引 言
自黎巴嫩爆发大规模寻呼机连环爆炸事件以来,供应链攻击再度引发全球关注。简单来讲,供应链攻击是指攻击者通过入侵或操纵供应链中的一个或者多个环节,如软件环节中的开发、分发、更新等过程,向最终用户传递恶意软件或进行其他形式的网络攻击。供应链安全涵盖了从原材料采购、生产制造到最终产品交付的每一个环节,任何一个环节的漏洞都可能被攻击者利用,从而造成严重的安全威胁。本文通过分析典型的供应链攻击案例剖析供应链攻击带来的严重危害,深入探讨有效的供应链安全防护策略。
典型供应链攻击事件
Xz Utils攻击事件(2024年)
XZ-Utils攻击事件是一起严重的开源软件后门投毒攻击事件。XZ-Utils是 Linux和Unix系统中广泛使用的开源无损压缩工具,用于处理.xz和.lzma文件,包含liblzma和xz组件。
攻击者在XZ-Utils压缩工具的5.6.0和5.6.1版本中植入了恶意代码后门,恶意代码修改了liblzma代码中的特定函数,攻击者利用SSH底层依赖的liblzma组件,绕过了sshd认证(ssh服务的一种安全认证机制),并远程获取对整个系统的未授权访问。此次攻击影响了多个主要的Linux发行版本,包括Fedora、openSUSE、Debian测试版和Arch Linux等。
漏洞编号:CVE-2024-3094
漏洞类型:恶意后门植入漏洞
漏洞等级:极危
受影响版本:xz-utils@[5.6.0,5.6.1]
修复建议:若使用了受影响版本的XZ Util,建议降级至5.6.0以下版本,或在应用中替换为7zip等其他组件。
CNNVD漏洞披露详情
3CX攻击事件(2023年)
3CX安全事件是一起严重的供应链攻击事件。3CX是全球著名的VoIP IPBX软件供应商,用户规模非常庞大,全球超过60万家企业使用其软件。攻击者通过植入恶意版本的X_TRADER软件,窃取3CX公司员工的凭据,入侵到了3CX的内部网络,攻击者在3CX的桌面客户端3CXDesktopAPP中嵌入了恶意代码,通过官方升级服务器分发给用户,导致全球约60万家企业用户的设备被感染。恶意软件通过合法的微软Windows二进制文件进行DLL侧加载,实现持久性和远程访问。
3CX攻击过程图解
SolarWinds 攻击事件(2020年)
SolarWinds供应链攻击事件是2020年末至2021年初震惊全球的一次重大安全事件,事件影响波及到18000个客户的内网环境,包括美国国务院、五角大楼、国土安全部(DHS)网络安全和基础设施局(CISA)及火眼(FireEye)、微软(MicroSoft)、英特尔(Intel)。
攻击者首先入侵了SolarWinds公司的内网,获取了所有源码编译服务器的权限,然后使用名为Sunspot的工具监视Orion网管软件的更新包源码编译过程,并在源码层面植入Sunburst后门。编译后的恶意软件带有SolarWinds合法的数字签名,完美绕过了各种防护措施。当SolarWinds官方发布更新包后,导致数万家Orion客户公司的内网被攻陷。
solarwinds攻击过程图解
供应链攻击特点总结
这些在全球范围内造成重大影响的供应链攻击事件揭示了供应链安全面临的脆弱性和复杂性问题,传统的安全防护手段往往难以有效应对这些挑战。目前供应链攻击的大体分类如下:
软件供应链攻击:攻击者通过篡改软件源代码、植入恶意代码等手段,对目标进行攻击;
硬件供应链攻击:攻击者通过在硬件设备中植入恶意芯片或修改硬件设计,对目标进行攻击;
服务供应链攻击:攻击者通过破坏服务提供商的网络、系统等,对目标进行攻击。
现有防护手段难以防护供应链攻击的深层次原因:
企业常规的安全防护措施容易被供应链攻击绕过。比如solarwinds攻击中攻击者对被篡改的dll文件进行合法签名从而绕过各种安全检测;
开源软件在软件开发中占据主导地位,企业无论是自己开发的软件还是购买的第三方软件,其代码中都使用了大量的开源组件,而开源组件存在的自身漏洞极易被攻击者利用,当前的开源软件开发环境给企业埋下了非常严重的软件供应链安全风险;
供应链攻击呈现APT攻击的明显特征,供应链攻击潜伏时间周期长,攻击通常利用0day漏洞植入恶意代码,现有的安全检测技术难以发现,甚至有些攻击存在国家级别的APT攻击对抗的身影;
企业内网安全防护措施相对完善,对于攻击者而言攻击成本高,但企业的上下游供应链环节安全防护能力参差不齐,极易被攻破,对攻击者而言存在“短板效应”。
应对供应链攻击的防护策略
1
加强监管侧法律法规制度约束
2022年我国首个关键信息基础设施标准正式发布
2022年我国颁布了国家标准《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关基要求》),其中关于“软件供应链安全”部分,对网络产品和服务清单、网络安全审查、合格供应方目录、来源的稳定或多样性、知识产权、源代码安全检测、网络产品和服务风险隐患处理提出了明确要求。
关基要求中明确规定要做好供应链安全防护
从《关基要求》中我们可以看出,在软件供应链安全问题中,国家对网络安全产品的采购及管理制度制定了明确的标准。其中明确要求应建立供应链安全管理策略,包括:风险管理策略、供应方选择和管理策略、产品开发采购策略、安全维护策略,应形成年度采购的网络产品和服务清单,可能影响国家安全的,应当通过国家网络安全审查等等。因此企业在进行安全防护方案设计时,需结合国家关基保护要求配备完善的供应链安全防护措施。
2024年1月工信部印发《工业控制系统网络安全防护指南》
《工业控制系统网络安全防护指南》是面向工业企业做好网络安全防护的指导性文件。其中安全管理章节明确提出供应链安全的防护细则。例如要求与工业控制系统厂商、云服务商、安全服务商等供应商签订的协议中,应明确各方需履行的安全相关责任和义务,包括管理范围、职责划分、访问授权、隐私保护、行为准则、违约责任等。工业控制系统使用纳入网络关键设备目录的PLC等设备时,应使用具备资格的机构安全认证合格或者安全检测符合要求的设备。
2
企业应构建自身的软件供应链审查流程
供应链安全涉及企业供应链上下游各个环节,除了满足国家法规要求外,需建立自身的软件供应链管理体系,完善自身软件供应链审查流程。
具体建议措施如下:
建立软件供应链管理体系,明确供应链安全的政策、制度、管理人员,建立采购、开发、测试、部署等环节的安全标准和操作流程,建立外包项目的安全管理制度;
完善供应链审查流程,进行供应商安全评估,在与供应商签订合同时,加入有关供应链安全要求的条款,比如要求供应商提供源代码审查报告、要求供应商提供安全认证或第三方安全评估报告;
增强员工安全意识,特别是对那些直接参与软件开发和维护工作的人员。定期检查企业内部网络安全措施落地情况,将SDL融入到开发流程中,开展内部或外部安全性评估。
3
选择有效的安全防护思路和技术路线
采用自主可控的产品和可信的技术架构
实现自主可控一是选择自主可控的产品及服务商,进行国产化替代,解决供应链各环节的自主性和安全性,防止关键信息基础设施受制于人。
随着地缘政治不确定性的加剧,供应链的自主可控战略意义日益凸显。推动IT基础设备的本土化生产和加强自主创新,解决产业链中的“卡脖子”环节,对于保障国家安全至关重要。特别是在关键领域,如半导体芯片、操作系统、云计算等,通过替换国外的CPU和操作系统,可以有效避免内部控制风险,确保整个系统底层的安全。实现国产化替代,不仅能提升信息系统的安全性,还能防止外部势力对国家关键基础设施的控制和干扰,从而全面保障国家安全。
我国首个安全可信分散控制系统——华能睿渥T316TR DCS在华能威海电厂3号机组成功投运,该系统是首个通过公安部、工信部权威安全可信认证的工业控制系统,标志着国产化控制系统在我国电力领域取得了重大突破。
华能联合多家单位,在全国产工控平台的基础上成功研制出我国首个安全DCS系统:华能睿渥T316TR DCS,威努特深度耦合电力行业安全运营要求,为客户提供了国产化可信工控安全整体解决方案。
二是探索采用可信计算、拟态防御等技术,重构具备内生安全能力的信息系统,实现高等级的内生安全。
安全可信的计算节点体系架构
应用零信任技术
零信任是保护企业免受供应链攻击的有效防护手段之一。零信任是一种新型网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。
以solarwinds供应链攻击为例,黑客通过植入后门程序,利用SolarWinds Orion平台更新功能向目标机构传播恶意软件。如果采用零信任技术,便能够实时对访问者进行身份认证和信任评估,在用户行为异常时迅速调整访问权限,从而防止这种情况的发生。
2019年,工信部发布《关于促进网络安全产业发展的指导意见(征求意见稿)》,将“零信任安全”列入需要“着力突破的网络安全关键技术”。
2024年11月,国家标准《网络安全技术—零信任参考体系架构》(GB/T 43696-2024)正式发布实施,规定了零信任参考体系架构,描述主体、资源、核心组件和支撑组件以及相互间的关系。
GB/T 43696-2024 零信任参考体系架构
应用工控网络白名单技术
“白名单”技术是目前工控安全领域国内外网络安全厂商采用的主流技术。白名单技术相对黑名单而言,强调可信的安全,是应对供应链攻击的有效技术之一。白名单防护机制能够控制仅运行合法的软件程序或者脚本,可有效阻止恶意软件或其他未经授权程序的执行,利用应用程序白名单、网络白名单、移动存储设备白名单将工控系统对外交互渠道缩到最小,增强安全可控性,可有效应对供应链攻击。
“白名单”是一个多维度全方位的安全结构模型,覆盖企业工业控制系统的各个层面,包括主机层、网络层和应用层。结合工业控制系统软件和设备更新频率低的特点,通过对工控网络流量、工业主机及应用程序运行状态等进行监控,收集并分析流量数据及主机状态,建立工控系统及网络正常工作的安全模型。确保只有可信任的设备、可信任的消息、可信任的软件,才能在工控网络中被接入、传输、执行。
威努特工控领域应用程序白名单图解
威努特供应链攻击防护解决方案
1
威努特全栈式国产化自主可控产品
威努特作为国内领先的ICT一体化解决方案提供商,十年来始终扎根行业,将技术与客户应用场景和需求充分融合,在科技自主创新的道路上取得了一个又一个重大突破,研发生产了全国产化的网络产品、安全产品、计算类产品及国产化云产品,为电力、能源、交通、政府、医疗、教育、制造业等多个重要行业用户提供国产化的解决方案,助力企业应对供应链危机。
威努特全栈式国产化自主可控产品
2
威努特零信任解决方案
威努特零信任安全访问控制系统是以零信任理念和架构为底座,以保护数据全生命周期安全流转为设计目标,打造的新一代零信任数据安全解决方案。方案以客户端为边界,结合中心端的零信任网关和自适应安全平台,并基于SPA单包认证的网络隐身技术,可构建起一张隐形的零信任安全访问网络,此网络只对“特定的用户+特定的设备”可见,对其他人完全不可见,可极大降低企业核心数据暴露和泄漏威胁,有效避免核心应用遭受网络攻击,助力企业应对供应链攻击威胁。
威努特零信任解决方案
3
威努特工控网络白名单可信安全解决方案
作为国内工控网络白名单技术理念的首创者,威努特提供的白名单纵深防护体系切实满足国家层面、行业层面、企业层面的合规要求并结合企业现状,从企业生产系统网络分区分域设计、安全分域边界防护、安全通信网络防护、安全计算环境防护、安全管理中心建设以及工业安全态势感知平台建设等方面给出详细设计规划,能够有效解决企业安全供应链问题,保障企业生产系统安全稳定运行。
威努特白名单纵深防护体系
方案通过技术手段实现安全区域边界的“白环境”,实现访问控制白名单固化、工业协议白名单固化、业务白名单固化;针对工业主机的特殊性,建立工控主机安全计算环境“白名单”,实现应用锁定、系统锁定、外设锁定、网络锁定;通过实时监测生产系统内关键网络节点的业务流量,建立安全通信网络“白环境”,实现工控网络异常流量监测、异常行为监测;通过工业安全态势感知平台实现对网络安全态势的实时感知,实现资产管理、风险展示、业务可视、合规分析,最终为用户提供一个安全免疫的可信网络环境。
威努特企业IT/OT网络安全解决方案