資安長必須能夠回答軟體供應鏈攻擊的五個問題

在此將會探討企業高階管理層、董事會和合作夥伴應向 CISO 資安長提問有關安全防護準備作業的首要問題。

文/Lucian Constantin‧譯/酷魯

於軟體供應鏈入侵,以下是企業安全負責人與專家認為資安長必須能夠回應的最重要問題。

一、我們是否處於攻擊風險中?

在發生任何攻擊事件之後,企業負責人應該詢問 IT 和網路安全管理人員,他們組織是否直接使用了相關的受影響軟體。如果答案是肯定的,則將觸發公司的安全事件應變計畫,以識別、抑制並消除安全威脅,並確定對業務的影響程度。

即使答案是否定的,也不表示組織一定是安全的。接下來必須了解的問題應該是:我們的任何合作夥伴、承包商或供應商是否遭到入侵?畢竟供應鏈攻擊的影響範圍勢必很廣,而且公司會定期將他們自己資料或網路與伺服器的存取權提供給其他方。

資安長的業界老手認為,企業董事會需要對這類攻擊的技術面有更深入的了解才行。從長遠來看,企業董事會應透過前 CIO 資訊長或資安長的加入來分散自身的安全風險。確保董事會了解網路風險的全貌至關重要,董事會會接著開始提問更大的問題,但即使他們不問,網路負責人也有責任與董事會討論整個組織內部的網路風險程度。重點不在 IT,而是存在網路風險的地方。當我們特別談到軟體供應鏈時,我們當然要問我們的軟體供應商是否有使用過任何遭入侵的產品,哪些風險會轉移到我組織中?

二、我們當前的安全計畫是否涵蓋軟體供應鏈威脅?

抵禦軟體供應鏈攻擊的主要癥結在於,它們濫用了用戶與供應商之間的信任關係,並濫用了特定軟體被賦與執行其功能的合法存取與權限。從用戶的角度來看,他們獲取的軟體來自信譽良好的來源,並透過正當的發布或更新管道,再經數位簽章下載而來的。我們不能奢望用戶對他們部署在基礎設施中的軟體更新進行反向工程和程式碼分析作業,而且一般公司並非安全方案供應商,所以他們內部並沒有具備這些技能的員工。

組織必須假設他們可能無法偵測到最初的軟體供應鏈入侵行為。但是,他們可以採取措施來阻止並偵測同一攻擊的第二波行動。這包括下載其他工具和封包負載、與外部 C&C 主控伺服器進行通訊,以及橫向擴散(Lateral Movement)到其他系統的惡意嘗試之舉。

三、如果像政府或是安全方案供應商都會遭到入侵,那我們如何保護自己?

健康照護 IT 公司 Avalon Healthcare Solutions 技術暨安全長 Jesse Webb 指出,企業需要關注自身安全計畫的成熟度。他進一步闡述,每個公司都會從打造強大保護殼做起,亦即透過防火牆、入侵偵測與防禦系統、DNS 域名系統控制,以及其他可創建邊界的安全機制,來打造企業外部防護網。但他們多半不會花太多功夫來強化自身內部環境。

公司可以偵測到橫向擴散活動,例如企圖濫用管理憑證,但這通常需要進階監控和行為偵測工具,以及大型資安監控中心(Security operations center,SOC),而這些都超出了中小型組織的價格範圍。根據 Webb 的說法,這些組織所能做的就是確保它們涵蓋了基本要素,而且所有系統和內部環境都盡可能的強固。

例如,在 Avalon,內部網路上的通訊都會被加密保護,因此即使發生入侵事件,就算攻擊者可以攔截封包,也無法從中擷取到憑證或有用資訊。所有 DNS 流量都被強制得通過防火牆和 DNS 過濾器,而且所有允許伺服器連接的 URL 都必須被列入白名單中。這確保了一旦伺服器遭受入侵,惡意程式碼就無法入侵 C&C 主控伺服器中以下載額外的惡意工具或命令。

[ 推薦閱讀: ]

所有伺服器在部署後都會經歷一個安全強化的過程,在此過程中,所有一切都會被鎖定和封鎖,然後將視需要的連接列入白名單中。資料庫也是一樣的。存取資料庫的伺服器只能查看其執行工作所需做的事情。更新作業只能從內部伺服器提供,而不能直接從網際網路來提供,進而防止遭劫持伺服器打開外部連接。用戶絕對無法透過管理員憑證登錄,而只能藉由列入白名單中的應用程式登錄。端點使用者、Windows 伺服器和 Linux 伺服器都分別位在個別的目錄中,因此一旦其中有某位使用者或某伺服器遭到劫持時,也不會造成整個環境遭到入侵。

「7 年前,我開始施行零信任類型的原則,我們就是這樣設計的,」Webb 表示。「零信任原則實際上會將裝置管理細分到僅限你所信任的裝置,以及僅限該裝置應有的功能上。除此之外的其他一切均不受信任。亦即其他所有一切都應加以封鎖。如果有任何嘗試違反這個原則的行為出現,那就應該拉起緊急紅色告警:為什麼這個系統試圖做我不希望它做的事情?」

Webb 表示:「零信任和行為管理可能就是最佳應變之道,如果有什麼違反了你的零信任原則,你就必須對其調查到底。」

工業型無線充電裝置、精密加工元件;貨櫃屋優勢特性有哪些?QR CODE 捲袋包裝機。幫你考照過關,堆高機裝卸操作教學影片大公開 !專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!如何利用一般常見的「L型資料夾」達到廣告宣傳效果?貨櫃屋設計,結合生活理念、發揮無限的創意及時尚的設計, Check AOI on tape components。真空封口機該不該買?使用心得分享!好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!特殊造型滑鼠墊去哪買?金誠運用中古貨櫃屋,重新改造各式活動展場、代銷中心、旅遊渡假空間,皆可依顧客需求製作。實驗型均質機攻戰消費者第一視覺,包裝設計很重要!隨時健康喝好水,高品質飲水機,優質安全有把關。測試專家告訴你如何好好使用示波器空壓機合理價格為您解決工作中需要。客製專屬滑鼠墊防盜設備/系統SPX,加強賣場防竊系統作業

四、為了軟體供應鏈攻擊的可能,對合作夥伴與供應商必須進行哪些審查?

一些組織在選擇其軟體解決方案或服務時,可能會考慮供應商的漏洞管理實踐狀況:他們如何處理外部漏洞報告?他們多久發布一次安全更新?他們的安全通訊又是怎麼樣的?他們會發布詳細的安全公告嗎?他們是否有安全的軟體開發生命週期,旨在減少他們軟體中的漏洞數量?一些公司還可能會要求提供有關滲透測試和其他安全合規性報告的資訊。

然而,面對攻擊,軟體開發組織需要超越這個威脅,並投資於能更妥善保護自己開發基礎設施和環境的安全機制,因為他們愈來愈有可能成為攻擊者的目標,並且可能成為攻擊者透過他們所使用工具與軟體元件所發動之軟體供應鏈攻擊下的受害者。他們還需要考慮在應用程式設計階段裡給用戶帶來的風險,並透過限制應用程式執行其功能所需的權限和存取行為,來試著降低入侵事件所可能帶來的衝擊。

「我們的責任無疑是要向供應鏈施加壓力 ─ 你們必須在安全防護上有更好的表現才行。你們必須將安全管控機制部署到位。你知道你們必須測試並稽核你自己的程式碼,這些稽測作業不是按年度,而可能得按月或在任何部署之前實施,」Webb 指出。「業務負責人需要向 IT 負責人施壓,以確保他們只與信譽良好的供應商打交道,以及只與已採取下一步措施來保護組織正在使用之程式碼的人員打交道。」

[ 加入 與 ,與全球 CIO 同步獲取精華見解 ]

據鳳凰城大學資訊安全副校長 Larry Schwarberg 表示,對於許多組織而言,朝著這個方向邁出的第一步將是,確定所有軟體和 SaaS 供應商,並為新應用程式及服務建立明確定義的導入程序。許多組織存在「地下 IT」(Shadow IT)問題,亦即在供應商未經安全團隊審查的情況下,企業不同團隊卻向這些供應商購買並部署了軟硬體資產。這對鎖定應用程式和強制實施最低存取權限構成嚴重的問題。

Schwarberg 指出,有契約要續簽以及有訂戶要續訂時,組織應向其軟體和服務供應商詢問有關滲透測試的問題,以及如何測試他們軟體並降低潛在影響等更深入的問題。

從供應鏈安全的角度對軟體供應商進行全面性的評估並不容易,這需要一定的資源與專業知識,偏偏這是許多公司欠缺的,但是據 Raeder 表示,稽核組織可能會利用此一事件作為構築更大安全能力的催化劑。

「我認為當前許多組織可能會進行網路問卷,但誰知道他們得到這些結果後會怎麼做,」Raeder 表示。「他們可能會接受審查,也可能加入漏洞評鑑系統。身處這個方程式的兩邊,這會是更好地進行供應鏈風險分析的一個機會。組織需要檢視他們的供應鏈,並找出誰是他們最重要的供應商,他們勢必要花最多的時間來分析風險,而供應商需要有能力並以有效的方式為客戶準備好應對這些網路問題。」

五、軟體供應鏈攻擊只被國家贊助的 APT 組織採用嗎?

迄今為止,許多備受矚目的軟體供應鏈攻擊都歸咎於涉嫌與政府有關聯的 APT 組織,包括前幾年發生的 SolarWinds 攻擊和 ShadowPad 攻擊。根據美國智庫「大西洋理事會」(Atlantic Council)對過去從 2010 ~ 2020 年 10 年中揭露的 115 起軟體供應鏈攻擊和漏洞的分析指出,其中至少 27 起是國家贊助發動的。

然而,發動軟體供應鏈攻擊所需的技能和資源,並不一定僅限於傳統的網路間諜組織。多年來,各種攻擊都與被植入後門的開放原始碼元件或有後門版本的合法應用程式有關,這些元件及程式是由具經濟動機而且可能是被網路犯罪份子入侵的下載伺服器提供的。其中甚至還有一起案件是與勒索軟體有關。

在過去的幾年裡,許多勒索軟體組織採用了過去只有 APT 組織才會採用的複雜技術,包括記憶體內處理程序注入(In-Memory Process Injection)、深度偵察(Deep Reconnaissance)、手動入侵攻擊(Manual Hacking)、使用系統管理工具的橫向擴散,及無檔案惡意軟體(Fileless Malware)。一些勒索軟體組也會以雲端代管服務供應商(Managed Service Provider,MSP)為攻擊目標,這在概念上與軟體供應鏈攻擊類似:亦即專門鎖定那些由於業務關係而能提供存取其他公司權限的組織。

愈來愈多的網路傭兵集團向政府和地下網路犯罪之私人組織出售駭客攻擊服務。隨著愈來愈多的組織開始採用這種攻擊媒介,今後無論規模大小、無論從事何種行業的所有組織,都有可能因為軟體供應鏈遭入侵而淪為 APT 攻擊的目標。

(本文授權非營利轉載,請註明出處:)

https://www.owlting.com/news/articles/393803