简介： 毁灭企业平安体系中“隐秘的角落”

————
APT 攻打愈演愈烈，与 SolarWinds 相干的平安反思已继续半月，阿里云平安带来了面向供应链攻打特色属性的全面攻防察看，以飨从业者。
————

前期精彩的 APT 内网反抗往往依赖于「先从内部撕开」一道口子，对于黑客而言，软弱的供应链无异于一块「新大陆」，成为击穿「要害基础设施」的最佳切入点。

利用开发方式改革引入供应链危险

随着企业上云，传统的网络边界正在逐步隐没，尤其是从天而降的疫情，更是让简直所有企业都不得不进行近程办公，员工开始从家庭网络、咖啡厅与企业网络建设连贯，企业的 IT 架构正在从「有边界」向「有限边界」产生转变。

受害于开源软件与成熟的三方产品和服务（COTS）的劣势，国内互联网、金融行业疾速倒退。在 COTS 模式下，企业能够疾速洽购到可能满足以后业务须要的生产工具、软件或硬件产品，从而节省成本和工夫。

开源软件的蓬勃发展扭转了利用开发状态，古代利用的开发人员不再首选自研，而是会看以后业界是否已有成熟的框架或解决方案。

Synopsys 公司公布的《2020 年开源平安和危险剖析 OSSRA 报告》中指出，以后超过 90% 的古代利用融入了开源组件，均匀每个利用蕴含超过 124 个开源组件，其中 49% 的开源组件存在高危破绽。

从政府服务到金融机构每个组织都依附软件来为客户提供服务。嵌入式软件不再仅仅局限于计算机，当初能够管制简单的电网、交通、医疗硬件、汽车以及卫星，软件正在吞噬整个世界。

在传统边界平安的防护理念下，平安是一个整体，保障平安不在于弱小的中央有多弱小，而在于真正单薄的中央在哪里。企业边界有限扩充后，面临的危险会随之减少，边界上任一节点的「安全性」被突破后，黑客就能通过这层信赖链路，利用多种 APT 伎俩渗透到企业外部，窃取外围数据。

以往企业防护的策略，能够从梳理企业最有价值资产开始，再看资产潜在面临的最大威逼是什么，基于威逼分级、资产分级的形式来循序渐进做治理。

在明天这种企业架构与软件开发状态下，越来越多的商业软件、硬件设施、开源我的项目被集成到企业的 IT 基础设施中，从而 扩充了潜在的攻击面，让平安进攻变得越来越简单，以及充斥着大量「不确定性」。黑客发动攻打不再关注你是谁，只有你与被攻打指标的网络或业务存在关联，就会成为重点攻打对象。

并不是所有的软硬件供应商都自建欠缺的平安团队，对产品发展软件平安生命周期治理（SDLC）来确保其安全性。三方软件供应商对平安的「漠视态度」，是导致黑客频频入侵「轻易得手」的要害起因。

对于黑客而言，软弱的供应链无异于一块「新大陆」，成为黑客击穿「要害基础设施」资源投入的最佳「切入点」。

知己知彼，供应链攻打伎俩有哪些?

如果你不理解黑客是如何对供应链发动攻打的，那么就无奈保障其平安。

阿里云平安通过剖析历史已经产生过的 126 起供应链攻打事件，将相干攻打伎俩总结为以下 15 种：

1. 社工开发者账号替换正规利用

对安卓、苹果、三方挪动利用商店内提供的利用，浏览器的插件，通过盗取利用开发者账号替换正规利用，以及公布类似名称「仿冒出名利用」，或通过重打包的技术，应用非法的应用程序增加本人的恶意代码，从而分布存在恶意代码的利用。

2. 黑灰产模式推广恶意软件

通过向第三方下载站点、共享资源社区、破解软件联盟等组织投放含有恶意代码的利用，通过 SEO 优化形式劫持搜索引擎后果，疏导公众下载恶意软件。

3. 向开源软件仓库投毒

攻击者通过向支流的软件包治理源（PyPI、Node.js npm、Maven、RubyGems、Docker Hub）投放大量「类似拼写名称」谐音的软件包或镜像，仿冒正规我的项目，从而让有恶意代码的代码包被装置到开发或生产环境。

4. 以假乱真

攻击者通过剖析特定行业内的出名软件、项目名称，抢注对应的域名，模拟官网，所提供的软件下载链接，早已植入了恶意代码。针对国外出名的软件进行汉化，并提供「汉化版」下载链接，也属于该领域。

5. 入侵官方网站替换下载链接

企业官网通常由 WEB 利用形成，应用程序绝对于其余业务状态更加软弱，黑客通过利用破绽控制软件官网后，篡改官网下载链接地址为植入了歹意后门的软件，从而间接控制目标计算机。

6. 劫持正式更新下载地址的域名

黑客通过域名服务商的破绽，管制域名解析零碎，将软件、OT 设施用于下发更新告诉的域名劫持到了黑客的服务器，通过更新通道将恶意代码植入指标计算器。

7. 净化网络基础设施的 DNS 解析记录

利用企业级路由器的已知破绽或弱口令批量入侵网络设备，批改路由器上的 NS 解析服务器为黑客所管制的服务器，通过劫持软件用于更新的域名解析记录，从而利用更新通道将恶意代码植入指标计算器。

8. 下载节点缓存、CDN 缓存、P2P 缓存、城域网缓存，被投毒净化

以后互联网体系下，硬件、软件、物联网 OT 设施的更新和数据散发，均依赖网络基础设施来承载，当终端客户进行更新、下载时通过网络链路拉取，网络基础设施为了晋升效率节俭成文，会对一些资源进行缓存。攻击者可通过定向净化缓存来实现投毒，最终攻打终端用户。

9. 入侵官网更新降级零碎

软件、硬件产品在倒退的过程中，为了晋升产品体验、降级能力、修复 BUG 等，须要进行更新降级，供应商因而建设有配套的更新降级零碎。黑客通过本身的攻击能力与把握的破绽，对供应商发动攻打与横向浸透，最中获得降级零碎的控制权。利用窃取或伪造证书签名的软件更新，将恶意软件带进攻打指标。

10. 入侵软、硬件开发公司，向指标我的项目的源码植入恶意代码

软件、硬件产品从无到有，须要经验漫长的开发生命周期流程，包含：产品设计、物料洽购、开发硬件电路板、代码实现、测试、公布流转等过程。直到产品最终流转到真正要供应链上游终端客户的生产环境。

黑客通过本身的攻击能力与把握的破绽，入侵软件、硬件供应商的办公与开发环境，间接向产品代码内植入后门，在设施上预装置的恶意软件 (相机、USB、电话等)，实现恶意代码与后门的散发，最终进入被攻打指标的网络。

11. 仓储、物流链路劫持

第三方供应商在针对网络设备、安全设备、智能硬件等物理设施的仓储和交付过程中，为了节约老本，均会采纳三方的仓储与物流服务。攻击者通过买通或盗窃的模式，获得于存储在仓库或物流环节中的设施接触机会，通过拆机或替换的形式向芯片或设施固件中写入后门。

12. 供应商预留的近程管控能力和超级权限账号

供应商为了升高售后服务和保护老本，在交付的产品中，偷偷预留了近程管控的性能，供应商可实现对部署在客户环境中的产品，进行远程管理管制。为了保护不便，供应商同时也会预留一些超级管理员、运维、测试等账号。

13. 编译环境，开发工具净化篡改源码，植入后门

攻击者通过对开发者罕用的代码开发编辑器发动攻打，通过对开发工具的篡改，以及附加一些歹意的模块插件。当开发者进行代码开发的时候，歹意模块悄悄的再开发者写的代码中植入后门。通过被净化过的开发工具编译进去的程序，或部署到生产业务的源码，都将被植入恶意代码。

14. 利用运行环境、利用组件环境被植入后门

应用软件存在编译型与解释型两种语言状态，解释型的软件代码在运行时，须要依赖运行环境将源码翻译成中间代码，再由解释器对中间代码进行解释运行。攻击者通过入侵常见的 JAVA、PHP、Python、Ruby 等运行环境的安装包，或向 XAMPP、PHP Study 成熟的环境软件等，植入后门后间接影响业务。

15. SaaS 化上游服务净化

为了收集统计数据，网站管理员通常会在每个网页中增加一个基于 JavaScript 代码的网站跟踪脚本，来跟踪拜访次数和查看流量历史记录。在前端开发体系，有大量优良的框架供开发者疾速实现各类性能，比方：Jquery、Bootstrap、Vue 等，开发者为了省事，会间接援用官网提供的 CDN 地址。当上游的 JS 代码源被入侵，援用这些三方 JS 代码的业务，将演变为发动更大规模代理人攻打的跳板。

供应链攻打的应答倡议

一、从最要害的供应商开始，将供应商的数字资产纳入全面的、基于实在危险的平安评估体系中：采纳攻防实战的形式来验证产品能力，而不仅仅是合规查看。引入更加具备代表性的反向验证体系，以打消供应商网络上，可间接对组织造成业务中断或毁坏的平安盲点。

• 对所在组织网络具备重要拜访权限的供应商；
• 领有所在组织「敏感数据」的供应商；
• 制作非凡整机或开发非凡零碎的供应商。

二、平安始于可见性，为每个硬件、应用程序继续构建具体的物料清单，从而全面洞察每个硬件、应用软件的组件状况：随着软件行业以「前所未有」的速度倒退，开发人员接受着以「更快的效率」和「更低的老本」来交付产品的压力。因而开源软件、开源组件成为了软件生态系统中至关重要的一环，许多破绽被一层又一层地暗藏在依赖之下，开源亟需更无效的爱护策略。为所有应用程序创立 SBOM（软件物料清单），能够帮忙企业发现以后运行中的程序、源代码、构建依赖项、子组件所依赖的开源组件清单，以检测开源软件组件是否带有已知的安全漏洞或性能破绽，破绽披露时可通过清单列表迅速响应排查，最终确保软件供应链中应用的都是平安的组件。从风险管理的角度跟踪和检测开源软件、开源组件的平安态势。

三、尽可能地放大攻击面、缩小碎片化，升高对第三方组件、开源软件的依赖，抉择可信度较高，对平安器重的供应商：以白名单模式限度硬件型号的准入和容许装置的软件，以及确保装置最新的安全补丁。通过正规渠道购买、下载的软硬件介质，应用通过验证可信的第三方开源 / 商业库、算法等，洽购平安可信的软件外包服务。

四、慎用对平安态度消极的厂商所开发的软件或硬件产品：建设残缺的供应链平安风险管理流程，企业高层为平安第一责任人，并由安全部门对立集中管理和经营。为了让供应商更加重视平安，在洽购条款中明确要求，只有产品出具了足够说服力的安全控制证实，能力进入洽购体系，并对供应商进行定期的平安抽查。

五、增强信赖链路的自主可控能力，全链路加密和验签：要求供应商在提供更新、降级通道的同时，在网络链路中须退出自定义证书的能力（用户自定义密钥 BYOK）。同时，代码签名是在软件供应链中建设信赖的重要过程，签名和验证体系能够确保程序的执行都是可信、牢靠的。

六、晋升软件、硬件产品安全危险的发现能力：投入资源开掘以后企业正在应用的商业软件、开源软件破绽，将商业软件、开源软件和自研软件同等对待，施行平安开发流程（SDL）的平安审计。

七、加重已知破绽的影响：通过产品架构，或在产品设计中内置安全性，部署和启用恶意软件防护和检测能力。在应用了第三方组件的应用服务器侧部署运行时爱护技术 RASP，网络侧部署 WAF，主机侧部署 HIPS 等进攻零碎，来缓解已知破绽的影响。

八、网络和物理环境访问控制、运输平安：软件和硬件散发过程的安全性，物理和网络安全之间没有差距。有时，黑客会抉择利用物理平安上的破绽，从营业厅或车库动员网络攻击。同样，攻击者在寻找进入物理场合入口时，可能会利用网络破绽来获取物理门禁的拜访权限。黑客甚至会在物流运输阶段下手，供应商需找牢靠、平安的运输物流公司，以最大水平地缩小运输过程中被篡改的危险。

九、软件和硬件具备平安验签能力，物理磁盘默认加密：硬件零碎在平安启动过程中会进行验签，如果无奈辨认签名，零碎将不会启动，且磁盘也无奈解密。避免黑客向固件或磁盘存储写入后门或恶意代码。

十、联防联控，建设供应链平安联盟以应答系统性威逼，晋升企业在蒙受供应链攻打时的响应与恢复能力：由繁多组织形成的防守战线显得势单力薄，在要害基础设施如此重要的明天，应答供应链攻打亟需回升至国家、社会层面，成立行业同盟，全面降级联防、联控的体系。

作者：云平安专家
原文链接
本文为阿里云原创内容，未经容许不得转载