攻击者首选薄弱环节下手,而Web供应链浑身都是薄弱环节。
SolarWinds后门感染成千上万公司企业和至少250家联邦机构,越南政府认证机构遭遇新型复杂攻击,年复一年层出不穷的网络安全事件让公司和高管认清了自身系统面对供应链攻击的脆弱不堪。
正如行业专家指出的,SolarWinds事件清晰呈现了某些网络攻击是几乎无法检测的。此外,SolarWinds事件也暴露出政府和私营产业网络总体上的脆弱性,促使国家安全委员会成立了网络统一协调特别工作组,旨在协调调查和缓解这一事件。
与大多数供应链攻击类似,SolarWinds事件中,恶意代码是在合法软件更新过程中插入的(插入到SolarWinds的Orion平台),并且隐藏在经数字签名的代码组件当中。
谈到供应链攻击,就不得不提造成灾难的两大关键因素:盲目信任和冗长复杂的链条。然而,这两个因素近乎存在于当前上线的每一个Web应用和网站里。
Web供应链就是大堆第三方代码与成千上万衍生物的大杂烩。时至今日,Web应用普遍包含上千个模块(也称为代码依赖)。每个模块又有其自身的依赖,因而每个Web应用可能迅速积累起成千上万的第三方代码。别忘了,这每个代码还代表着攻击界面的扩大,尤其是考虑到第三方往往没有多少资源投入安全维护的情况下。我们已经多次见证了什么叫仅仅一名恶意用户就能发起一场严重的Web供应链攻击。
2019年的一份研究报告探讨了依赖Web上第三方代码的潜在副作用。作者指出的一个关键问题就是Web上缺乏权限隔离,所有第三方代码都拥有作为内部开发代码的相同权限。一段被黑第三方代码就能悄悄将恶意代码贯通整个供应链,直至进入合法软件更新,就像SolarWinds事件中发生的那样。但事涉Web供应链,情况变得更加糟糕。这组研究人员发现,仅仅20个维护者账户就能触及整个Web生态系统的半壁江山,也就是说,这些账户中但凡有一个被黑,就能引发一次全球性Web供应链攻击,影响数百万家公司。
亚洲云海 业务升级 www.myasiacloud.com/clouddf 超级CC防御 秒级攻击防御 多重高防CDN 支持免备案 海外网络加速。咨询官方唯一商务 @myasiacloud66
评论
发表评论