軟體應用程式不是一個整體。除了為應用程式編寫的程式碼之外,您還依賴可能數百個依賴項套件和程式庫。這些庫中的每一個都有自己的一組依賴項,並且是使用部署工具建立的,然後被推送到儲存庫以供您使用。
這些組件以及其中的所有內容共同代表了您的軟體供應鏈。它們是您的軟體開發過程中必不可少的寶貴資產。軟體應用程式的正常運作取決於這些依賴性。
這是一個可怕的消息:每一個都代表一個潛在的安全漏洞。
軟體供應鏈攻擊利用依賴鏈中的漏洞來破壞整個系統。報告顯示,從 2022 年到 2023 年,供應鏈攻擊增加了 200% 以上。
本文將研究近年來幾起備受矚目的軟體供應鏈攻擊。我們將介紹他們如何擊中目標、造成的損害程度,以及我們可以從這些入侵中學到哪些重要教訓。
案例研究1:SolarWinds 攻擊
2019 年 9 月,知名網路監控公司SolarWinds遭受了史上最嚴重的網路攻擊之一,後來被稱為 SUNBURST 攻擊。此次洩漏的受害者範圍廣泛,包括金融服務、以僱用高素質網路安全團隊而聞名的軍事承包商以及眾多美國聯邦機構和部門。
這是怎麼發生的
SolarWinds 有一個名為 Orion 的 IT 監控 平台,攻擊者使用遠端存取木馬惡意軟體將惡意程式碼插入 Orion。 Orion(一款被約 18,000 個組織使用的軟體)的洩漏產生了連鎖效應。此漏洞使威脅行為者能夠在網路內橫向移 意大利電話號碼數據 動並取得敏感日誌和資料的存取權限。
網路安全公司 FireEye於2020 年 12 月發現了該漏洞。
主要經驗教訓
這起事件引發了網路安全的範式轉變,迫使全球 知名企業在允許第三方供應商存取網路時 轉向零信任架構。
這次攻擊的眾多受害者未能發現這一漏洞,這一事實表明了當時網路安全解決方案的嚴重缺陷。這個例子強調了對能夠帶來即時監控和異常檢測的解決方案的需求。
案例研究 2:Equifax 資料洩露
Equifax是美國最大的信用報告機構之一,2017 年 遭遇重大資料洩露,近 1.5 億美國人的個人資料暴露給惡意行為者。
這一事件的嚴重性導致人們呼籲加強監管審查、制定資料保護法以及圍繞資料隱私進行改革。此後,Equifax股票遭遇大規模拋售,這向行業 您的網站導致客戶流失的 7 種方式 領導者發出了可怕的警告:更好地保護用戶資料。
這是怎麼發生的
罪魁禍首是Apache Struts Java 框架中的一個 消費者數據 漏洞,該漏洞允許攻擊者透過將程式碼片段插入到 HTTP 請求標頭中來在運行該框架的 Web 伺服器上執行程式碼。不充分的網路分段使攻擊者可以輕鬆地從一台伺服器轉移到另一台伺服器,從而顯著增加了漏洞的嚴重性。
更糟的是,Equifax 沒有加密其資料庫中的使用者憑證。攻擊者能夠以明文形式檢索它們。
這事件提醒我們,常見漏洞和暴露 (CVE)(例如 Apache Struts 漏洞)非常豐富。報告顯示,每天發現多達50 個新的 CVE 。毫不奇怪,攻擊者也會定期掃描新報告的 CVE,然後急於利用它們。
Apache Struts 漏洞的修補程式於 2017 年 3 月發布,而漏洞發生在同年 5 月至 7 月之間。這意味著 Equifax 至少有兩個月沒有使用現成的修復程式來修補其係統。
主要經驗教訓
所有系統都需要儘早且頻繁地打安全性修補程式。組織需要工具來掃描應用程式中現有的和新發現的 CVE。這些掃描應該在持續整合和持續交付 (CI/CD) 建置過程中進行,以確保易受攻擊的軟體依賴項永遠不會進入生產環境。除此之外,在網路基礎架構中實施分段策略以及對敏感資料(例如使用者憑證和密碼)進行加密是不可協商的安全最佳實務。
案例研究 3:CCleaner 事件
2017年9月,攻擊者利用流行的系統最佳化工具CCleaner的編譯過程中的漏洞插入惡意軟體,破壞了該軟體。
這是怎麼發生的
全球超過 200 萬用戶下載了 CCleaner 的受感染版本。結果,攻擊者獲得了大量敏感使用者資料的存取權限。 Cisco Talos的研究人員發現了這個漏洞,並通知了 CCleaner 的所有者 Avast。 Avast 立即停止了受感染版本的分發,並發布了乾淨的更新,敦促用戶盡快下載乾淨的版本。
主要經驗教訓 這項違規行為說明了為什麼用戶在下載或更新軟體(即使是來自信譽良好的供應商的軟體)時應謹慎行事。下載任何軟體或更新時,使用者應使用具有異常檢測功能的軟體,以提醒他們任何軟體元件的可疑行為。