此篇报告是由安天CERT在2017年9月编写的《连锁传递的威胁——从软件供应链视角看网络安全》,但由于我们担心自身认知不足,所以并未公开本报告,而将其作为了储备报告封存。基于供应链安全日趋重要,安天CERT决定,发布这份历史储备报告,本次发布中仅作了部分勘误和少量修订,并未补充2017年之后的新的供应链安全事件和新的观点。同时由于我们自身的水平所限,特别是在2017年时,我们对供应链安全的研究还不够深入,报告必然会存在大量错漏和一些不完备之处。仅供读者参考。
1.概述
供应链环节安全事件呈不断上升的趋势,以供应链为载体进行攻击活动的攻击组织也越来越多。方程式组织就可能通过物流链劫持的方式,替换外设、存储产品为攻击载体,或在固件中刷入恶意软件。较为活跃的Magecart攻击组织,其有专门的小组进行针对供应链的攻击活动,曾针对供应链上游环节进行多起攻击事件。按照这个趋势,可能出现更多的攻击组织专门针对供应链环节进行攻击活动,也可能已经利用供应链成功攻击并潜伏在网络中。
供应链环节非常复杂、流程和链条很长,暴露给攻击者的攻击面越来越多,攻击者利用供应链环节的薄弱点作为攻击窗口,供应链的各个环节都有可能成为攻击者的攻击入口。既有传统意义上供应商到消费者之间供应链条中信息流的问题,也有系统和业务漏洞、非后门植入、软件预装,甚至是更高级的供应链预制问题。本报告尝试从安全威胁的视角,对供应链各个环节可能面临的安全威胁进行归纳和梳理,细粒度地绘制了供应链安全环节简图,结合典型安全威胁事件,对供应链安全问题展开分析,并提供一系列供应链安全防护建议。
2.供应链安全环节模型
安天基于对供应链安全事件的持续追踪理解和应用场景的实际情况,构建了“供应链安全环节简易示意图”,指出供应链中包括的主要环节和潜在的安全威胁。供应链是一个包含上下游角色和中间环节的阶梯链结构,结构中的上、下游是相对的,根据场景的不同,当角色处于产品提供方时便位于上游,当角色处于产品使用方时便位于下游,一个场景中的下游角色可能是另一个场景中的上游,整个模型是一个不断迭代的阶梯链结构。从抽象出的简图中能够看出,攻击者一旦对供应链的任意环节进行攻击,都会引起供应链的连锁反应,危及关键信息基础设施和重要信息系统的安全。
图2-1软件供应链安全环节模型(最终用户场景)
图2-2软件供应链安全环节模型(软硬件产品开发者场景)
2.1软件供应链上游安全隐患
在供应链的整个环节中,供应链开发环节的安全隐患涉及软件开发实施的整个过程中面临的脆弱性风险。软件开发环节是一个复杂的过程,包括用户需求分析、编程语言和知识库准备、软硬件开发环境部署、开发工具、第三方库的采购、软件开发测试、封包等多个环节。如此复杂的开发过程,本身就存在诸多的安全风险,其中任意环节都可能成为攻击者的攻击窗口,然而部分厂商还在不同的软硬件产品中加入信息采集模块、预制后门或在研发阶段预留调试接口,给攻击者留下更多可乘之机。一旦供应链开发环节存在安全风险,风险便会向供应链下层环节逐层传递,用户会在毫无察觉的情况下遭受攻击,最终将造成非常巨大的影响。
2.1.1源码、库的篡改或污染
在软件开发环节中,对于源代码、库的篡改或污染是很难发现的,这些披着“合法”外衣的恶意软件能够轻易规避终端防护软件的检测,使其能够长期潜伏在目标系统中而不被发现。通过对源代码层次的恶意植入的供应链安全事件的分析、研判发现,网络管理工具是攻击者的重要目标。
2017年9月14日,卡巴斯基安全实验室发现NetSarang公司开发的安全终端模拟软件Xmanager,Xshell,Xftp,Xlpd等产品中包含的nssock2.dll模块源码被植入恶意后门,且该模块存在合法的数字签名,目前多认为NetSarang被蓄意攻击导致源码被恶意篡改。研究人员发现nssock2.dll模块官方源码中被植入恶意后门代码,后门会向nylalobghyhirgh.com发起请求并传输敏感数据(或上传用户服务器账号和密码信息)。
图2-3被植入恶意代码的nssock2.dll模块
无独有偶,2017年9月18日,思科的研究人员发现系统维护软件CCleaner被植入了恶意代码,受影响的版本是32位的CCleaner5.33。CCleaner是一款非常受欢迎的软件,每周的下载量超过500万,截至2016年11月,CCleaner声称全球拥有超过20亿次下载量。因为被植入恶意代码的程序具有合法的数字签名,因此该事件也被认为是开发商被攻击导致的源代码遭篡改,而非信息流上的篡改或仿冒。
图2-4被植入恶意代码的CCleaner具有合法的数字签名
研究人员表示如果恶意代码连接C2失败,将会使用DGA生成域名并查询DNS。思科在分析期间观察到DGA域名尚未注册,其研究人员将这些域名注册并sinkhole,防止攻击者进一步攻击。被植入恶意代码的CCleaner执行流程如下:
图2-5被植入恶意软件的CCleaner执行流程[3]
上述安全事件为我们传统的可信认证体系敲响了警钟,一旦供应链上游被渗透,那么传统的“可信”将变的不可信,来自官方的带有数字签名的文件也可能是遭到篡改的,具有数字签名的文件也可能是被植入恶意代码的。
2.1.2技术标准污染
加密算法是现代网络安全技术的基石之一,合理的使用加密算法可以保证网络间通信的安全性。
然而一份斯诺登2013年曝光的资料显示[4],NSA和英国情报机构可破解包括VPN和HTTPS在内的绝大多数互联网隐私保护和加密技术,这意味着大多数经过加密的个人和商业网络通讯数据、在线交易信息,对NSA来说都唾手可得。
NSA主要通过这几种方式达到其目的:
1.干预信息安全国际标准的制定过程,削弱密码系统,将NSA可破解的加密标准加入国际标准中;
2.利用超级计算机(或新一代的量子计算机)对加密算法暴力破解;
3.通过花费大量资金同技术公司或互联网服务商合作,采用多种手段降低信息安全产品的安全强度。
早在2007年,两位密码学家(NielsFerguson和DanShumow)发布报告《OnthePossibilityofaBackDoorintheNISTSP800-90DualEcPrng》,提出2006年被纳入SP800-90标准的Dual_EC_DRBG算法可能潜伏着一个后门。如果以特定方式选择定义算法的一个参数,算法产生的随机数是可以被预测的。斯诺登事件后,纽约时报曝光,“斯诺登”泄露的内部备忘录证实了NSA操纵和弱化了Dual_EC_DRBG算法。后来说明标准对包括Linux等多个系统安全性产生了影响。
图2-6“斯诺登”泄露的Bullrun和CheesyName计划
2.1.3“预置“后门和默认缺陷
在供应链上游的被预置在内的安全隐患中,大致可以简单概括为攻击者预制、开发者预制、渠道预制三种,攻击者预制是指攻击者利用供应链环节的脆弱点植入恶意代码、插入后门等;开发者预制包括厂商或内部开发者故意预留后门、开发人员为了方便测试或运维预留接口;渠道预置是运营商、分销渠道、店面等向产品二次安装软件等。
2.1.3.1路由等设备内置后门
不论是厂商为了商业或其他目的预制的后门,还是由于开发人员的疏忽无意引入的后门,都是严重的危害计算机系统的脆弱性风险。存在后门的节点,降低了入侵门槛,很容易被攻击者远程利用、攻击和控制。
需要说明的是,被曝光的“后门”并不都是以恶意意图来预设的,有一定比例的“后门”实际上是未有效屏蔽或管控的调试或运维接口。信息产品必须进行模块调试和整体测试,也包括设计产品运维,因此必然会出现调试测试接口和运维接口。但如果这些接口在正式展品中没有有效屏蔽或者管控,导致其能与暴露面直接连接或者能导致匿名或普通用户提权,就起到了事实上的后门作用。
2014年CNCERT的一次集中通报中[6],提及了Cisco、Linksys、Netgear、Tenda、D-link等主流网络设备厂商上百个批次产品预置后门的情况。在该次通报中,受32764端口后门、远程命令执行漏洞、提权后门等后门漏洞影响的产品占绝大多数。多数厂商都声称基于开发时的调试需要,留有一个管理员权限的后门方便开发人员调试。网络设备的高危漏洞如果未即时修补,在使用场景中也会起到和后门等效的效果。下表为2013年以来被曝光的路由器后门事件。
表2-12013年~2017年间被曝光的路由器后门事件
2.1.3.2IoT设备弱口令
图2-7存在默认密码的设备品牌
2.1.3.3软件预装和推广已形成产业规模
2.2软件研发生产过程风险
软件研发生产是一个相当开放化的环境,开发者为了提升工作效率会借助开源代码,并没有在设计之初就将安全考虑在内,但开源软件可能本身存在安全缺陷,或者被恶意篡改,这都给软件研发生产环境带来了一定的安全风险,而软件研发生产环境的污染对供应链安全的影响是非常大的。
2.2.1开发工具污染
在供应链开发阶段需要准备开发工具进行编程以实现各种功能模块,作为开发过程中的一个关键环节,一旦编程人员使用了不安全的开发工具,那么经由此开发工具输出的代码都可能存在被篡改、恶意植入等风险,甚至可能导致整个编程环境出现重大的安全隐患。
截止到2015年9月20日,各方已经累计确认共692种(如按版本号计算为858个)App受到感染。同时有多个分析团队发现著名的游戏开发工具Unity3D、Cocos2d-x也被同一作者进行了供应链污染,因此会影响更多的操作系统平台。此次事件也可谓是移动安全史上最严重的恶意代码感染事件之一。
图2-8Xcode非官方供应链污染事件示意图
如果对这一事件进行定性,我们将其称之为“地下供应链”(工具链)污染事件。在当前移动互联网研发过度追求效率、安全意识低下的现状下,连锁式地形成了严重后果。同时值得深思的是,据2015年3月份斯诺登曝光的一份文档显示:美国情报机构曾考虑通过对Xcode(4.1)SDK进行污染,从而绕过苹果AppStore的安全审查机制,最终将带毒App放到正规的苹果应用商店里。可见无论是针对地下黑产,还是情报获取,供应链和工具链都将是“必争之地”。
2.2.2开源软件本身安全缺陷
图2-9部分第三方开源项目漏洞分析图(CNCERT)[8]
安天对所涉及模块的源代码进行了分析,确认了该问题的存在。问题的原因出在CryptKeeper调用的encfs代码上,在encfs新旧版本中,对于同一个Config_Prompt模式,是否指定useStdin(-S),行为是不一致的。在新版本中,如果指定了-S并且模式为Config_Prompt的话,会使用标准模式。
CryptKeeper根据旧版本encfs的设定,在代码中硬编码了"p\n"选项,来模拟键盘输入,以选择paranoia模式(具有更高的加密强度)。而本次事件中涉及的Debian9,仍处于测试版(unstable)阶段,使用了较新的encfs(1.9.1-3版)。新版本的encfs在-S参数的解析过程中不再读取模式,而是使用预配置的标准模式,并直接从输入中读取密码,因此,CryptKeeper中硬编码的"p\n"值被encfs直接看作密码,而实际应使用的密码被抛弃。由于-S模式关闭了输入回显,这个BUG并不容易发现。在安天对这个漏洞讨论中,也有工程师认为不能排除这一漏洞可能来自预制。
2.2.3丰富的外部信息获取带来风险隐患增加
软件开发过程中,工程师需要持续的外部信息获取,包括类似MSDN等技术资源库、论文资料检索、开源源码库、开发工具和其他的辅助小工具获取等等,同时还希望保持开发社区的参与度。因此,从研发效率的需求,应为工程师提供便利的外网信息访问条件;但从安全管控角度,这种便利的信息访问,就使得水坑攻击、钓鱼攻击的成功率大增。
2.2.4源码服务器和源码管理
源码服务器是软件开发企业中相对独有的一种IT资产,是软件开发企业非常核心的无形资产的载体。但其往往可能没有获得有效的安全保障,导致可能会被入侵,窃取软件代码。
2.2.5SOHO与便携办公
开发企业往往有更好的工作弹性,往往提供了较为灵活的工作方式,广泛的应用VPN实现工程师的远程接入,支持家庭办公、或者远程客户侧的研发和运营支持。
而在家庭环境中,处于方便性考虑,家用Wi-Fi等设备,往往类似密码较为简单,管理密码和接入密码没有分开,较多的出现使用办公机安装个人和家庭使用的软件,或者在家用机上接入办公网络等情况。
工程师在客户侧驻场开发和支持,也经常出现在客户网络中感染病毒,导致把病毒带回到研发场景中。
2.2.6协同开发与在线开发服务
一方面,自建研发环境、工作协同环境需要配套安全投入;此外一些中小规模的软件研发企业,更多的把开发环境放在一些公有云平台上,这也带来了潜在风险。
2.3脆弱的链条——信息流、运输流的安全隐患
2.3.1监管审核漏网——官方应用市场出现恶意软件
图2-11AppStore历年恶意代码事件
2.3.2第三方站、分发站——非原厂分发冲击安全供应链
2.3.3服务站安全隐患——信息和数据泄露的安全问题
图2-122016年发生的数据泄露事件
信息泄露的背后有一条完整的产业链。当个人信息被不法分子获取,它们将沿黑色产业链被转卖至诈骗团伙、黑客、保险、房产、理财等行业中介机构或营销人员手中,用于诈骗、钓鱼或定向营销。
2.3.4网络传输——网络通信劫持
在通信过程中,信息不一定按照用户的意愿流动,可以被劫持和窃取。通信劫持是获取信息和资源的重要手段,在信息和情报采集方面有广泛使用。
基于网络劫持的注入已经是美国情报机构进行网络攻击的重要入口,长期进行了工程体系建设、前置作业和攻击装备积累。
图2-13NSA量子攻击工具
2.3.5物流链——物流运输劫持
2013年斯诺登泄露的资料显示,美国情报机构NSA采用物流链劫持的方式进行木马植入[9]。其工作流程是:拦截发送到目标地区的计算机和网络设备的物流过程,然后由TAO(特定入侵行动办公室)情报和技术人员完成固件植入程序,并重新包装发送到目标机构。曾经有一则很滑稽的新闻报道了这样一件事[10]:Cisco(思科)为避免NSA中间劫持发往敏感用户的路由器,首先把发给这些用户的路由器发到一个假地址,然后再进行二次配送。这从层面旁证:第一,NSA的确在做物流链劫持事情;第二,Cisco确实有一份敏感客户的名单。
图2-14NSA劫持网络设备注入木马
图2-15NightSkies使用手册——针对出厂设备
2.4软件应用场景中的问题
软件供应链下游是通过信息流、运输流获取到相应的产品、代码、工具、服务等进行使用的角色。一般而言,软件应用场景中面临的安全问题主要出现在对上游提供产品、工具的验证和使用过程中。
2.4.1违规使用——盗版、Root的风险
2.4.1.1盗版操作系统隐藏安全风险
微软在2010年调研发现,全球将近70%的消费者认为使用盗版软件不像使用正版软件那样安全。而针对Windows系统的另一调查发现[11],超4成盗版操作系统含木马病毒。微软此前曾从收集了不同版本的盗版Windows7光盘,其中6%的光盘无法安装,24%包含了各种高危病毒木马,54%安装后会发现操作系统被不同程度地删改。业内人士透露,有很多黑客组织在制作盗版Win7系统的同时,修改了很多代码,使安装了这个版本的用户陷入“魔掌”。
2.4.2反盗版、激活机制、在线运维——正版带来的另类风险
更为直接的风险是一些复杂的信息平台或产品,往往有默认的面向厂商开放的远程维护接口,在给客户带来便利和降低厂商运维成本的同时,也带来了多种风险。
2.4.3智能设备Root、越狱导致的安全隐患
随着智能手机普及率越来越高,各式各样的root、越狱软件也层出不穷。以Android系统为例,root软件大多利用Android操作系统中的一些漏洞,获取root权限成为超级用户。更有如“一键root”的产品,只需要将手机与电脑相连,并打开调试模式,再无需其余的操作,软件将在几分钟内帮用户获取手机的root权限。这些软件通常会介绍root之后可以删除手机中本来的应用,添加一些自身想要的功能来诱导用户进行root,相反它们通常不会强调root可能导致的严重后果会危及到设备的安全性。实际上,大部分的用户是不需要刷root权限的。手机刷了root权限,就等于主动给部分应用程序敞开窥探隐私的大门。这些程序可以随意的将用户的短信、联系人、通话记录等信息上传到他们自己的服务器上,而如果这些重要的信息落入黑产从业者手中,可能会给用户带来更多的困扰。
2.4.4验证突破——穿透应用程序数字签名体系
但带有“合法”签名的恶意代码,早已不再是APT攻击的专利,从2016年恶意代码数字签名使用的统计情况看,接近五分之一的WindowsPE恶意代码带有数字签名,五分之一以上的带有数字签名的WindowsPE恶意代码可以通过验证,且其中大量的签发证书并不来自盗用,而来自正常流程的申请[13]。
在人们的印象中,证书的安全性更多在算法层面,例如被讨论更多的是散列算法的安全性对证书的影响,但正如我们反复指出的那样“如果没有端点的系统安全作为保障,那么加密和认证都会成为伪安全。”证书的密码协议设计固然重要,但其并不足以保证证书体系的安全,遗憾的是,以WindowsPE格式为代表的现有代码证书体系,是在端点窃密安全威胁还没有成为主流的情况下建立的,在这个体系中,证书签发环境的安全、证书统一管理和废止机制、证书机构自身的系统安全都没有得到足够的重视。
而迄今为止,Linux系统未能建成普适性的签名认证体系,毫无疑问,这为Linux下的安全防御带来了进一步的困难。Windows平台下的一些著名开源软件,也依然在二进制版本的发布中没有引入数字签名机制。
签名体系本身是不足以独立在一个开放的场景中保证软件供应链安全的,但不管如何,代码签名体系依然是软件供应链安全体系的重要基石,其更重要的意义是实现发布者验证和追溯机制。没有代码签名体系的世界,注定是更坏的世界。
2.4.6升级劫持
在软件产品的整个生命周期中,需要对自身进行更新升级、漏洞修复等,攻击者往往会通过劫持软件更新的渠道进行攻击,比如通过预先植入到用户机器的病毒木马重定向更新下载链接、软件产品更新模块在下载过程中被劫持替换。
2017年8月,安全团队截获恶性病毒“Kuzzle”,该病毒感染电脑后会劫持浏览器首页牟利,同时接受病毒作者的远程指令进行其他破坏活动。“Kuzzle”通过下载站的高速下载器推广传播,下载器会默认下载携带病毒的“云记事本”程序。电脑感染病毒后,浏览器首页会被劫持,谷歌、火狐、360等多款主流浏览器都会被修改为hao123导航站。“Kuzzle”通过盗用知名安全厂商的产品数字签名、利用安全软件“白名单”的信任机制等多种手段躲避安全软件的查杀。
2017年6月27日晚,Petya勒索病毒变种NotPetya在乌克兰爆发,并蔓延到俄罗斯、印度、西班牙、法国、英国等多个国家。病毒攻击的根源是劫持了乌克兰专用会计软件me-doc的升级程序,使用户更新软件时感染病毒。
但实际上,这些软件的升级程序已被不法分子替换。当用户升级某软件客户端时,下载地址被重定向至恶意软件,恶意软件在运行正常安装包的同时静默安装其他推广程序。
3.供应链攻击的后果影响分析
3.1对国家安全和国防安全影响
供应链攻击是突破高等级防护目标的更为有效和致命的入口,特别如果再与线上、线下相结合;网空与电磁攻击方式相结合,就构成了致命的打击能力,对总体国家安全的各个方面都可能造成致命的影响。
3.2知识产权损失和企业竞争力削弱
3.3预制跳板攻击下游用户
从软件生产上游、软件研发生产环境,到信息流、运输流,再到用户的软件用于场景,软件供应链的各个环节都可能成为攻击者的攻击窗口,无孔不入的对目标系统进行信息采集、攻击载荷预制等网络攻击行为。攻击者通过恶意载荷在目标系统进行持久化驻留,并将目标系统作为跳板,通过这些跳板渗透到其他高价值系统中。在“震网”安全事件中,在攻击伊朗铀离心设施之前,攻击方已经入侵渗透了伊朗的多家主要国防工业和基础工业厂商,特别是离心机主要生产厂家KalaElectric,针对设备生产商、供应商、软件开发商等工业基础设施进行全面入侵渗透和载荷预制,并将其作为跳板,最终渗透到伊朗铀离心机,阻断了伊朗核武器进程。
3.4提升攻击者脆弱性分析和漏洞挖掘的效能,攻击下游用户
随着对软件功能和需求的不断扩展,软件的复杂程度不断提高,安全漏洞的产生自然也是无法避免的。但攻击者面对攻击目标时,如果以有限的暴露面为入口,寻找漏洞和攻击点就需要一定成本和代价。而在攻击者窃取了软件开发文档和代码后,就使攻击者在面对软件用户时,充分掌控了信息不对称性优势。特别是攻击者的漏洞发现过程不再是基于有限的暴露面尝试,或者二进制层面的逆向,而是可以直接在源码中寻找漏洞和缺陷,通过更多的自动化工具进行fuzzing和挖掘;其对分析,直接基于源码来完成,包括可以引入代码安全分析工具,从而快速找到可利用的暴露面、弱点和漏洞,从而大大提升攻击效果。
另一种情况是,攻击者获取代码和文档后,就能更快的分析开源和第三方组件应用情况,从而由已知的开源代码和组件漏洞中快速找到攻击点。
3.5攻击目标选择的新模式
供应链攻击往往被视为,为了攻击最终目标场景的前导环节。但以开发机构为目标的攻击广泛出现后,就会使攻击者反其道而行之,批量的寻找其中的价值目标节点进行攻击。
3.6导致雪崩效应
4.更成熟的软件供应链的风险管理
软件供应链的网络安全问题涉及的角色、环节众多。一方面,高度的复杂性使得其整体脉络难以清晰可见;另一方面,整个链条任意环节的安全问题一旦被触发都可能造成严重后果。因此,软件供应链的风险管理是一项系统性、综合性的工作,在这方面,西方发达国家处于较为先进的水平。这些的实践虽然并不都适合于我国,但也有很强的借鉴和参考价值。
5.全面强化全生命周期软件安全举措
软件开发企业和机构、也包括自研层面,需要全面提升研发场景的网络安全规划水平,加大安全防护投入。对第三方供应商进行有效管理,最大限度的缩小暴露的攻击面;企业应建立安全的上游供应链,积极改善IT治理和纵深防御,提升开发环境安全;开发人员全面提升代码安全工程能力,严格遵守开发规范,对调试、运营接口进行有效的约束和管理;定期或及时开展教育和培训课程,提升安全意识;软件发布前应该经过严格审计,软件规划开发的各个阶段需要进行严格的安全规划审查、代码安全审计,降低安全风险;软件产品的分发过程要进行严格的控制,企业可以通过安全的门户网站建立统一的应用商店。构建应急响应机制,建立产品安全应急响应组织,完善快速补丁和升级机制,及时对威胁事件进行安全响应。
网络安全厂商层面,需要首先做好自身的网络安全防护工作,强化自身产品的安全工作,让安全产品自身更安全。同时提升面向供应链场景的威胁感知和响应能力,增强向研发场景的安全赋能能力。
从政企用户场景看,面对日趋严峻的供应链安全问题,一方面,要完善响应排查机制;另一方面,不应该都寄托于亡羊补牢,而是应该围绕有效防护展开。具体来说,在基础结构安全方面,需要设计合理的网络安全结构,增强网络的可管理性。可管理网络能够增强网络的可防御性,收缩攻击面,提升对手获得控制权的难度和成本。在积极防御方面,供应链攻击的有效防护应该从终端侧、产品侧的安全告警等被动响应模式,转变为主动发现潜在网络威胁的级别,缩短威胁暴露的窗口期。同时,持续跟进供应链安全情报,随时发现关联风险。
个体用户层面,用户应该选择正版或官方软件资源下载渠道,并对可疑邮件、链接等时刻保持警惕;使用正版的操作系统,定期进行系统安全修复;从官方渠道进行软件升级和卸载,避免被攻击者利用;安装终端防护软件(如安天智甲),定期对终端系统进行全面的扫描、系统查杀,最大限度地保证终端系统安全。
6.软件供应链安全威胁引发的思索
随着信息技术的飞速发展,供应链环节变得越来越复杂,暴露给攻击者的可攻击面也越来越多。攻击者利用软件供应链环节的薄弱点作为攻击窗口,从软件的开发,到软件的分发,再到用户的使用环节都可能被攻击者利用,软件供应链的各个环节都可能成为攻击者的攻击窗口。供应链安全当前的两个关键战场:一个是有效应对上游安全隐患或遭到攻击,转化为下游政企机构安全风险;一个是移动互联网生态的复杂博弈竞合。
在移动互联网生态场景中,APP软件供应链环节安全威胁呈上升趋势。虽然,手机木马蠕虫等传统恶意软件,在安天等厂商的原厂安全赋能后,快速增长的趋势得到遏制。但高级攻击者和灰色产业体系对移动供应链的渗透甚至直接参与,却将成为更大的挑战。在第三方漏洞、恶意SDK、分发污染、应用更新等供应链环节均出现了不同的安全挑战。
而随着互联网+和智能化的浪潮,IoT设备的广泛应用,政企应用的互联网化,企业的防护正面不断增大,增加了企业的防护成本,提升了内部安全防护的难度。与传统的边界防护相比,新兴设备的接入使得原有的防护边界有所扩散,并形成一个非受控的信息通道。供应链的整个链条任意环节的安全问题一旦被触发,都可能造成严重影响。
在过去的种种案例总结中,供应链攻击多被作为一种“曲线”进入核心IT场景的外围攻击手段,这是频繁发生的事情,但如果这是我们理解这一问题的唯一方式,就是把战略问题战术化了。我们有理由确信:未来的网络安全的对抗,是全场景和全生命周期的,攻击者会基于大数据更容易找到目标和入口,会更多地把供应链作为攻击的起点,因此我们还是要重复我们已经重复多次的观点:
“供应链从来就不只是网络威胁对抗中的外围阵地,而是更为核心和致命的主战场。”
附录一:参考资料
[1]安天:2015年网络安全威胁的回顾与展望
[2]安天:2016年网络安全威胁的回顾与展望
[3]思科:CCleanup:AVastNumberofMachinesatRisk
[4]斯诺登向英国卫报曝光NSA和英国情报机构可破解大部分加密通讯
[5]MattewGreen:AFewThoughtsonCryptographicEngineering
[6]CNCERT路由器后门通报
[7]安天:Xcode非官方版本恶意代码污染事件(XcodeGhost)的分析与综述
[8]CNCERT对开源软件的漏洞统计
[9]PhotosofanNSA“upgrade”factoryshowCiscoroutergettingimplant
[10]CiscopostskittoemptyhousestododgeNSAchopshops
[11]微软2010年对windows系统展开调查
[12]卡巴斯基:Duqu2.0盗用富士康证书签名
[13]李柏松.由Windows的安全实践看可信计算的价值和局限[J].信息安全与通信保密,2014(9):100-107