供应链攻击事件告诉我们，为什么应该警惕第三方供应商

什么是供应链攻击?

当有人以有权限访问您系统和数据的外部合作伙伴或供应商的身份侵入您的系统时，就会发生供应链攻击，也称为价值链或第三方攻击。与以往相比，随着越来越多的供应商和服务提供商可以接触到敏感数据，在过去几年里，这极大地改变了普通企业受攻击的范围。

由于出现新型的攻击，因此与供应链攻击相关的风险从未如此之高，导致公众对威胁的意识不断提高以及监管机构加强监督。与此同时，攻击者拥有比以往更多的资源和工具，可以创造一场完美的风暴。SolarWinds公司的攻击事件就是一个典型的例子。

SolarWinds公司的攻击事件凸显了供应链风险

网络工具供应商SolarWinds的18000名客户曾受到单一民族国家的攻击，这一消息变得越来越糟。根据《纽约时报》最近的一篇报道，SolarWinds公司的攻击事件是由俄罗斯发起的，正如最初人们所认为的那样，侵入了“几十个”政府和企业网络。多达250个组织机构受到影响，攻击者利用了多个供应链层。

李维斯公司(Levi Strauss)副首席信息安全官史蒂夫·扎勒斯基(Steve Zalewski)表示，这违背了信任链。“这是所有第三方产品的大问题，”他说。“我们不会再将其产品放在内部使用。我们不得不依赖第三方的方式来建立这种信任，而这在国内或国际都没有办法做到。”

扎勒斯基表示，随着企业越来越依赖于外部供应商，这一问题正在不断恶化。他补充道，现在是时候该审视软件行业的整个生态系统以解决这一问题了。“要彻底解决这一问题，我们需要的是一个国际信任链，就像一个全球PKI系统，”他说，“在这一系统中，我们可以就一套全球的工具和做法达成一致。”

不幸的是，没有切实可行的方法来做到这一点。“我们需要一个法律、监管和集体层面上的防御，”扎勒斯基说。“但要做到这一点需要年复一年的漫长时间。”

安全评级公司Bitsight估计，SolarWinds公司的攻击事件可能使网络保险公司赔付高达9000万美元。这还只是因为政府机构不购买网络保险。此外，攻击者想尽可能低调地窃取信息，因此并没有对系统进行太大破坏。

2017年的另一次供应链攻击事件也是由俄罗斯发起的，该攻击事件的目标是乌克兰的基础设施，而作为此次攻击的一部分，乌克兰的会计软件也遭到了破坏，并且该恶意软件迅速传播至其他国家。NotPetya病毒最终给马士基、联邦快递和默克等跨国公司造成了超过100亿美元的损失，并使业务运营中断。

供应链攻击对黑客而言很有吸引力，因为当常用软件遭到破坏后，攻击者可以有权限访问所有使用该软件的企业。

所有技术供应商都容易受到供应链攻击

任何为其他组织机构生产软件或硬件的公司都可能成为攻击者的目标。单一民族国家的攻击者拥有丰富的资源和技能，甚至可以侵入具备最高安全意识的公司。

甚至安全供应商也可能成为目标。例如，以SolarWinds公司攻击事件为例，网络安全供应商FireEye是被入侵的知名公司之一。FireEye公司表示，攻击者没有侵入面向客户的系统，而只是使用渗透工具进行安全测试。这一攻击事件的事实令人担忧。

受到SolarWinds攻击者入侵的其他供应商包括微软公司和另一家安全供应商Malwarebytes。“考虑到SolarWinds公司攻击事件的供应链属性，以及需要高度警惕，我们立即对Malwarebytes公司所有的源代码、构建和交付流程进行了彻底调查，包括对我们自己的软件进行逆向工程，”公司首席执行官Marcin Kleczynski在一篇文章中说道。

电子邮件安全供应商Mimecast宣布，他们也受到了老练的网络攻击者入侵，并且有报道称，该攻击行为与SolarWinds攻击事件的幕后黑手是同一个组织。

这些攻击事件表明，任何供应商都很容易受到攻击，并可能会遭到破坏。安全供应商Immuniweb表示，全球400强网络安全公司中有97%的公司都在暗网上存在数据泄露或其他安全事故，并且有91家公司存在可被利用的网站安全漏洞。

这些类型的攻击行为并不是最近才出现的。2011年，RSA Security公司承认其SecurID令牌遭到黑客攻击。因此，该公司的一位客户洛克希德·马丁公司(Lockheed Martin)遭到了攻击。

除了像SolarWinds攻击事件这样涉及到损害商业软件供应商的攻击行为之外，还有另外两类供应链攻击行为——针对开源软件项目的攻击和开源软件案例的攻击，其中，政府会直接干预其管辖范围内的供应商产品。

开源供应链面临的威胁

商业软件并不是供应链攻击的唯一目标。Sonatype公司的“2020年软件供应链状况报告”称，针对开源软件项目的供应链攻击是企业面临的一个主要问题，因为90%的应用程序都包含开源代码，而其中11%的应用程序存在已知漏洞。

例如，在2017年艾奎法克斯公司(Equifax)的入侵事件中，该公司称其损失了近20亿美元，而攻击者利用了一个未打补丁的Apache Struts漏洞。21%的公司表示，他们在过去12个月内遭遇过与开源代码相关的攻击。

最近，攻击者已开始利用数百万个基于Java应用程序中使用的开源Apache Log4日志库中的漏洞。这些利用漏洞的行为很难进行识别和遏制。利用Log4j漏洞的一种情况是，允许在运行有漏洞的应用程序的服务器上远程执行代码，而无需进行身份验证。这使得该漏洞在通用安全漏洞评分系统(CVSS)量表上获得了10分的严重级。另一个漏洞可能导致发生拒绝服务状态。

由于Log4j被用在许多商业应用程序中，因此组织机构可能并不知道自己事实上正在使用日志库，而且容易受到攻击。这就导致企业急于想明确自身所面临的威胁和风险级别，并希望供应商能及时提供有效的补丁程序。

攻击者不必等待某一漏洞神奇地出现在开源软件中。在过去的几年里，攻击者已开始蓄意破坏开源代码的开发或分发过程，而且这一做法正在奏效。根据Sonatype公司的调查，这类新一代攻击行为比前一年增加了430%。

如何防范供应链攻击

那么，企业能做些什么呢?一些监管架构(例如金融部门或医疗领域的监管架构)已提供了第三方风险测试，或者已制定了一些供应商需要遵守的标准。“在支付卡行业中，有一个软件质量组件可用来测试移动支付组件的质量，”威尔逊说，这是指支付卡行业数据安全标准(PCI-DSS)。

还有一些更通用的框架，例如能力成熟度模型(CMM)、ISO 9001、通用标准(Common Criteria)、SOC 2等。“我非常喜欢CMM审核，”威尔逊说。“另一方面，我承认其所支付的成本。直到最近，唯一坚持使用通用标准的人就是情报人员。”

还有针对密码模块的FiPS-140认证。“这一认证真的很贵，”威尔逊说。“让一款应用程序获得FIPS-140认证需要花费一百万美元，除非您向联邦政府出售黑莓手机，否则您不会做该认证。”

企业已经习惯于廉价且快捷的软件。“我们必须承认，几十年来，我们一直以低廉的成本编写软件，而现在我们要自食其果了，”威尔逊说。

然而，如果企业开始要求进行更多的测试，或者监管机构介入，并强制要求进行更好的管理，那么审计成本可能会下降。“如果人们开始在测试环节上投入更多资金，那么测试企业将获得更多收入，同时形成更多的竞争，”威尔逊说。还会有更多的创新，例如自动化测试。

扎勒斯基说，在李维斯公司，我们会对软件供应商进行审查。“我们要求软件供应商提供可证明和可审计的凭证，以证明自己已实施了某一安全框架，而且能够证明自己符合该框架，”他说。然后，补充道，李维斯公司并没有规定供应商必须要遵循某一特定的框架。“但我们希望你们能承诺，愿意写下自己所采取的安全措施和做法，这样我们才能确保供应商符合我们的要求。这就是我们管理风险的方式，也是您最应该做的事情。”

数据中心不应该做的一件事就是停止安装补丁程序。事实上，李维斯公司的补丁管理流程意味着，在SolarWinds攻击事件新闻传出之前，SolarWinds软件的修复程序就已安装完成，从而可使公司免受其他攻击者利用该漏洞进行攻击。

但他承认，我们公司的系统无法发现SolarWinds更新程序中存在的恶意软件。当然，没有人能做到——FireEye和微软公司也都没有做到。扎勒斯基表示，该问题在于很难在更新程序中扫描可疑行为，因为更新程序的目的显然是为了改变软件的行为方式。

“这就是软件工作方式的本质，”扎勒斯基说。“该问题是存在于生态系统中，以及该生态系统组成的方式上。不法分子正在寻找和利用这些漏洞。”

安全公司Deep Instinct的研究业务副总裁西蒙•奥伦(Shimon Oren)表示，对供应链的攻击仍然比针对已知漏洞的攻击要罕见得多。“我认为，未做修补的漏洞或未安装安全更新程序所带来的风险，远远超过了供应链受到攻击的风险。”据IBM公司的“2020年数据泄露成本报告”称，所有数据泄漏事件中有16%的根源是因为第三方软件中的漏洞。

奥伦建议，企业不要拖延安装补丁程序，而是要询问自己的供应商，你们有什么机制来保护自身的软件不受破坏。“他们持有什么样的安全态度?他们目前有什么样的代码验证机制?”

他表示，不幸的是，目前还没有一套可用的标准，能专门解决软件开发过程中的安全问题。“我认为没有任何东西可以说明，您的代码是安全的。”

一个致力于解决这一问题的组织是“信息和软件质量联盟”(Consortium for Information and Software Quality)，它是技术标准机构“对象管理组织”(Object Management Group)下属的一个特殊兴趣小组。例如，该组织正在制定的一个标准是等效于材料清单的一个软件。该软件可让企业客户了解自己所使用的软件中包含哪些组件，以及这些组件中是否存在任何已知的安全问题。

“该软件目前正在开发中，我们预计这一工作将在今年春天的某个时候完成，”执行董事比尔·柯蒂斯(Bill Curtis)说。他表示，微软公司、Linux基金会和其他大公司(总共约有30家公司)都参与其中。

供应链风险评估方面的缺口

乐博法律事务所(Loeb & Loeb)隐私、安全和数据创新业务联合主席、律师伊安•乔利(Ieuan Jolly)表示，进行适当的尽职调查至关重要，这项工作与企业与其供应商协商签订一份合同同等重要，甚至更为重要。如果某一供应商由于自身原因造成违约而倒闭，那么他的客户将无法获得任何损失赔偿。如果这些客户确实获得了损失赔偿，“但对于公司所遭受的声誉损失而言，这一补偿是远远不够的，”他说。

根据万事达卡公司旗下的RiskRecon公司和Cyentia Institute公司最近对风险管理专业人士进行的一项调查，其中79%的组织机构目前已制定了管理第三方风险的正式计划。最常见的风险评估方法是问卷调查(84%的公司使用该方法)，和文件审查(69%的公司使用该方法)。一半的公司采用远程评估，42%的公司采用网络安全评级，34%的公司采用现场安全评估。

尽管问卷调查方法很受欢迎，但只有34%的风险专业人士表示，他们相信供应商的回答。然而，当发现问题时，81%的公司极少要求进行纠正，而只有14%的公司非常坚信，他们的供应商能满足自身的安全要求。

RiskRecon公司的首席执行官兼联合创始人凯利·怀特(Kelly White)表示，尤其是在SolarWinds攻击事件之后，组织机构需要关注他们的软件供应商，尤其是那些拥有访问公司资产权限的软件供应商。他表示，这包括增加评估标准以涵盖整个软件开发过程，“以确保拥有足够的管理措施，可防止引入恶意代码。”

怀特表示，现在也是需要对最低权限进行加倍关注的时候了。“在我担任一家大型金融机构的首席信息安全官期间，任何需要与互联网通信的软件，其网络访问权限都会受到限制，只能访问那些预先设定的更新站点，”他说。怀特之前在锡安银行集团(Zions Bancorporation)担任首席信息安全官。

怀特表示，这一策略不仅可防止软件与恶意的命令和控制服务器进行通信，而且还可以在软件试图进行通信时发出警报。