推薦|中國信息安全測評中心馬金鑫:防范軟件供應鏈安全風(fēng)險 維護網(wǎng)絡(luò )空間安全 |
新聞類(lèi)別: 行業(yè)動(dòng)態(tài) 瀏覽量:3480 |
軟件供應鏈攻擊,一般是指在軟件的設計、開(kāi)發(fā)、集成、部署、升級、修復等過(guò)程中,植入惡意程序或代碼(攻擊者可能利用漏洞或管理上的安全缺失進(jìn)行代碼植入),對計算機系統造成損害。從在更新過(guò)程中替換相關(guān)補丁文件的簡(jiǎn)單攻擊,到入侵代碼庫插入惡意代碼的復雜攻擊,軟件供應鏈攻擊在網(wǎng)絡(luò )攻擊中所表現的形式呈多樣化。軟件供應鏈攻擊可輕易繞過(guò)傳統的防御壁壘,并且可長(cháng)期潛伏在目標系統中,對系統安全構成嚴重威脅。近幾年,軟件供應鏈安全問(wèn)題越來(lái)越突顯,對其進(jìn)行研究并加以防范,對維護網(wǎng)絡(luò )空間安全的意義重大。
一、軟件供應鏈攻擊事件數量持續增加
根據360威脅情報中心的《軟件供應鏈來(lái)源攻擊報告》,近幾年發(fā)生的軟件供應鏈攻擊事件達30多起。從這些攻擊事件可以看出,軟件供應鏈攻擊呈現出的特點(diǎn)包括隱蔽性較強、影響范圍較廣、攻擊門(mén)檻相對較低等。
1.軟件供應鏈攻擊影響范圍更大 從影響范圍看,軟件供應鏈攻擊往往發(fā)生在軟件生態(tài)環(huán)境的根源和傳輸環(huán)節,具有天然的擴散屬性,一次攻擊足以引發(fā)大規模的攻擊事件。針對生產(chǎn)環(huán)節的軟件供應鏈攻擊所造成的影響比針對運營(yíng)環(huán)節的攻擊大得多,因為生產(chǎn)環(huán)節處于軟件供應鏈的上游,一旦遭到攻擊,即可波及更多下游環(huán)節。在2015年的XcodeGhost事件中,Xcode編譯器被惡意篡改,導致蘋(píng)果應用商店(AppStore)中下載量最高的5000個(gè)應用程序(App)中有76款被感染,其中包括多家大公司的知名App。安全漏洞攻擊一般發(fā)生在單點(diǎn)上,通用軟件的漏洞攻擊無(wú)疑也會(huì )導致較大規模的影響,但是,由于其較弱的傳播能力,在影響范圍上不及軟件供應鏈攻擊。
2.軟件供應鏈攻擊的檢測難度較高 軟件供應鏈攻擊的隱蔽性較強,多數軟件供應鏈攻擊發(fā)生在軟件的生產(chǎn)、傳輸過(guò)程中,在傳統觀(guān)念中,這些環(huán)節被默認是安全的(尤其是生產(chǎn)環(huán)節,幾乎所有人都認為編譯器是可信的),終端防護也很少對這些環(huán)節進(jìn)行檢測。軟件供應鏈的檢測需要聯(lián)動(dòng)的合作機制,難以從單點(diǎn)上發(fā)現。2017年6月發(fā)生的NotPetya勒索病毒事件,攻擊根源來(lái)自于M.E.Doc公司的更新服務(wù)器,而該公司安全能力較低,在這種情況下,要從根源上去檢測并根除這種攻擊的難度非常大。
3.軟件供應鏈攻擊的數量呈上升趨勢 在越來(lái)越復雜的互聯(lián)網(wǎng)環(huán)境下,軟件供應鏈暴露給攻擊者的攻擊面也越來(lái)越多。攻擊者利用軟件供應鏈各個(gè)環(huán)節中的脆弱點(diǎn)實(shí)施攻擊,攻擊門(mén)檻相對較低,安全漏洞并不是必需條件,管理中的安全問(wèn)題或相關(guān)人員的薄弱安全意識被利用,也足以導致遭受軟件供應鏈攻擊。近些年,越來(lái)越多的攻擊者利用這種特點(diǎn)實(shí)施攻擊,例如“Putty后門(mén)事件”,攻擊者僅需向某個(gè)常用工具中注入惡意代碼,并將其發(fā)布在網(wǎng)絡(luò )上,便會(huì )不斷有人下載使用。
二、軟件供應鏈攻擊主要體現在生產(chǎn)和運營(yíng)兩環(huán)節
軟件供應鏈攻擊的成因主要在于在軟件生命周期內被植入惡意代碼所導致,從被攻擊環(huán)節的角度考慮,軟件供應鏈攻擊主要在生產(chǎn)和運營(yíng)兩大環(huán)節產(chǎn)生。
在生產(chǎn)環(huán)節,編譯器是被攻擊的重要目標。編譯器的正確性要求編譯前后的源碼與目標代碼須在語(yǔ)義上保持一致。在某些場(chǎng)景下,編譯器廠(chǎng)商出于某種目的可能會(huì )插入與源碼無(wú)關(guān)的代碼,如為滿(mǎn)足安全性和測試需求,微軟的開(kāi)發(fā)集成環(huán)境Visual Studio默認會(huì )在編譯鏈接過(guò)程中加入棧保護(GS)、動(dòng)態(tài)基址(DynamicBase)和遙測(Telemetry)等功能。一般情況下,這些額外的代碼并不會(huì )產(chǎn)生惡意后果。若編譯器是可信可靠的前提條件被推翻,編譯器被植入惡意代碼,那么,其編譯生成的目標代碼也將被感染。編譯器的迭代編譯又使新編譯器被老舊編譯器污染,最終導致惡意代碼的繁衍和擴散。Unix系統的創(chuàng )始人之一肯·湯普森(Ken Thompson),曾提出在編譯器自身編譯的過(guò)程中加入后門(mén)代碼,使其在編譯任意源碼時(shí)都可將后門(mén)插入到目標代碼中。
軟件集成過(guò)程同樣容易遭受攻擊。Github、SourceForge等源代碼管理網(wǎng)站為開(kāi)發(fā)人員代碼共享提供了便利平臺。據統計,Github上存儲了9千多萬(wàn)個(gè)項目,用戶(hù)量達到3100萬(wàn);SourceForge的用戶(hù)量達到3300萬(wàn)。在這些網(wǎng)站上,所有人都可參與源代碼的開(kāi)發(fā)與維護,提交自己的代碼分支,這就使惡意代碼的植入有機可乘。項目集成和代碼復用帶來(lái)額外的風(fēng)險,未對第三方代碼與軟件進(jìn)行安全檢測與審查,是導致供應鏈問(wèn)題出現的主要原因。系統中,任一組件被植入惡意代碼,便可破壞整個(gè)系統的安全性。
在軟件運營(yíng)環(huán)節,尤其是在更新或升級過(guò)程中,多數軟件并未對升級過(guò)程進(jìn)行嚴格檢查,從而使攻擊者有機可乘。在用戶(hù)升級或更新過(guò)程中,攻擊者可能通過(guò)中間人攻擊替換升級軟件或補丁包,或誘騙用戶(hù)從非官方渠道下載,以達到網(wǎng)絡(luò )攻擊的目的。攻擊者還可通過(guò)捆綁攻擊的形式,即在常用軟件中捆綁額外的軟件并發(fā)布,用戶(hù)在下載安裝該軟件的同時(shí),也將其他軟件一并安裝到本地。
三、軟件供應鏈安全的研究與推進(jìn)工作
軟件供應鏈安全越來(lái)越受到關(guān)注,安全研究團隊、安全公司,甚至在國家層面,都開(kāi)展了軟件供應鏈安全的研究與推進(jìn)工作。
在軟件供應鏈安全研究方面,國內外研究所、安全公司重點(diǎn)圍繞軟件供應鏈攻擊事件進(jìn)行跟蹤分析,以尋求技術(shù)解決方案。例如,360威脅情報中心發(fā)布的《軟件供應鏈來(lái)源攻擊報告》,研究近幾年發(fā)生的軟件供應鏈攻擊事件,從用戶(hù)、生產(chǎn)廠(chǎng)商、安全廠(chǎng)商的角度分別提出相應的解決方案。在理論研究方面,吳世忠等人編著(zhù)的《信息通信技術(shù)供應鏈安全》,主要探討了軟硬件供應鏈的安全風(fēng)險,并提出了相應的對策建議。在實(shí)踐活動(dòng)方面,2018年3月,阿里安全正式啟動(dòng)“功守道”軟件供應鏈安全大賽。該比賽通過(guò)模擬真實(shí)軟件供應鏈攻擊案例,利用攻守方的技術(shù)博弈,以期促使更多人關(guān)注軟件供應鏈安全技術(shù)的發(fā)展,這是國內首次以軟件供應鏈攻防技術(shù)為主題的比賽活動(dòng),也是產(chǎn)業(yè)界在軟件供應鏈安全技術(shù)研究領(lǐng)域的一次有意義的探索。
在軟件供應鏈安全標準制訂方面,2018年10月,由中科院軟件所、華為、聯(lián)想、螞蟻金服等公司起草的國家標準《信息安全技術(shù) ICT供應鏈安全風(fēng)險管理指南》發(fā)布。該標準規定了信息通信技術(shù)(ICT)供應鏈安全風(fēng)險管理的過(guò)程和控制措施。2013年8月,美國國家標準和技術(shù)研究所(NIST)制定了《聯(lián)邦信息系統和組織的供應鏈風(fēng)險管理指南草案》,并于2015年2月發(fā)布了更新版本的《聯(lián)邦信息系統供應鏈風(fēng)險管理指南》,指導聯(lián)邦政府采取相應措施,以減少I(mǎi)CT供應鏈風(fēng)險。
在軟件供應鏈安全政策方面,美國在2009年發(fā)布《美國網(wǎng)絡(luò )安全空間安全政策評估報告》,將ICT供應鏈安全提高到國家戰略層面。
總體來(lái)說(shuō),目前我國在軟件供應鏈安全技術(shù)方面的發(fā)展還處于起步階段。雖然軟件供應鏈安全的問(wèn)題在我國較早被提出,但是推行力度還遠遠不夠。在國家層面,缺少體系化的制度和相關(guān)政策予以支持。在行業(yè)層面,對軟件供應鏈安全技術(shù)研發(fā)的投入不夠。在社會(huì )層面,對軟件供應鏈安全問(wèn)題缺乏重視,未建立起相關(guān)工作機制。
四、應對建議
軟件供應鏈的攻擊事件持續增加,這種攻擊所帶來(lái)的風(fēng)險不只局限于經(jīng)濟利益、知識產(chǎn)權、數據隱私的破壞與竊取,還可能對國家安全構成威脅。基于此,本文提出如下幾點(diǎn)應對建議。
在國家層面,強化軟件供應鏈安全體系建設,把軟件供應鏈安全擺在突出位置,繼續推進(jìn)核心技術(shù)軟件的可靠自主可控。目前,我們國家在關(guān)鍵軟件技術(shù)方面還無(wú)法實(shí)現完全自主可控。操作系統、辦公軟件、中間件等方面均需采購使用國外生產(chǎn)的軟件,這將是我國推進(jìn)軟件供應鏈安全進(jìn)程的不利因素。建設可信軟件供應鏈安全體系,出臺相關(guān)政策制度,推行相關(guān)行業(yè)標準規范,建設全方位、多層次、立體化的聯(lián)動(dòng)工作機制,督促多行業(yè)共同努力,維護軟件供應鏈安全。
在行業(yè)層面,強化安全意識,把安全落實(shí)到軟件開(kāi)發(fā)運營(yíng)的整個(gè)流程。建立可信軟件生產(chǎn)運營(yíng)環(huán)境,確保軟件生命周期的可靠安全。規范第三方開(kāi)發(fā)商、第三方軟件的安全集成,對必須要引進(jìn)的第三方開(kāi)發(fā)商及其軟件進(jìn)行安全審查與測評。加強軟件供應鏈安全技術(shù)研究與創(chuàng )新,著(zhù)力發(fā)展和完善軟件供應鏈安全檢測與防御技術(shù)。加強軟件安全測評與漏洞分析,避免安全漏洞被攻擊者所利用進(jìn)行攻擊。建立高效應急管理和保障機制,在攻擊事件發(fā)生后,應盡快控制態(tài)勢,縮小影響范圍,降低危害程度。
在社會(huì )層面,強化協(xié)調配合,形成多方參與的軟件供應鏈安全保障格局。在國家科技重點(diǎn)專(zhuān)項中,加大對軟件供應鏈等技術(shù)研發(fā)的投入。鼓勵和支持安全檢測機構和社會(huì )力量圍繞關(guān)鍵基礎設施的軟件供應鏈開(kāi)展漏洞分析與安全測試。培養全民網(wǎng)絡(luò )安全意識,避免使用不可信來(lái)源的軟件,通過(guò)官方途徑進(jìn)行軟件的更新、升級、使用。借助安全檢測防護相關(guān)產(chǎn)品與服務(wù)進(jìn)行安全托管,加強安全防御能力。
總之,軟件供應鏈安全維系著(zhù)整個(gè)國家、行業(yè)、社會(huì )的安全,解決軟件供應鏈的安全問(wèn)題,需要國家的鼓勵與支持,需要各行各業(yè)的共同努力。維護軟件供應鏈安全,是網(wǎng)絡(luò )空間安全不可或缺的關(guān)鍵因素,也是國家安全保障的必然要求。
本文摘自中國信息安全,如涉侵權,請聯(lián)系公司相關(guān)人員進(jìn)行刪除 |