义了更好描述供应链攻击的元素。通过选择相应的元素,可能对攻击的已知和未知部分有更好的理解。这个分类在概念上和MITRE ATT&CK知识库不同,目标并不是取代后者,而是补充完善。在提建议分类方法中定义的攻击技术,在某种情况,和MITRE ATT&CK框架中定义的攻击技术有关。根据MITRE ATT&CK标识码,在方括号中做出了标记。例如[T1189]。接下来的子章节对分类法的每一部分进行分析,以及如何确定这些元素
表1:供应链攻击建议分类方法,分四部分(1)对供应商使用的攻击技术(2)供应商受到攻击的资产(3)对客户端使用的攻击技术(4)在客户端受攻击资产
为了在欧盟的高度上,协调事件响应活动和共享信息,已经使用了一个欧盟的网络安全事件分类法。既然本建议分类方法概念上不同,不详细分析供应链事件,我们推荐两个分类方法同时使用,互为补充。
2.2. 攻击供应链时使用的技术
攻击技术指攻击“如何”发生,而不是用“什么”去攻击。例如,这种分类方法区分供应端是被在线发现密码(OSINT)还是遭到暴力破解,然而,密码是在线泄露、或者是使用缺省密码、或在黑市上出售和分类无关。下表攻击技术的分类涵盖了本报告中分析供应链攻击时最常用的攻击技术。显然在任何给定攻击中,会用到多种攻击技术,有好几种情况,实体也许还不知道攻击者如何获得基础设施的访问,或这个信息没有被泄露或适时报告过。
表2:供应链中攻击供应商使用的攻击技术,每个技术确定攻击如何发生,而不是什么遭到攻击,同一个攻击中,会使用好几种技术。
2.3. 供应链攻击针对的供应商资产
攻击者针对的供应商资产,指对供应商攻击的目标是“什么”,允许进一步的攻击跟进。目标资产和最终目标,常常有直接的关系,可以根据分析被影响资产的清单,理解攻击者最终意图。在某些场景,因为缺少供应商披露或报告的信息,不可能得到目标资产的信息,这也许是供应商没有相关知识或专业,去确定哪个资产被攻击者被入侵了。
表3:攻击者针对的供应商资产,每个元素确定供应商被攻击的对象,同一次攻击中,使用几种技术影响多个资产。
2.4. 攻击客户使用的技术
分类方法中的这个元素指通过供应商攻陷客户所使用的攻击技术。在这个元素下,我们确定客户“如何”被攻击,而不是“什么”被攻击。这是一种技术,而不是特定类型的攻击。例如,如果客户从供应商那里更新软件,收到某种类型的恶意软件,这个攻击既是‘信任关系’也是‘恶意感染’。很明显,几种情况中,可以使用一种以上技术。客户也许不是总能明白攻击者通过供应商获取他们资产访问权而使用的技术,但能确定所使用的技术不在他们的边界之内。
表4:攻击客户使用的技术,每个技术确定攻击如何发生,而不是攻击了什么,一次攻击中,可以使用好几种技术。
2.5. 供应链攻击针对的客户资产
客户资产是攻击者主要和最终目标,常常是供应链攻击存在的理由。这些资产可能因为行业部门和提供的服务类型而不同。在分类方法中特定元素意味着有助于理解攻击影响,对攻击者目标进行对比。某些资产可能是攻击者的直接目标,其他也许无意中受到影响,典型的供应链攻击影响的客户不止一个,也许客户不清楚敌人的目标(攻击不成功或者很快被检测到)。
表5:攻击者针对的资产,每个元素确认在客户端什么被攻击。一次攻击会用到几种技术,这常常是攻击的终极目标。
2.6. 如何使用分类方法
下例说明如何在真实案例中使用分类方法,有助于了解它的特殊功能,帮助理解攻击特性。
Codecov是一个提供代码测试覆盖和测试工具的软件公司。公司给其他用户提供工具,如IBM和惠普公司。2021年4月,Codecov报告称,由于在生成Docker镜像时的一些错误,攻击者获得了Docker 镜像中一些有效的授权凭证。一旦攻击者拿到这些凭证,用它攻破Codecov用户使用的“上传脚本”,当用户下载和执行这些脚本,攻击者能够从客户窃取数据,包括允许攻击者访问客户资源的敏感信息。多个Codecov客户报告了攻击者使用从Codecov泄露中偷取的信息,能够访问他们的源代码。这个攻击组织未知。图1描述了这个特别攻击中涉及的步骤。
使用这个信息,我们确定在建议分类方法中的四个元素。对供应商的攻击意味着攻击者如何访问供应商,在这个案例中,是通过“利用配置漏洞”来实现的。通过这种攻击,攻击者目标资产是供应商的“代码”。分类法中供应商部分的元素被确定。我们看看客户是如何被攻击,在Codecov案例中,是通过和供应商的‘信任关系’,没有得到保护和验证。最后在客户中的目标资产就是源代码,也就是‘软件’。
表6:Codecov公司涉及的供应链攻击分类。攻击者利用了一个Codecov中配置漏洞,可用来修改供应商代码。攻击者滥用了Codecov和其客户之间的信任关系,窃取了访问客户软件源代码的所需数据。
图1:Codecov供应链攻击示意图。Codecov容器创建过程有一个缺陷,被带到了在线部署的容器中(1)攻击者访问容器,拿到Codecov的授权凭证(2)他们然后修改了Codecov的bash脚本(3)上传到客户(4)恶意脚本泄露了客户的授权凭证(5)攻击者使用凭证访问客户数据。
2.7. 供应链分类法和其他框架
2.7.1 MITRE ATT&CK 知识库
MITRE ATT&CK是针对网络对手行为一个辅助知识库和模型。本报告中建议分类方法和MITRE ATT&CK不同,因为他们的目的不一样。所以,不可能在供应链分类中使用MITRE ATT&CK,既然我们重点在于供应链攻击的四个典型方面,特别是供应商—客户之间的关系。而MITRE ATT&CK完整描绘了所有攻击生命周期中的选项和步骤,对供应链的细节覆盖还没有开发出来。
例如,在MITRE ATT&CK的‘初始访问’类别中,有一种技术叫‘供应链攻击’。这对于公司把供应链识别为风险非常有用,但具体到供应链攻击本身,又太笼统了。建议分方类法匹配供应链攻击本身的所有细节,因此能潜在地补充MITRE ATT&CK知识库。
2.7.2 洛克希德·马丁公司网络杀伤链(Cyber Kill Chain) 框架
建议分类方法和著名的洛克西德.马丁网络杀伤链(Cyber Kill Chain)框架的目的也不同。网络杀伤链是一个框架,为确定攻击者实现目标的攻击步骤设计的。虽然这些步骤可以作为供应链攻击一部分,但过于通用,无法对供应链攻击分类、理解和对比。这里的建议分类方法法对攻击提供更详细的分析,更重要的是,帮助描绘单一供应链攻击中涉及的两种攻击,一种针对供应商,一种针对客户。
3. 供应链攻击生命周期
可以看到,供应链攻击常常包括对一个或多个供应商攻击,然后是终极目标,也就是客户。每个攻击都和APT攻击的生命周期非常类似。
虽然很难就APT攻击的唯一定义达成共识,但整个报告认为APT攻击是针对目标、对组织获得非授权访问(常常是代码执行),可以跨度很长时间,最后的目的和攻击目标有特殊的关系(如挖矿)。当然,这样一个定义并不完整,也还有很多其他的定义。然而,对于理解供应链攻击常常是有目标的、复杂的、高成本,攻击者可能计划了很长时间,定义非常重要。在典型的供应链事件中,至少涉及两种类型的成功攻击,不仅表明了攻击者的高明程度,也显示了他们的坚持和成功的意愿。
值得注意的是,社区认为,许多APT攻击在代码质量、漏洞利用和恶意软件等方面,并不‘高级’。然而,也可以认为‘高级’是指整个操作,不仅仅指代码。最后,在两个组织中,计划、分步、开发和执行两次攻击,是一项非常复杂的任务。
这些区别对理解非常重要,一个组织也许很容易受到供应链攻击,即使它自己的防御系统非常完善,因此攻击者试图发现新的潜在无阻通道,通过供应商,在组织之外实现渗透。不仅如此,供应链攻击的潜在影响很大,影响后续大量使用同一供应商软件的客户。这是为什么这些类型的攻击日益普遍,因为它让对手极大地提升了他们的名声,获得巨大的经济利益。
供应链攻击的其他特征涉及到处理他们的复杂性,去缓解和解决这样的攻击需要付出的努力。至少两个组织实体受到影响的事实,最可能使用高级攻击的手段,就使事件的处理、取证分析和整体的事件管理变得非常复杂。事实上供应商-客户关系持续发展,双方都不断的更新他们的系统,产生了供应链持续安全和主动的风险评估和管理的需求。
供应链攻击的生命周期有两个主要部分,对供应商的攻击和对客户的攻击。每部分都很复杂,要求攻击手段、行动计划、仔细执行。这些攻击也许要几个月才可能成功,在许多情况,也许很长时间都没有被发现。供应链攻击生命周期如图2。
图2:供应链攻击的生命周期可以看作是两个APT攻击交叉在一起。第一个攻击目标是一个或多个供应商,第二次攻击针对客户。这些攻击要求仔细规划和执行。
生命周期中的第一次攻击叫作“供应商APT攻击”,专注攻破一个或更多供应商,生命周期第二次攻击叫作“客户APT攻击”,重点是攻克的最后目标。这两个部分通过对供应商的访问连接到一起,但是使用的技术、攻击手段和花费在攻击上的时间可能有很大的不同。
在报告中,至少有11个攻击案例,调查证实供应链攻击由已知的APT组织实施。负责调查安全公司可见附录A。其他的13个案例事件没有完全调查或发动组织不那么确定。这样的结果支持下列观点,供应链攻击周期的两部分都类似APT攻击。值得注意是,攻击者的追查非常难,容易出错,不精确和政治上具有挑战,但不是不可能。
既然供应链攻击的每个部分都可以看作APT攻击,它个体的生命周期也就遵循其他APT攻击的相同阶段。这些阶段都有详细的资料,例如MITRE ATT&CK企业战术。
4. 知名的供应链攻击
这部分介绍了从2020年1月到2021年7月,最轰动的供应链攻击,按照前述的建议分类方法进行了分类。选择这些案例,因为其在社区内产生的巨大影响,或者因为他们强调了某些属性(如分类方法中元素)非常重要。从2020年1月到2021年7月初,供应链攻击完整名单和描述可见附录A。
4.1. SOLARWINDS ORION:IT管理和远程监控
SolarWinds是一家提供管理和监控软件的公司,Orion是其网络管理系统(NMS)产品。在2020年12月,发现Orion已经被攻陷。大面积调查表明攻击者获得了SolarWinds网络的访问权限,可能是通过第三方应用或设备的零日漏洞、暴力破解或社交工程。一旦被攻破,攻击者花费相当长的时间收集信息。在构建过程中,恶意软件被注入到Orion。被攻陷的软件直接被客户下载,被用来收集和偷取信息。攻击来自于APT 29组织。
表7:在SloarWinds攻击中涉及到的供应链攻击分类。攻击者使用多种攻击技术攻陷了SolarWinds Orion软件。他们修改了供应商代码,滥用了客户对SolarWinds的信任关系,给客户更新了恶意软件。攻击者最终的目标是客户数据。
图3:SolarWinds 供应链攻击示意图。攻击者攻陷SolarWinds,修改ORION软件代码,安装在客户方的ORION更新了恶意代码,允许攻击者访问客户数据。
4.2. MIMECAST:云网络安全服务
Mimecast是一个基于云的网络安全服务供应商,在它提供的服务中,Mimecast提供邮件安全服务,要求客户安全地连接到Minecast服务器,才能使用他们的Microsoft 365账户。在2021年1月,发现攻击者攻陷了Mimecast(通过SolarWinds 产品)。攻陷后,客户使用Mimecast发布的证书去访问Microsoft 365服务,被攻击者获取证书,有能力中断网络连接,使用Microsoft 365账户去偷取信息。攻击来自APT 29组织。据报道,被攻陷的供应商,和SolarWinds有关,但没有确凿证据来证明这一点。
表8:Mimecast涉及的供应链攻击分类,不知道攻击者如何攻击供应商数据,特别是Mimecast颁发的证书,攻击者滥用了客户的信任关系,将他们的数据上传到Mimecast,攻击者访问了客户在Mimecast中的数据。
图4:Mimecast供应链攻击示意图。攻击者发现了允许他们攻陷供应商和访问他们证书的凭证,客户验证和信任这个证书后,他们使用证书访问客户数据。
4.3. LEDGER:硬件钱包(HARDWARE WALLET)
Ledger是一家为加密货币提供硬件钱包技术的公司。2020年7月,攻击者获得了访问Ledger电子商务数据库的有效访问凭证。被偷取的信息被发布在网上论坛。攻击者利用这些窃取的数据去在线钓鱼和勒索用户。向用户提供伪造Ledger钱包,通过物理攻击,偷取用户资金。当连接到计算机,需要输入安全秘钥时,将使用恶意软件感染计算机,把偷取的信息发回给攻击者。攻击还不清楚由哪个组织发动。
表9:Ledger 涉及的供应链攻击分类。攻击者使用开源情报技术,发现了访问Ledger记录的有效凭证。偷取用户信息。并利用偷取数据,攻击者滥用客户对Ledger的信任关系,通过发送钓鱼邮件,假冒USB加密钱包驱动,偷取客户的加密货币。
图5:Ledger 供应链攻击示意图。攻击者发现在网上找到Ledger凭证,访问他们的客户数据库,使用这些信息攻击客户。
4.4. KASEYA:使用勒索软件,攻陷IT 管理服务
Kaseya是一家软件服务提供商,自有产品是远程监控和管理工具。提供VSA(Virtual System/Server Administration)软件供客户下载,也可以通过它自己的云服务器工作。托管服务提供商(Managed Service Provider)能够在本地使用VSA软件,也可以给Kaseya云服务器发放软件许可。托管服务商把各种IT服务提供给客户。2021年7月,攻击者利用了Kaseya自身系统的一个零日漏洞(CVE-2021-30116) ,让攻击者能够在Kaseya客户的VSA设备上,远程执行命令。Kaseya可以给所有VSA服务器发送远程更新。2021年7月2日星期五,一个更新被分发给Kaseya客户的VSA,执行了攻击者的命令。这个恶意代码在VSA管理的客户设备上,部署了勒索软件。
表10 :Kaseya攻击涉及到的供应链攻击分类。利用软件漏洞,攻击者获取Kaseya软件的访问权限。攻击者利用这个访问权限,在客户的基础设施上安装勒索软件。这次攻击针对Kaseya的客户数据和财务资源,勒索赎金。
图6:Kaseya供应链攻击示意图。攻击者在托管服务提供商(是在云中还是本地,待定)的VSA实例上部署代码。一些托管服务商被利用向他们客户部署恶意软件和勒索软件。
4.5. 信息仍然未知的例子:SITA乘客服务系统
SITA案例非常突出,主要是因为许多供应链攻击的组件仍然未知、及他们影响的可能后果。表明由于技术不可能性或公司的政治和营销决策,有很多环境,攻击细节从没有对外公开。在社区和公司的利益之间有一个权衡,对社区而言,从其他人如何受攻击的细节中学习,可以改进它的安全,对单独的公司,是财务,名声和市场。
SITA是一个专门从事航空信息技术和运输信息的公司。SITA的乘客服务系统在乘客登机时,给航空公司提供乘客信息,包括乘客可能对国家造成的风险。据披露,2021年3月攻击者已经入侵了SITA服务器,从SITA的客户中,获得了对乘客数据的访问,一些STIA的客户已经报告了数据泄露,如印度航空公司,新加坡航空公司,马来西亚航空公司。
数据泄露到互联网之后,印度航空也报告其内部网络遭到入侵,数据被窃取,据称和SITA事件有关,因为一家安全公司发现印度航空内部有一台服务器名字是“SITASERVER4”。到目前为止,仍然不清楚攻击者如何获取SITA服务器访问权限,也不知道攻击者如何进入印度航空,或是否他们真的做了。对印度航空的内部网络攻击是由APT41组织发动。
谈到供应链攻击,这个事件中未知信息的数量,是威胁全景图的一个例子。很多组织对网络调查和准备状态方面成熟度水平的关注,应该扩大到供应商,由于他们非常复杂、内部交错的关系。
表11:SITA攻击涉及供应链攻击分类。还不清楚攻击者如何访问供应商,攻击者访问供应商关于客户的数据,也不知道攻击者如何去潜入印度航空。现有信息表明攻击者主要目标是客户数据。
图7:STIA供应链攻击示意图。攻击者从STIA客户公司偷取乘客数据,目前为止,仍然不知道攻击者如何获得STIA服务器访问权限,也不知道攻击者如何进入印度航空,或是否他们真的这么做过。
5. 供应链事件分析
这部分,基于从2020年初到2021年7月初的攻击报告,我们提供了一个供应链攻击的分析。分析重点是公开已知的供应链攻击,附录A中有详细的概述。如稍后讨论的,一些攻击看起来像供应链攻击,但实际上不是。因此我们在分析中省略了这部分。所有事件的分析总结如表12所示。
表12 :从2020年1月份到2021年7月,确定、分析和验证的供应链攻击总结。
供应商 | 供应商分类 | 年份 | 影响 | 攻击组织 |
Mimecast | Security Software | 2021 | Global | APT29 |
SITA | Aviation | 2021 | Global | APT41 |
Ledger | Blockchain | 2021 | Global | |
Verkada | Physicalsecurity | 2021 | Global | Hacktivist Group |
BigNox NoxPlayer | Software | 2021 | Regional | |
Stock Investment Messenger | Financial Software | 2021 | Regional | Thallium APT |
Clickstudios | Security Software | 2021 | Regional | |
Apple Xcode | Development Software | 2021 | Global | |
Myanmar Presidencail Website | Public Administrtion | 2021 | Regional
| Mustang Panda APT |
Ukraine SEI EB | Public Administration | 2021 | Regional | |
Codecov | Enterprise Software | 2021 | Global | |
Fujitsu ProjectWEB | Cloud Collaboration | 2021 | Regional
| |
Kaseya | IT management | 2021 | Global | Revil Group |
MonPass | Certificate Authority | 2021 | Regional | Winnti APT Group |
SYNNEX | Technology Distributor | 2021 | Regional | APT 29 |
Microsoft Windows HCP | Software | 2021 | Global | |
SolarWinds | Cloud Management | 2020 | Global | APT 29 |
Accellion | Security Software | 2020 | UNC2546 | |
Wizvera Veraport | Identity Management | 2020 | Regional | Lazarus APT |
Able Desktop | 2020 | Regional | TA428 | |
Aisino | Financial Software | 2020 | Regional | |
Vietnam VGCA | Certificate Authority | 2020 | Regional | TA413,TA428 |
NetBeans | Development Software | 2020 | Global | |
Unimax | Telecommunications | 2020 | Regional |
5.1. 供应商攻击时间线
分析显示,24个已证实供应链攻击,8起(33%)在2020年报出,16起(66%)从2021年1月到2021年7月初。基于这个数据,趋势预测,2021年的攻击也许是2020年攻击的四倍。
图8显示了在报告中分析的攻击时间线,高亮显示了APT组织攻击的事件,以及他们是否有全球范围或区域范围的影响。每个攻击都分类成全球性或区域性。如果他们的客户群是全球性的,或被影响的终端达到百万级,攻击被认为有全球性影响。或者,攻击影响特定区域或国家的用户,或只影响少数用户,认为有区域影响。
图8:从2020年1月到2021年7月初,供应链攻击的时间线。在图中标记的月份,指事件被报道的月份,不是攻击发生的时间。事件由哪个APT组织发动,名字前面加了黑点。全球影响的事件加了淡蓝色点。区域影响的事件加了绿色的点。更详细的事件总结见附录A。
5.2. 理解攻击流
图7中所示的事件,都根据建议分类方法,进行分析、总结、分类。分类方法以结构化的方式,支持和推进供应链攻击作为一个整体的研究。
图8是一个Sankey图,描述在本次报告中研究的供应链攻击中观察到的最常见的攻击技术和资产的流动。攻击技术【ST】用来针对供应商资产【SA】,后者用于客户攻击技术[CT],入侵客户资产【CA】
从图8中,很明显大多数用来攻击供应商(第一列[ST])工具技术:
未知(66%),其次是
使用软件漏洞(16%)
针对供应商资产(第二列[SA]),大多数攻击针对:
代码(66%)
数据(20%)
流程(12%)
被攻陷的供应商资产,被用来作为攻击手段,去攻陷客户,这些工具主要通过(第三方[CT]):
滥用供应链中客户信任(62%)
使用恶意软件(62%)
独立于使用的技术,大多数供应链攻击获取访问目标(第四列[CA]):
客户数据(58%)
关键人(16%)
财务资源(8%)
图9:基于建议分类方法,对供应链事件分析。Sankey图描绘了针对供应商资产[SA]的攻击技术流[ST],然后在客户攻击技术[CT]中使用这些技术攻击客户资产[CA]。当在大量供应链攻击中观察这种关系时,各种元素之间连接的宽度增加。
5.3. 面向目标的攻击者
当考虑目标资产时,65%的事件攻击者关注供应商代码,以便进一步入侵目标客户。分析的事件中,20%攻击者目标是数据,12%的攻击目标是内部流程。这对于理解在哪里部署网络安全防护非常关键。组织应该把重点放在验证第三方代码和软件,好保证它没有被篡改和操纵。
这些攻击针对最终客户的资产看起来主要是客户数据,包括个人数据、知识产权。这是58%供应链事件的情况。攻击者也针对较低程度的其他资产,包括人、软件和财务资源。
5.4. 攻击供应链大多数攻击手段未知
我们发现66%的供应链攻击中,供应商根本不知道,或不透明他们是如何被攻陷的。相比之下,只有少于9%的被供应链攻击入侵的客户,不知道攻击是如何发生的。这凸显了在供应商和面向终端用户的公司之间,网络安全事件报告方面成熟度的巨大鸿沟。
考虑83%的供应商属于技术领域,缺少攻击如何发生的知识,或者说明供应商基础设施网络防御可怜的成熟度水平,或者不希望分享相关信息。还有一些其他因素,导致对供应商如何被攻陷缺乏理解,包括攻击的复杂度和高级性。发现攻击的滞后,反过来也影响了调查。
5.5. 复杂攻击来自于APT组织
超过50%的供应链攻击来自于知名的网络犯罪组织,包括APT29、APT41、Thallium APT、UNC2546、Lazarus APT、TA413和TA428。分析表明APT组织看起来对区域目标有轻微倾向,大量攻击为了获取用户数据。
分析这24起攻击事件,10个不属于特定组织。无法发现攻击组织的主要原因是这其中的7起发生在过去的7个月。这类事件要花费很长时间调查,甚至到那时,在某些情况,仍然找不到攻击方。然而,考虑到这些攻击的高级性,可能被有组织犯罪针对的供应商应该做好准备。
6. 并非每件事都是供应链攻击
从2020年1月到2021年7月初,有许多事件开始都认为是供应链攻击,或者被认为是未来供应链攻击的一部分。发现的传统软件漏洞,被报告为未来供应链攻击的‘风险’。一些案例涉及到漏洞,被认为是有意放到软件或硬件里面,但随后发现,只是缺陷或不小心的错误。很多这样的不是供应链攻击,因为他们没有涉及到被攻陷的供应商。
至少有三次,攻击者的目标是软件库或依赖。2020年11月报道的一个案例,攻击者在RubyGems 库上传了恶意包,和2021年3月报道的案例非常类似,当时一名安全研究者,使用知名公司同名的组件或基础设施,成功上传恶意NPM包。第三个案例是2021年4月,攻击者上传一个恶意的NPM包,试图模仿一个知名的软件包,称之为brandjacking。所有这些案例,攻击者没有攻陷当前的软件包和软件库,没有明显地攻击供应商资产,我们不认为他们是供应链攻击。
许多案例,发现了软件中的漏洞,但没有用于攻击,或者发现了错误,但不是有意引入的。第一个这样的例子报道于2020年2月,一个安全研究者批露了一个零日漏洞,存在xiaongmai公司开发的固件中,主要用于DVR,NVR,和IP摄像头。其他的例子包括2021年5月,Visual Studio Code插件漏洞,还有2021年6月,基于Pling的开源软件市场。所有这些案例,都发现了漏洞,但在写这篇报告的时候,没有主动利用他们去攻击的报道。以前的章节中提过,供应链攻击涉及至少两种攻击,针对供应商和针对客户,如果没有这两种攻击,则不认为是供应链攻击。
此外,还有其他的网络攻击和漏洞的案例,也不是供应链攻击。一个这样的案例是对Centreon 系统的攻击,Centreon是一个提供IT监控服务的公司,有一个开源IT监控工具软件。2021年1月,发现攻击者已经利用了过时的公开面部实例,攻陷了客户的基础设施。攻击者属于Sandworm APT组织,被发现之前,已经利用了三年。攻击目的是从被影响的客户那里窃取信息,攻击针对法国的IT提供商。这是在客户安装的软件中,利用了特定的软件漏洞,然而,供应商本身没有被攻陷,漏洞也不是有意的。
7. 推荐
供应链攻击利用全球市场的互联性,当多个客户依赖同一个供应商时,针对这个供应商的网络攻击后果被放大了,可能导致大规模国内或跨国的影响。对某些产品,如软件和可执行代码,供应链存在对终端用户不透明,甚至完全隐藏,终端用户软件直接或者间接依赖供应商提供的软件。这样的依赖包括软件包、库、模块。所有这些都显著地降低了开发成本,加速供货时间。
组织对网络攻击防御得更好,转移到供应商的关注也更多。问题很简单,供应商正在变成供应链中最弱的一环,同时,客户方要求产品更加安全,但要保持低成本,这两个需求,并不总是能达成一致。
随着我们观察到供应链攻击的大量事件,组织越来越意识到,需要评估他们供应商的网络安全成熟度,以及客户-供应商关系中暴露的风险水平。客户需要评估和考虑供应商产品和网络安全实践整体质量,包括是否应用安全开发步骤。在选择和审查供应商时,客户应该尽职调查,并管理从关系之中产生的风险。
为了管理供应链网络安全风险,客户应该:
确定和记录供应商及服务提供方的类型。
对不同类型的供应商和服务,定义风险标准(例如,重要的供应商和客户依赖,关键软件依赖,单点故障)。
根据自身业务连续性影响评估和需求,评估供应链风险。
基于好的实践,定义风险处置措施。
根据内部和外部的信息源,和从供应商绩效监控和检查的结果,监控供应链风险和威胁。
让员工知晓风险。
为管理同供应商的关系,客户应该:
在产品或服务的整个生命周期内来管理供应商,包括处理到期产品或组件的程序。
对与供应商共享或可访问的信息和资产分类,定义访问和处理他们的相关程序。
在共享信息、审计权力、业务连续性、个人监控、根据责任、声明义务和步骤来处理事件等方面,定义供应商保护组织资产的义务。
对所需要的服务和产品,定义安全需求。
在合同中,包括所有这些义务和要求;同意分包规则和潜在的级联要求。
监控服务效果,执行例行安全审计,验证对协议中网络安全的遵守情况;这包括事件、漏洞、补丁、安全需求等的处理。
得到供应商和服务提供方保证,没有包括已知的隐藏功能和后门。
考虑到保证法规和法律要求。
定义管理供应商协议变更的流程,例如工具、技术等的变更。
另一方面,供应商应该保证产品和服务的安全开发,和普遍接受的安全实践保持一致,供应商应该:
保证用来设计、开发、制造和交付产品、组件和服务的基础设施符合网络安全实践。
产品开发、维护和支持流程,和普遍接受的产品开发流程保持一致。
安全的工程流程,和普遍接受的安全实践保持一致。
基于产品种类和风险,考虑到技术要求的适用性。
给客户提供符合已知标准的声明,如ISO/IEC 27001, IEC 62443-4-1, IEC 62443-4-2 (或者如CSA 云控制矩阵,CSA Cloud Controls Matrix (CCM) ),在某种程度上保证和确认,产品的任何部分使用的开源软件的完整性和来源可信。
定义质量目标,如缺陷数量、外部识别的漏洞、外部报告的安全问题,使用他们作为提高整体质量的工具。
维护软件源代码和组件来源的准确和最新版本,在软件开发流程中,控制第三方组件、工具和服务的使用。
定期审计,保证上述措施符合要求。
不仅如此,任何基于组件和软件的产品及服务,如果来自于供应商,应该实施最佳实践的漏洞管理,例如:
监控外部或内部报道的安全漏洞,包括第三方组件。
使用漏洞评分系统(例如,CVSS)做漏洞的风险分析。
根据风险,处理已知漏洞的策略。
提醒用户流程。
补丁验证和测试,保证符合运维、安全、法律和网络安全要求,补丁和非内置的第三方组件兼容。
补丁安全交付流程和给客户补丁记录。
参与漏洞披露计划,包括报告和披露过程。
供应商应该以补丁的方式管理漏洞。同样,客户应该监控市场,发现潜在的漏洞,或从供应商收到相应的漏洞声明,一些好的补丁管理的实践包括:
维护一个资产目录,包括补丁相关信息。
使用信息资源来识别相关的技术漏洞。
评估已确定漏洞的风险,有文档化和可实施的维护策略。
只从合法信息源更新补丁,安装之前测试。
补丁不可用或不适用时,有替换方案。
使用回滚步骤,有效的备份&恢复过程。
在客户和供应商自己能做的工作之外,还有一些行业层面的动作。2021年六月,谷歌推出一个端到端框架,保证整个软件供应链中软件工件的完整性,叫软件工件的供应链水平(SLSA,Supply chain Levels for Software Artifacts)。SLSA的目标是改进行业状况,尤其是开源软件,防御对完整性的威胁。SLSA关注软件供应链攻击,而不是所有其他类型,这是可能让组织受益的好起点。
一个更普遍、但更广泛网络安全威胁防御建议是2021年6月,MITRE发布的MITRE D3fend项目。MITRE D3fend是一个框架或结构化知识库,允许组织发现特定的缓解手段,阻止MITRE ATT&CK框架中的特定攻击。项目并不是针对供应链,也不是针对APT攻击,但这个建议能用来提高组织基本的安全水平。
然而,客户、供应商或组织,无法通过实施好的实践,缓解所有的供应链风险。特别在硬件组件中。隐藏的功能和未说明的访问功能(后门)很难通过常规认证和标准的渗透测试来完全识别。此外还有零日漏洞,仅限特定组织知道和使用的漏洞,这些都是挑战。因此,必须在国家层面,甚至整个欧洲层面来采取行动。有能力的国家机构能执行国家级供应链风险安全风险评估。不仅如此,供应链攻击也可能会被具有先进能力国家参与者资助,在这种情况,也许需要相关机构的协助,缓解国家资助攻击的风险。
8. 结论
随着对保护良好组织直接攻击的成本增加,攻击者更喜欢攻击他们的供应链,为潜在大规模和跨界影响提供了额外的动机。这种转移已经导致了超过常规数量的供应链攻击事件报道。估计2021年的供应链攻击数量会达到2020年的4倍。当前供应链固有的全球化特性,提高了这种攻击的影响,扩宽了恶意攻击者的攻击平面。报告包括了许多已知攻击,但事实上,还有更多的供应链攻击未被发现、没有调查或由于其他原因。
特别在软件领域,供应链攻击侵蚀了软件生态系统中的信任,描述的事件显示了恶意攻击者在早期(开发阶段)攻陷软件供应链潜在可能性。需要开发新的方法去保护供应链设计,在这个方向,谷歌SLSA和MITRE D3FEND等新的计划,非常具有担当。
报告中的分析表明,在事件调查中,仍然有很大数量未知的因素。66%的针对供应商攻击手段仍然未知。缺少透明或调查的能力,对供应链的信任造成严重风险。提高流程的透明性和可审计性,是改善供应链安全所有要素和保护客户的第一步。
供应链攻击会很复杂,要求仔细的规划和成年累月的时间来实现。超过50%的攻击都来自于APT组织和知名的攻击者。相比于其他更普通类型的攻击,供应链攻击的有效性让供应商成为一个有吸引力的目标。因此,组织不仅仅关注他们自己的组织,还包括供应商的安全。对云服务提供商和托管服务商更是如此,最近的攻击,表明了在提升这些部分网络安全控制的必要性。
由于互联和复杂性的增加,供应链攻击的影响有更深远的后果。不仅仅是被影响的企业数量众多,更体现在泄露的机密信息,是关心国家安全或地缘政治后果的原因。
由于供应链的极度复杂环境,在欧盟建立良好的实践和协调行动,对支持所有成员国发展类似能力,实现共同安全水平都非常重要。
(注:本篇文章来源于:安全行者老霍)
公网安备:11010702001450号地址:北京市经济技术开发区科谷一街8号院6号楼13层
电话:01062016873
邮箱:cpmail@codepecker.com.cn
