从SolarWinds供应链攻击事件引发的思考
据路透社和《华盛顿邮报》报道,美国知名IT公司SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码,本次供应链攻击事件,波及范围极广,包括政府部门,关键基础设施以及多家全球500强企业,有关部门预估此次事件造成的影响尤为巨大。
SolarWinds是美国本土知名IT公司,主要做网络安全管理软件产品,客户群体超过30万+,有来自许多中小企业,也有全球500强企业。在这30w+客户中,大约有33,000名是Orion客户,这其中大约有18,000名客户安装了带有后门的 Orion 软件。包括思科、英特尔、英伟达、贝尔金、VMware 等在内的私企网络,也都被发现感染了同样的恶意软件。同时SolarWinds称该入侵也损害了其Microsoft Office 365帐户。美国政府认为,这次攻击的主要目标是政府机构。据称受害部门包括美国国防部、财政部、国土安全部、商务部和国务院。想要揭开黑客攻击事件的全面影响,可能要花费相当长的时间。此外美联社的早前报道指出,企业或很难判断是否已彻底将恶意软件从其网络中清除。
供应链攻击属于源头之害,这近几年也越来越肆虐猖狂,其危害之大,不得不令人重视。其可导致信息泄露、弹窗攻击和被远程控制,数据遭窃取或篡改等危害;软件产品若存在危害代码,可导致用户远程登录的信息遭到泄露。对于供应链安全,直接关系到上下游关系链,产生的危害影响可想而知。本次SolarWinds事件作为近年来最严重的供应链攻击事件之一,涉及面广,影响大,更应该敲响人们对于供应链安全的警钟。
那么有人会问,供应链攻击事态如此严峻,就没有什么措施进行防控吗?是的,按理说随着科技逐年进步,网络各道攻防关卡应该是越来越严密。针对于供应链受到攻击这样的事件,最危险的源头就是人为操作不当。“以人为本”是保卫供应链的关键。威瑞森最新《数据泄露调查报告》揭示,去年的数据泄露事件中,有93%之多都出现了网络钓鱼的身影。另外,以粗心大意的员工为主导的内部人威胁,导致了28%的数据泄露事件发生。
我国等保2.0和《网络安全法》相关规定,制定网络安全第一责任人制度,谁主管,谁负责、谁运营,谁负责。定期对从业人员进行网络安全教育、技术培训和技能考核,依法履行安全保护义务。
对于供应链安全,上游的产品供应方应该在产品运维和数据保护等方面加强安全管理,提高员工安全意识,避免被攻击者钓鱼攻击或者利用社工突破。保证产品的完整性,确保在给下游分发的软硬件/工具/组件等不被植入、篡改、伪造或者替换,并且确保在分发传递中的信息不被泄露给未授权者。同时在产品的设计、研发、生产、运维等生命周期中提早加入对于安全方面的考量。
在软件开发前要做好各环节和物理环境的相关安全审计,开发完成时做好代码签名,产品交付后同样需要再行重复安全审查程序,确保万无一失。
对于政府相关部门,对于涉及到国家安全和国民经济命脉的关联领域,如军工、电力电网、电信、航空运输和石油石化等,则需要加强对上游供应商发布的产品/补丁的审查,扩大审查范围,强化审查流程,以保障国民经济生活安全。
所以,这就是看起来既简单却又是最重要的人为攻防方法,经过特定网络安全培训的员工才是能力加持的员工。经过安全教育的人在重要的节点做出正确决策,你才会有在虚拟的安全及能力链中保护自家公司及上下游公司的能力。
国密应用研究院介绍
编辑|豚BB
图片|互联网
投稿邮箱|ai6@wotrus.com