Check Point：不法分子利用机构间的信任实施供应链攻击

2022 年 3月，全球领先的网络安全解决方案提供商 Check Point 软件技术有限公司（纳斯达克股票代码：CHKP）总结了一年来主要供应链攻击的起因，以及如何帮助企业有效防护此类攻击。近年来，供应链一直是网络犯罪分子的主要目标之一。由于新冠疫情悄然改变了现代企业的运营方式，在许多企业可能尚未做好充分准备的情况下，就直接采用了混合办公模式，并将诸多应用移至云端。因此，安全团队往往不堪重负，无法满足突发安全需求。Check Point 的《2022 年安全报告》显示，2021 年供应链攻击同比骤增 650%。

去年的轰动性供应链攻击 Solarwinds是许多企业蒙受损失。当时一群网络犯罪分子侵入了 Solarwinds 的生产环境，并将后门嵌入至其 Orion 网络监控产品更新中，运行这一恶意更新的客户随即遭遇了数据窃取及其他安全问题。再以 REvil 勒索软件犯罪团伙为例，他们利用 Kaseya（一家为托管服务提供商 (MSP) 提供软件的软件公司）使 1,000 多家客户感染了勒索软件。网络犯罪分子甚至要求支付 7000 万美元的赎金才会为所有受影响的用户提供解密密钥。

供应链攻击过程

Check Point安全专家认为，供应链攻击利用了不同机构之间的信任关系。所有公司对其软件服务供应商都有着某种程度的信任，因为他们在其网络上安装并使用了这些供应商的软件。此类威胁瞄准了信任链中最薄弱的环节：如果一个企业部署了强大的网络安全防护，但却有着不安全的可信供应商，那么网络犯罪分子将会向其发起攻击。在潜伏于该提供商的网络后，攻击者可以借此链路向更安全的网络进行渗透。

网络犯罪分子往往利用供应链漏洞分发恶意软件

供应链攻击的目标通常是托管服务提供商 (MSP)，因为他们能够广泛访问其客户网络，这对攻击者而言非常有机可乘。在利用 MSP 后，攻击者可以轻松扩展到他们客户的网络，并通过利用其漏洞造成更严重的影响，趁机访问直接攻击很难侵入的区域。

在获得访问权限后，攻击者便可实施其他任何类型的网络攻击，包括：

• 数据泄露：供应链漏洞通常用于执行数据漏洞。例如，Solarwinds 黑客攻击泄露了多家政府和企业的敏感数据。
• 恶意软件攻击：网络犯罪分子经常利用供应链漏洞将恶意软件分发到目标公司中。Solarwinds 包含恶意后门交付，对 Kaseya 的攻击致使公司感染了勒索软件。

利用最佳实践来识别并规避供应链攻击

尽管这种威胁会造成严重危害，但企业可借助一些最佳实践获得保护：

• 实施最低权限策略：许多机构将过多的访问权限分配给其员工、合作伙伴及软件。这些过度授权助长了供应链攻击。因此，必须实施最低权限策略，仅为公司内部人员及软件本身分配其执行自身工作所需的权限。
• 进行网络分段：第三方软件和合作伙伴机构无需无限制地全面访问公司网络。为了避免任何风险，应采用网络分段方式根据不同的业务功能将网络划分为不同的区域。这样，如果供应链攻击危及部分网络，其余部分仍将受到保护。
• 应用 DevSecOps 实践：通过将安全保护集成到软件开发生命周期中，企业与机构可以快速检测 例如Orion 等更新软件等是否遭到恶意修改。  
• 自动化威胁防御和风险搜寻：安全运营中心 (SOC) 分析师必须能够跨所有环境抵御攻击，包括端点、网络、云端及移动设备。

Check Point 软件技术有限公司中国区技术总监王跃霖先生表示：“供应链攻击由来已久，但去年，其规模、复杂性及频率均急剧增加，全球供应链攻击同比增长了 650%。在由越来越多的供应商、合作伙伴及客户之间的复杂互联组成的数字环境中，漏洞风险呈指数级增长，企业无法在安全防护方面退而求其次。勒索软件事件和修复成本可能高达数百万美元，采取主动的安全防护方案并采用合适的技术才能第一时间防止恶意软件侵入网络，从而避免此类事件的发生。”