跳過主内容

防範供應鏈攻擊 – 軟體如何被入侵

Microsoft Assistant General Counsel Cristin Goodwin

Microsoft Cybersecurity Solutions Group General Manager Joram Borenstein 

分享

您知道貴公司使用的所有軟體嗎?軟體供應鏈許多時候是複雜且不透明。它由企業營運軟體組成,例如客戶關係管理(CRM)、企業資源規劃(ERP)和專案管理。它還包括軟體工程師用於建構應用程式和產品的第三方元件、程式庫和架構。這些的軟體可能都很難追蹤,如果不了解或管理不當就容易受到攻擊。

在美國國防部的《美國國防聯邦採購規範補充說明》中,供應鏈風險被定義為攻擊者可能破壞、惡意引入不需要的功能,或以其他方式破壞覆蓋系統設計、完整性、製造、生產、分配、安裝、操作或維護的風險,以便監視、拒絕、破壞或以其他方式此類系統的功能、使用或操作。

如果您依賴軟體供應商的網路,那麼瞭解並降低風險非常重要。本次的「防範供應鏈攻擊」部落格系列之軟體如何被入侵,就要說明軟體供應鏈攻擊是如何執行的,並提供提高軟體品質最佳做法,以加強應用程式和業務的不足。

遍布全球的軟體供應鏈攻擊範例

從2012年開始,該產業開始看到每年針對軟體供應鏈的攻擊數量顯著增加。就如其他駭客事件一樣,執行良好的軟體供應鏈攻擊可以迅速蔓延。以下範例將軟體自動更新武器化,以感染世界各國大小公司的電腦,並著重介紹它們是如何隨著時間演變的。

  • 2012年的Flame惡意軟體是一種國家級攻擊,它欺騙了中東的少數電腦,使他們認為簽名更新來自Microsoft信任的Windows更新機制,而實際上它並沒有。Flame惡意軟體有20個模組可以執行各種功能。它可以打開電腦的內部麥克風和網路攝影機鏡頭來錄製對話或擷取即時消息和電子郵件的畫面。它也可以用作藍牙,並進入該地區的其他裝置竊取資訊。相信來自一個國家級攻擊,Flame惡意軟體多年來引起許多人的模仿。雖然Flame是一個「」供應鏈(透過偽裝博取信任),該策略被民族國家和罪犯研究和採用,並包括著名的更新攻擊,如Petya/NotPetya(2017),另一個民族國家攻擊,攻擊了20多個國家的企業。它包括透過建置IP位址清單以傳播到區域網路(LANS)和遠端IP來自我傳播(如:蠕蟲)的能力。
  • 2018年,CCleaner影響了230萬台電腦,其中一些電腦受影響時間超過一個月。國家級惡意行為者用惡意軟體替換了軟體的原始版本,此惡意軟體用於修改世界各地的客戶使用的CCleaner安裝檔。通過Piriform網路獲得存取許可權,該網路是在CCleaner使用者受到攻擊之前由Avast獲取的。正如Avast在一篇關於這個問題的部落格文章中所說:「攻擊者總是會試圖找到最脆弱的環節,且如果一個產品被數百萬用戶下載,那對他們來說就是一個具有吸引力的目標。」如此一來,企業更需增加關注和投資,以確保供應鏈安全。
  • 2017年5月,Operation WilySupply駭客組織利用文字編輯器軟體更新程式,為金融和IT部門安裝後門進行攻擊。Microsoft Defender Advanced Threat Protection(ATP)很早就發現了攻擊,即時與供應商合作遏制了攻擊並降低風險。

植入惡意軟體

惡意參與者感染軟體供應鏈的主要方式有三種:

  • 破壞網絡上軟體更新伺服器

Cybercrooks侵入公司用於分發軟體更新的伺服器。一旦他們獲得存取許可權,他們以惡意軟體取代合法檔案。如果應用程式自動更新,受感染的裝置數量就會迅速增加。

  • 訪問軟體基礎架構

駭客使用社交工程技術滲透到開發基礎架構中。在誘使使用者分享登錄認證後,攻擊者會在公司內橫向移動,直到他們能夠鎖定目標,建置環境及伺服器。這在軟體建構結案並交付給客戶之前,為他們提供了將惡意代碼注入軟體所需的存取權。一旦軟體取得數位簽名簽章,就很難偵測到出現問題。

  • 攻擊第三方程式庫

惡意軟體也透過第三方代碼傳播,如程式庫、軟體開發工具組和開發人員在應用程式使用的架構。

保護您的軟體供應鏈

您可以採取幾個步驟來減少軟體中的漏洞。(我們將在下一篇文章中討論與人員流程相關的漏洞和緩解策略):

  • 與硬體供應鏈一樣,對軟體供應商進行清點非常重要。盡職盡責,確認沒有危險信號。NIST網路供應鏈最佳實務做法提供了可用於篩選軟體供應商的範例問題,例如執行了哪些惡意軟體保護和偵測,以及實施了哪些存取控制(包括網路控制和物理控制)。
  • 與合作夥伴和供應商建立高標準的軟體保證。國土安全局SafeCODEOWASP SAMM英國國家網路安全中心的商業產品保障(CPA)等政府組織提供了一個模型。您還可以參考Microsoft的安全開發生命週期(SDL)。SDL定義了Microsoft開發人員和合作夥伴用於減少漏洞的12個做法。使用SDL作為您的工程師、合作夥伴和供應商軟體保證計畫的引導者。
  • 管理第三方元件中的安全風險。商業和開放資源程式庫架構架對於提高效率是無價的。如果已經有良好的元件,工程師不需從頭開始創建元件。但是,第三方程式庫經常成為不良行為者的目標。以下四個步驟可讓您以最好的方式使用Microsoft的開放資源,幫助管理此風險:
    1. 瞭解哪些元件正在使用中以及在哪裡使用
    2. 執行安全分析,確認您的元件都不包含漏洞
    3. 使元件保持在最新狀態。安全修補程式通常是在沒有顯示通知的情況下修復的
    4. 建立事件回應計劃,以便報告漏洞時制定策略

了解更多

「防範供應鏈攻擊」是具有五篇的部落客系列文章,為您解碼供應鏈威脅,並提供您可以採取的具體行動來保護您的組織。以前的文章包括供應鏈風險的概述硬體供應鏈漏洞的檢查。 我們還建議您可以去探索Cybersecurity Supply Chain Risk Management

在我們總結這系列文章的同時,請您繼續關注這些即將發佈的文章:

  • 瞭解人員和流程如何讓公司面臨風險。
  • 總結我們的建議,總結我們的內容,並提供未來的建議。

同時,為Security部落格添加書籤,以跟上我們的專家在安全事務方面報導。有關Microsoft安全解決方案的更多資訊,請造訪我們的網站: HTTPs://www.microsoft.com/en-us/security/business。請追蹤 @MSFTSecurity 了解網路安全的最新新聞和更新。

若欲瞭解原文,請至微軟官方部落格參考。

更多故事