《2024 供应链安全态势报告.docx》由会员分享,可在线阅读,更多相关《2024 供应链安全态势报告.docx(9页珍藏版)》请在课桌文档上搜索。
1、contentsP3引言P4供应链攻击事件及特点P9供应链安全态势Pll供应链攻击防范措施P12附录02供应链攻击事件及特点2供应链攻击事件走势近年来,供应链攻击的发生频率呈明显增长趋势,攻击者利用供应链网络固有的复杂性和互联性,通过恶意软件植入、代码篡改、供应链流程破坏等方式,实现了对目标组织的深度渗透和控制。下图为天际友盟监测记录的近年来重要的供应链安全事件的统计数据及趋势展示:80图重大供应链攻击事件趋势图从趋势图可以看出,从2021年到2023年,供应链攻击事件稳步增加,可以预测到2024年,供应链攻击活动会更加频繁,数量将大幅提升。仅从2014年第一季度来看,就已经监测到了近20起有
2、影响力的攻击案例,其中多起攻击活动通过冒充或修改流行PYPI软件包,进而利用软件供应链传播信息窃取软件或挖矿软件等进行攻击。在过去的几年中,供应链攻击事件频繁曝光,并造成了显著的影响。下图展示了最近八年来,一系列标志性的供应链攻击事件:2017.062017.092018.07NOtPetya勒索软件利用乌克兰会计软件MeDoe传播Cdeaner系统清理及优化工具遭到供应链攻击PDF编辑器应用程序安装“飞包被劫持传播挖矿代码、2018.喻廉价AndrOid手.机出厂被预安装多款恶意程序2023.091.aZarUS组织VMConneCt供应链攻击活动,XZ压缩库供应屣攻击事件2024.0320
3、23.122023.10身份安全公司Okta遭黑客攻击,市值蒸发20亿黑客团伙借助微软应用商店进行7ZIP软件供应链投毒2.2典型供应链案例分析接下来我们将精选几个典型的供应链攻击案例来深入分析此类攻击的特点。案例一:SoIarWinds供应链攻击事件2020年12月13日,安全公司FireEye发布报告,商5逢球知名IT管理及监控软件供应商SoIarWinds遭受供应链攻击。攻击者篡改了SoIarWindsOrion平台软件更新包,以分发名为SUNBURST的恶意软件。攻击过程根据SoIarWinds官方披露,攻击者自2019年起潜伏于公司的产品开发环境,并于2020年2月正式开始部署恶意后
4、门。攻击者使用了一名为SUNSPOT植入程序来将SUNBURST后门植入SoIarWinds的源码构建程序中。SUNSPOT利用了互斥体等多种方式来保证在替换源文件时不会引起SoIarWinds开发人员的怀疑。SUNBURST后门则是一个极其复杂且隐蔽的后门,在被植入SoIarWindsOrion平台软件更新包后,通过供应链传播至SoIarWinds相关客户系统。在攻击后续阶段中,攻击者使用了1.oader程序(RAINDROP.TEARDROP)来加载自定义的CobaltStrike有效负载,其中RAINDROP还具备在网络中横向传播的功能。完成环境检测后,SUNBURST恶意软件将向自定义
5、的NameServer发起DNS请求。2021年3月,Microsoft继续跟踪披露了该活动后期阶段(横向移动后)使用的三个系列恶意组件(GoIdMax.Sibot.GoIdFinder)。GoIdMax恶意软件采用Go语言编写,主要作为与C2进行通信的后门,通过模拟系统管理软件上的计划任务来保持持久性。Sibot则是一个由VBScript编写的恶意组件,功能包括持久性维护和下载执行有效负载。GoIdFinder是一个采用Go语言编写的恶意组件,可以作为自定义HTTP跟踪器,其记录数据包到达硬编码的C2服务器的路由或跳数。针对SoIarWinds供应链攻击,研究人员认为其幕后组织针对性很强,并
6、且有着的强大的技术能力和完备的运作管理方式。已有多家安全公司把此次攻击活动的幕后黑手归为APT29影响由于SoIarWinds的客户群体十分庞大,给全球许多知名公司和政府组织机构都带来了安全危机,据报道全球超过250家企业受到影响,这些受害者包括美国联邦机构以及微软、VMWare和思科等高知名度科技公司。其行业影响范围涉及北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采矿业等实体。案例二:C1.OP勒索组织利用MOVEitTransfer漏洞进行大规模攻击事件2023年5月,MOVEitTransfer零日漏洞CVE-2023-34362被C1.OP勒索团伙大量利用进行恶意攻击活动。Prog
7、ressMOVEit是一款安全托管文件传输(MFT)软件,可提供敏感数据的安全传输。据Progress官方表示,MOVEitTransferWeb应用程序中存在一个SQ1.注入漏洞,该漏洞可允许未经身份验证的攻击者访问MOVEitTranSfer魏居库。攻击过程2023年5月28日,C1.OP勒索组织将漏洞有效利用后门程序(huma2.aspx)上传至公共服务站点,而5月29日则是美国阵亡将取己念日n,攻击者似乎利用了美国联邦假日无人值守或防御松懈的特点对目标系统进行攻击。之后C1.OP针对存在漏洞的多个目标进行了广泛攻击,在短短两个月的时间内攻陷了一系列目标,造成了巨大的影响。影响文件传输服
8、务MOVEit的漏洞已经导致全球约2706个组织遭到勒索软件攻击,超过9300万人的个人数据被泄露,其中包括西门子能源、施耐德电气等多家知名公司和机构在内的部分数据在暗网上被泄露。据统计,此次Mc)VEitTranSfer漏洞影响行业涉及航空、运输、政府、金融、医疗、生物、软件和信息技术、制造、建筑、媒体、公用事业等,影响组织则遍及全球,欧美地区尤为严重。案例三:XZ压缩库供应链攻击事件事件2024年3月29日,一位微软的工程师在进行软件性能基准测试时,发现系统SSHD进程CPU占用飙升的异常情况,进一步定位到SSHD中调用的xz/libizma模块疑似被安插后门,并最终确认该事件为一次非常严
9、重的供应链攻击牛。攻击过程此次事件的攻击者于2021年1月注册GitHub账号(Jia115),2022年10月加入了Tukaani项目组,在2023年逐步参与xz项目的维护,并获得提交代码的权利,在2024年3月8日至3月20日期间,提交了bad-3-corrputJzma2.xz和good-pressed.lzma两个恶意测试文件。其中,XZ压缩库的编译脚本会在特定条件下从文件中读取恶意载荷以对编译结果进行修改,且攻击者会利用gibc的IFUNC特性针对编译的二进制文件植入后门代码,该后门代码又会在特定条件下HOOK系统OPenSSH服务的RSA_public_decrypt函数,从而致使
10、攻击者可通过构造特定验证数据针对受害者的远程SSH服务进行任意操作或远程代码执行。影响此次攻击中编译的XZ压缩库(libizma.so),在debianxubuntuxcentos等多个发行版中,用来处理XZ格式的压缩数据。因其在开源软件体系中被大量直接或间接引用,这些复杂的交叉引用互为依赖为该后门在1.inUX生态体系中提供了难以想象的巨量攻击面,故影响了其供应链条上各种类型的行业,辐射范围较大。23供应链攻击特点通过以上三个具体的供应链攻击案例,我们发现供应链攻击具有如下的显著特点:1)隐蔽性高且潜伏期长,逐步进行深入渗透供应链攻击通常发生在供应链的某个隐秘环节,如第三方软件供应商、硬件制
11、造商、中间服务等环节,攻击者利用这些链条的复杂性和信任关系潜入目标系统,且能在较长时间内保持不被察觉。案例1和3都是经过长达2至3年的潜伏期,一步步为渗透做准备,最终才成功发起了攻击。2)影响范围广泛一旦攻击者成功突破供应链某一环节的防线,他们能够深入到目标网络的核心区域,甚至可能影响到整个供应链体系中的众多组织。这种攻击可能导致系统瘫痪、数据泄露、服务中断等严重后果。从以上三个案例的严重影响就可以看出一旦攻击成功,这个波及范围可能随时间的推移而呈指数级扩大。3)利用信任与依赖关系,难以预防供应链攻击善于利用企业对供应商、合作伙伴的信任以及对特定服务或产品的依赖。攻击者可能通过伪造身份、社交工
12、程等方式,欺骗供应链成员获得访问权限,或者在供应链产品中植入恶意软件,或者利用供应链环节中通用软件的漏洞等。由于供应链的复杂性和动态性,预防供应链攻击颇具挑战。攻击者可能用供应链中的薄弱环节,如未及时更新的软件、缺乏安全意识的员工等,进行渗透,且单个组织的努力往往不足以抵御此类攻击,所以供应链攻击的预防相对来说难度较大。4)技术手段高超,攻击者往往是有实力的幕后组织或个人以上案例的攻击者无不显示出其高超的技术能力,无论是长期蛰伏准备渗透工具,还是挖掘零日漏洞进行攻击,这些都需要攻击者具备全面的攻击能力和躲避检测的技巧。供应链攻击相较于普通的恶意攻击,其攻击链条更长,只要瞄准某一薄弱环节进行精准
13、攻击,并配以完善的攻击产业链,其获取的回报往往是超出预期的,但也对攻击者的实力提出了极高的要求。03供应链安全态势3,供应链安全风险随着技术的快速发展,当前供应链安全存在着诸多风险,具体如下:1)第三方供应商风险不论是软件还是硬件供应商,若其安全措施不到位,都有可能成为攻击者进入目标网络的通道。供应商的安全短板可能转化为整个供应链的脆弱点。2)供应链透明度不足很多企业在供应链管理中难以全面掌握供应商的安全状态,这使得潜在的安全隐患难以及时发现和消除。3)技术依赖性风险开源软件和通用组件的广泛应用带来了便利,但也增加了供应链攻击的风险,一旦关键组件存在安全漏洞,极易被大规模用。3.2供应链攻击威
14、胁体现由于企业的供应链条相对较长,面临了上述提到的诸多风险,所以供应链攻击对企业和组织构成了多重威胁,这些威胁具体体现在以下几个方面:1)深度渗透和持久威胁供应链攻击能够通过第三方供应商或合作伙伴潜入目标网络,这意味着攻击者可以绕过传统边界防御,实现深度渗透。一旦成功植入恶意软件或取得控制权,攻击者可以长时间在受害者的网络中保持隐形,收集敏感信息,或者在关键时刻激活恶意代码,造成严重后果。2)波及范围广因供应链网络的连通性和辐射效应,一次攻击可能会影响众多下游企业甚至消费者。例如,通过篡改某一软件供应商的产品,攻击者可以影响到数千乃至数万家使用该软件的企业和个人,从而造成大面积的数据泄露、系统
15、瘫痪或服务中断。3)信任破裂与品牌形象受损受害企业不仅要应对内部系统安全问题,还可能因为供应链攻击事件导致公众信任度下降,品牌形象受损,客户流失,甚至引发法律诉讼和监管处罚。4)关键基础设施和国家战略安全当供应链攻击瞄准关键基础设施(如能源、通信、交通、金融等领域)时,其影响远超商业范畴,可能触及国家战略安全层面,对社会稳定和国家安全构成威胁。5)高昂的修复成本和经济损失供应链攻击通常意味着修复成本极高,企业需要投入大量人力、财力和时间去排查安全隐患,修复受损系统,恢复业务正常运行,同时,由于停摆期间的业务损失、客户补偿以及后续的合规整改,都将带来巨大的经济损失。因此,供应链攻击的威胁不仅针对
16、个体企业的安全,更是对整个社会经济秩序和国家安全造成了深刻影响。04供应链攻击防范措施防范供应链攻击是一个系统性的工程,需要从多个层面采取措施。以下是一些建议的防范措施:1)供应链风险管理供应商审查:对供应商进行详尽的背景调查,包括安全资质、历史记录和安全实践,确保其符合高标准的安全要求;合同约束:在合作协议中明确规定供应商应遵守的安全标准和责任,确保发生安全事故时有明确的追责机制;定期评估:对供应商进行定期的安全评估和审计,确保其持续遵守约定的安全要求。2)软件供应链安全软件成分分析(SCA):对软件组件和开源库进行严格的版本管理和安全扫描,确保使用的都是经过安全验证的版本;安全开发生命周期
17、(SD1.):在整个软件开发周期中实施安全控制,包括代码审杳、测试、构建和部署过程;软件物料清单(SBOM):采用和维护软件物料清单,以便于跟踪和管理软件组成部分及其潜在安全风险。3)网络和系统安全分段隔离:对网络和系统进行合理的分段和隔离,减少恶意软件通过供应链感染核心系统的可能性;最啦限原则:仅授予供应商必要的访问权限,减少潜在攻击面;安全更新和补丁管理:及时安装所有软件和硬件的更新和安全补丁,防止已知漏洞被利用。4)数据保护和隐私加密传输和存储:确保在供应链环节中数据传输和存储过程的加密保护;数据脱敏和匿名化:对敏感数据进行适当的脱敏处理,减少泄露风险。5)监控和响应实时监控:建立实时监控系统,对供应链中的异常活动进行预警和识别;事件响应计划:制定并演练供应链安全事件的响应计划,确保在发生攻击时能够快速响应和止损。6)合规与标准化遵循行业标准和法规:遵守IS028000供应链安全管理体系标准、NISTSP800-161供应链风险管理指南等,并根据GDPR等法规要求处理数据。7)员工意识培训员工培训:定期进行供应链安全相关的培训,提高全体员工的安全意识和应对力。通过以上多维度的策略和措施,企业可以显著降低供应链攻击的风险,并建立起更加健壮和安全的供应链生态系辄