供應鏈攻擊
主頁 > 
供應鏈攻擊
< 返回

供應鏈攻擊

現今網絡攻擊和保安事故的手法層出不窮,而且變化多端,當中供應鏈攻擊更趨普遍,因為攻擊者通過獲信賴的第三方供應商可以接達多個機構的系統。機構即使已經安裝最穩健可靠的數據保安系統,但由於商業或開放源碼軟件╱系統組件的保安漏洞而被攻擊者植入惡意程式碼,仍然有可能受到網絡攻擊或發生保安事故。

供應鏈攻擊有上升之勢,在2020年便錄得430%的巨大升幅。2020年12月,有一個被廣泛使用但含有多個保安漏洞的網絡管理產品受到複雜的供應鏈攻擊。攻擊者通過合法的軟件更新設置了一個前所未見的後門惡意軟件,導致包括政府機構在內的30 000多個機構有幾個月成為輕易受到攻擊的對象。由於90%的應用系統包含開放源碼,而其中11%的開放源碼都有已知的保安漏洞,所以大家對針對開放源碼軟件的供應鏈攻擊亦不能掉以輕心。

影響供應鏈的主要威脅

全球供應鏈環環相扣,連繫日益緊密,使網絡攻擊更難應付。網絡攻擊可以在供應鏈的任何階段發生,可能導致:

數據外泄(包括知識產權);
業務運作受阻;
客戶服務受阻;
傳來或被植入惡意軟件(例如特洛衣木馬、設置後門或隱蔽通道);以及
可信任的軟件程式碼受損等。

攻擊者可以通過感染相關軟件,利用供應鏈的保安漏洞偷取機構的知識產權資料,損壞可信任的軟件程式碼,竊聽載有敏感數據的系統,以及進行進一步的惡意活動。事實上,這類攻擊通常涉及傳送惡意軟件,從而在目標系統收集、令數據外泄或提升權限。攻擊者亦能夠停留在目標網絡中,以作出上述惡意行動。

保護供應鏈須採取全面的保安措施,因為單純的技術解決方案難以應對防不勝防的潛在威脅和保安漏洞。機構應檢視的不單止是軟件組件的保安漏洞,他們更應顧及針對實體設備資產的潛在攻擊,這些設備資產可能會被損壞、被癱瘓或被他人用作惡意用途。

供應鏈風險

供應鏈風險可能影響系統的機密性、完整性或可用性,包括未獲授權接達企業數據、將惡意程式碼植入軟件和固件等。攻擊者可以利用互連供應鏈系統的保安漏洞引發執行遠程程式碼和披露敏感資料,以及對裝置重新進行程式編製以便進行其他網絡攻擊。

風險來源包括但不僅限於:

敏感數據被第三方供應商濫用;
不安全雲端應用程式界面(API)影響下游用戶;
從供應商買入已被入侵的軟件或硬件;
缺乏對供應商系統存在保安漏洞的意識;
缺乏對上游供應鏈的保安控制措施;以及
供應商缺乏有效的網絡安全作業模式等。
常見的供應鏈攻擊類型

供應鏈由多個機構組成,但大部分機構對各方相互之間的數據接達與否缺乏全盤了解,包括哪些機構可以接達敏感或專利資料。數碼供應鏈因此令人有機可乘,被人蓄意發動針對性攻擊來接達敏感數據。

一般來說,供應鏈攻擊有三種,包括硬件、軟件和固件。針對硬件的供應鏈攻擊需要實際更改裝置的微碼,或在電路板添加另一個組件,以便可控制接達或令資料外泄。

系統在開發周期的任何一個階段,應用系統產品隨時都可以成為軟件供應鏈攻擊的對象,發動攻擊的目的就是要取得未獲授權的接達和進行破壞。攻擊者可使用詐騙技術(例如將惡意軟件偽裝成合法軟件)接達和修改真正應用系統程式的源碼(例如在開發或維護過程中通過經惡意修改的編譯器或在系統植入的後門把攻擊程式碼插入代碼庫中)。攻擊者除了入侵開發商和分銷商的基礎設施外,也可能會利用工具和第三方共享的軟件庫進行攻擊。

常見的供應鏈攻擊類型的圖像

將惡意軟件或後門程式碼植入固件 - 一般被竄改的固件是難以被檢測的,因為嵌入裝置的預載固件層級低於操作系統,所以抗惡意程式碼軟件也無法檢測或刪除有關固件。攻擊者可以通過這些裝置,接達基礎系統或一些已經收集、處理或發送的資料。換言之,這些裝置既是網絡攻擊的目標,亦是用以進行網絡攻擊的工具(例如預載入BIOS固件以控制和修改裝置操作系統的TrickBot惡意軟件)。
被惡意軟件替代 - 第三方編程框架容許軟件開發商聚焦為其項目建構獨特的功能,而非重新研發軟件編碼。如編程框架組件遭受破壞,惡意程式碼便會被植入到採用這些組件開發的應用程式中。開發商若輕率從事,未必會留意到自己正使用被竄改的第三方軟件代碼庫(例如下載惡意NPM軟件包以安裝遠程遙控的木馬程式)。
被入侵的軟件更新 - 惡意的軟件更新會引致嚴重的網絡安全問題,可能對所有受影響的產品造成嚴重後果。漏洞修復需要一個可信任的軟件更新渠道。如攻擊者能夠破壞供應商的軟件更新分發機制,將受到攻擊的目標系統便有較大機會將惡意軟件程式碼視為合法授權軟件和加以信任(例如被植入木馬程式的 SolarWinds Orion 軟件(2020年12月))。
水坑式(Waterhole)攻擊 - 水坑式攻擊是指攻擊者試圖以新設網站吸引目標機構某些特定用戶群組瀏覽,或入侵該群組成員經常瀏覽的網站,藉此攻擊有關群組。攻擊者會操縱這些網站,傳送針對有關機構保安漏洞的惡意軟件。攻擊者或會使用詐騙方法誘使用戶或自動化程序下載並安裝被誤信為正當軟件的惡意軟件程式碼。
防禦供應鏈攻擊的措施

機構可以採用以下緩解措施及良好作業模式以改善保安狀況,並減低供應鏈受感染的風險:


適用於機構的措施:

1.
確保只從官方渠道下載及安裝最新版本的軟件;
2.
實施最小權限接達和重新驗證控制,向所有用戶給予最低級別的接達權限,只根據需要編配和提升權限;
3.
採取可用的額外保安措施,例如啓用多重認證和登入通知;
4.
註銷帳戶,確保供應鏈中系統集成商、供應商和外部服務供應商等各方,在不再需要(例如服務終止)時無法接達機構的系統;
5.
確保第三方供應商已採取足夠的保安措施保護供應鏈渠道,並根據機構的資訊保安政策定期進行資訊保安評估和審計;
6.
為機構資訊系統建立、維持和實施事故應變程序、備份操作和運作復原計劃,以確保在緊急情況下關鍵資訊系統維持運作不受影響;
7.
只允許來自獲授權API端點的接達,並藉檢測和防止漏洞以保護API;
8.
定時查看電腦系統記錄,以找出任何可能因網絡攻撃而導致的異常系統或網絡活動;
9.
如發現有異常情況,應向第三方供應商或服務供應商報告。


適用於第三方供應商的措施:

1.
確保只使用可信任的開發工具開發軟件;
2.
為確保系統和敏感數據的安全,定期或在重大系統變更後進行保安滲透測試;
3.
確保採用加密渠道(例如保密超文本傳輸規約、HTTPS)以傳輸相關軟件更新,並實施憑證綁定機制
4.
對套裝軟件和相關組件實施程式碼簽署,以確保其真實性和完整性;
5.
所有全新及經修改的硬件、固件、軟件和配置變更在推出作生產用途前,須於測試設施內進行徹底的檢查及測試;
6.
為減低供應鏈攻擊造成的影響,分階段發布軟件更新以達至更有效的變更復原;
7.
通知客戶供應鏈保安事故,並提供最新最準的資訊。

免責聲明:用戶亦應留意本網站的免責聲明。在下載和使用保安軟件和工具前,應細閱相關的用戶協議和私隱政策。