はじめに:企業のセキュリティシステムの「隠れたコーナー」を排除します
————
APT攻撃が激化し、SolarWindsに関連するセキュリティの反映が半月続きました。AlibabaCloudSecurityは、実務家向けのサプライチェーン攻撃の特性と属性に関する包括的な攻撃的および防御的な観察をもたらしました。
————
後の段階では、素晴らしいAPTイントラネットの対立は、しばしば「外部からの最初の涙」に依存します。ハッカーにとって、脆弱なサプライチェーンは「新しい大陸」に相当し、「重要なインフラストラクチャ」に侵入するための最良のエントリポイントになります。 "。。
アプリケーション開発方法が変化し、サプライチェーンのリスクが発生する
企業がクラウドに移行するにつれて、従来のネットワーク境界は徐々に消え、特に突然の流行により、ほとんどすべての企業がリモートで作業する必要があります。従業員は、ホームネットワーク、喫茶店、企業ネットワーク、および企業ITからの接続を確立し始めます。「境界」から「無限の境界」に変化しています。
オープンソースソフトウェアと成熟したサードパーティ製品およびサービス(COTS)の利点を活用して、国内のインターネットおよび金融業界は急速に発展しました。COTSモードでは、企業は現在のビジネスニーズを満たすことができる生産ツール、ソフトウェア、またはハードウェア製品をすばやく購入できるため、コストと時間を節約できます。
オープンソースソフトウェアの活発な開発は、アプリケーション開発の形式を変えました。現代のアプリケーション開発者は、もはや自己研究を好みませんが、現在の業界が成熟したフレームワークまたはソリューションを持っているかどうかを調べます。
シノプシスは「オープンソースのセキュリティとリスク分析OSSRAレポート2020」をリリースしました。現在、最新のアプリケーションの90%以上にオープンソースコンポーネントが組み込まれています。各アプリケーションには平均して124を超えるオープンソースコンポーネントが含まれており、そのうち49%にリスクの高い脆弱性があります。 。。
政府サービスから金融機関までのすべての組織は、顧客にサービスを提供するためにソフトウェアに依存しています。組み込みソフトウェアはもはやコンピューターに限定されず、複雑な電力網、輸送、医療用ハードウェア、自動車、衛星を制御できるようになりました。ソフトウェアは世界を飲み込んでいます。
従来の国境警備の保護概念の下では、安全は全体であり、安全の保証は、強い場所がどれほど強いかではなく、本当の弱い場所がどこにあるかにあります。企業の境界が無期限に拡大すると、直面するリスクが高まります。境界上のノードの「セキュリティ」が破られた後、ハッカーはこの信頼リンクのレイヤーを使用して、さまざまなAPTメソッドを使用してコアを盗むことで企業に侵入できます。データ。
これまで、企業の保護戦略は、企業の最も価値のある資産を分類することから始めて、資産が直面する可能性のある最大の脅威を調べ、脅威の分類と資産の分類に基づいて徐々にガバナンスを行うことができました。
今日のエンタープライズアーキテクチャとソフトウェア開発の形態では、ますます多くの商用ソフトウェア、ハードウェア機器、およびオープンソースプロジェクトが企業のITインフラストラクチャに統合されているため、潜在的な攻撃対象領域が拡大し、セキュリティ防御がますます複雑になり、多くの「不確実性」。ハッカーが攻撃を開始すると、あなたが誰であるかに注意を払う必要がなくなります。ターゲットのネットワークまたはビジネスに接続している限り、あなたは攻撃の主要なターゲットになります。
すべてのソフトウェアおよびハードウェアベンダーが独自の完全なセキュリティチームを構築し、製品のセキュリティを確保するためにソフトウェアセキュリティライフサイクル管理(SDLC)を実行しているわけではありません。サードパーティソフトウェアベンダーのセキュリティに対する「無関心な態度」が、ハッカーの頻繁な侵入の主な理由です。
ハッカーにとって、脆弱なサプライチェーンは「新しい大陸」に相当し、ハッカーが「重要なインフラストラクチャ」リソースに侵入するための最良の「エントリポイント」になっています。
自分と敵を知って、サプライチェーンの攻撃方法は何ですか?
ハッカーがサプライチェーンを攻撃する方法を理解していないと、そのセキュリティを保証できません。
Alibaba Cloud Securityは、過去に発生した126のサプライチェーン攻撃を分析し、関連する攻撃方法を次の15のタイプに要約します。
1.通常のアプリをソーシャルワーカーの開発者アカウントに置き換えます
Android、Apple、およびサードパーティのモバイルアプリケーションストアで提供されるアプリケーションの場合、ブラウザプラグインは、アプリケーション開発者アカウントを盗んで通常のアプリケーションを置き換え、同様の名前を「偽の有名なアプリケーション」として公開するか、再パッケージ化テクノロジーを使用します。リーガルの使用アプリケーションは、独自の悪意のあるコードを追加して、悪意のあるコードを含むアプリケーションを配布します。
2.マルウェアを促進するための黒と灰色の生産モデル
悪意のあるコードを含むアプリケーションをサードパーティのダウンロードサイト、共有リソースコミュニティ、クラッキングソフトウェアアライアンスやその他の組織に配置し、SEO最適化手法を通じて検索エンジンの結果を乗っ取り、悪意のあるソフトウェアをダウンロードするように一般の人々を誘導します。
3.オープンソースソフトウェアウェアハウスに毒を注ぐ
攻撃者は、多数の「類似した名前」のホモフォニックパッケージまたはミラーを使用して、パッケージ管理ソース(PyPI、Node.js npm、Maven、RubyGems、Docker Hub)を主流にし、通常のプロジェクトを模倣し、悪意のあるコードでコードを許可します。パッケージがインストールされます。開発環境または本番環境に。
4.本物の偽物
攻撃者は、特定の業界でよく知られているソフトウェアとプロジェクト名を分析することにより、対応するドメイン名を先制して登録し、公式Webサイトを模倣しました。提供されたソフトウェアダウンロードリンクには、すでに悪意のあるコードが埋め込まれています。有名な外国のソフトウェアの中国化と「中国語版」のダウンロードリンクの提供もこのカテゴリに属します。
5.公式ウェブサイトにアクセスしてダウンロードリンクを置き換えます
企業の公式ウェブサイトは通常、他のビジネス形態よりも脆弱なWEBアプリケーションで構成されており、ハッカーがアプリケーションの脆弱性によってソフトウェアの公式ウェブサイトを制御した後、悪意のあるバックドアを備えたソフトウェアへの公式ダウンロードリンクアドレスを改ざんします。ターゲットコンピュータを間接的に制御します。
6.ダウンロードアドレスを正式に更新したドメイン名を乗っ取る
ハッカーは、ドメインネームサービスプロバイダーの抜け穴を介してドメインネーム解決システムを制御し、ソフトウェアとOT機器が使用するドメイン名を乗っ取ってハッカーのサーバーに更新通知を発行し、更新チャネルを介して悪意のあるコードをターゲット計算機に埋め込みました。 。
7.DNS解決はネットワークインフラストラクチャを汚染していることを記録します
エンタープライズレベルのルーターの既知の脆弱性または脆弱なパスワードを使用して、ネットワークデバイスにバッチで侵入し、ルーター上のNS解決サーバーをハッカーによって制御されるサーバーに変更し、ソフトウェアをハイジャックしてドメイン名解決レコードを更新します。悪意のあるコードを埋め込むためにチャネルを更新するターゲット計算機。
8.ダウンロードノードキャッシュ、CDNキャッシュ、P2Pキャッシュ、メトロポリタンエリアネットワークキャッシュは、中毒によって汚染されています
現在のインターネットシステムでは、ハードウェア、ソフトウェア、モノのインターネットOT機器の更新とデータ配信はすべて、ネットワークインフラストラクチャに依存してそれらを伝送します。エンドカスタマーがネットワークリンクを介して更新およびダウンロードすると、ネットワークインフラストラクチャはドキュメントを効率を向上させるために、いくつかのリソースをキャッシュします。攻撃者は、標的を絞った汚染によってキャッシュを汚染し、最終的にエンドユーザーを攻撃する可能性があります。
9.公式アップデートシステムに侵入する
ソフトウェアおよびハードウェア製品の開発プロセスでは、製品エクスペリエンスの向上、機能のアップグレード、およびバグの修正を行うために、それらを更新およびアップグレードする必要があります。そのため、サプライヤは一致する更新およびアップグレードシステムを構築しました。ハッカーは、独自の攻撃機能と習得した脆弱性を使用して、サプライヤに対して攻撃と水平方向の侵入を開始し、最終的にアップグレードされたシステムを制御します。証明書を盗んだり偽造したりして署名されたソフトウェアアップデートを使用して、マルウェアを攻撃対象に持ち込みます。
10.ソフトウェアおよびハードウェア開発会社に侵入し、悪意のあるコードをターゲットプロジェクトのソースコードに埋め込みます
ソフトウェアおよびハードウェア製品はゼロから作成され、製品設計、材料調達、ハードウェア回路基板の開発、コード実装、テスト、リリースおよび流通、その他のプロセスを含む、長い開発ライフサイクルプロセスを経る必要があります。製品が最終的にサプライチェーンの下流の最終顧客の生産環境に流れるまで。
ハッカーは、独自の攻撃機能と脆弱性を介してソフトウェアおよびハードウェアサプライヤのオフィスおよび開発環境に侵入し、バックドアを製品コードに直接埋め込み、悪意のあるソフトウェア(カメラ、USB、電話など)をデバイスにプレインストールして悪意のあるコードやバックドアの配布は、最終的にはターゲットのネットワークに入ります。
11.倉庫およびロジスティクスリンクのハイジャック
サードパーティのサプライヤは、ネットワーク機器、セキュリティ機器、スマートハードウェアなどの物理機器の保管と配送のコストを節約するために、サードパーティの倉庫保管およびロジスティクスサービスを使用します。攻撃者は、購入または盗難によって倉庫またはロジスティクスリンクに保存されている機器にアクセスし、分解または交換によってチップまたは機器ファームウェアにバックドアを書き込みます。
12.サプライヤーが予約したリモートコントロール機能とスーパーオーソリティアカウント
アフターサービスやメンテナンスのコストを削減するために、サプライヤは納品された製品のリモート管理および制御機能を密かに予約し、サプライヤは顧客環境に展開された製品のリモート管理および制御を実現できます。メンテナンスの便宜のために、サプライヤーはスーパー管理者、運用とメンテナンス、およびテストのためにいくつかのアカウントも予約します。
13.コンパイル環境、開発ツールがソースコードを汚染および改ざんし、バックドアを移植する
攻撃者は、開発ツールを改ざんし、悪意のあるモジュールプラグインを接続することにより、開発者が一般的に使用するコード開発エディターに対して攻撃を仕掛けます。開発者がコードを開発すると、悪意のあるモジュールが開発者によって作成されたコードにバックドアを静かに埋め込みます。汚染された開発ツールによってコンパイルされたプログラム、または本番サービスにデプロイされたソースコードには、悪意のあるコードが埋め込まれます。
14.アプリケーションの動作環境とアプリケーションコンポーネントの環境がバックドアに埋め込まれている
アプリケーションソフトウェアには、コンパイルとインタープリターの2つの言語形式があります。インタープリターソフトウェアコードの実行中は、実行環境に依存してソースコードを中間コードに変換し、インタープリターによって中間コードが解釈されて実行されます。攻撃者は、JAVA、PHP、Python、Rubyなどの一般的なオペレーティング環境のインストールパッケージ、またはXAMPPやPHP Studyの成熟した環境ソフトウェアに侵入した後、ビジネスに直接影響を与えます。
15.SaaS化されたアップストリームサービスの汚染
統計データを収集するために、ウェブマスターは通常、JavaScriptコードベースのウェブサイト追跡スクリプトを各ウェブページに追加して、訪問数を追跡し、トラフィック履歴を表示します。フロントエンド開発システムには、開発者がJquery、Bootstrap、Vueなどのさまざまな機能をすばやく実装するための優れたフレームワークが多数あり、トラブルを回避するために、開発者は公式CDNアドレスを直接引用します。アップストリームのJSコードソースが侵入されると、これらの3者間のJSコードを引用するビジネスは、大規模なプロキシ攻撃を開始するための踏み台に発展します。
サプライチェーン攻撃に対応するための提案
1.最も重要なサプライヤから始めて、サプライヤのデジタル資産を実際のリスクに基づく包括的なセキュリティ評価システムに組み込みます。コンプライアンスチェックだけでなく、攻撃的および防御的な方法を使用して製品の機能を検証します。より代表的な逆検証システムを導入して、ビジネスの中断や組織への損害を直接引き起こす可能性のあるサプライヤネットワーク上のセキュリティの死角を排除します。
•組織のネットワークへの重要なアクセス権を
持つサプライヤー。
•組織内に「機密データ」を持つサプライヤー。•特別な部品を製造したり、特別なシステムを開発したりするサプライヤー。
2.セキュリティは可視性から始まり、各ハードウェアとアプリケーションの詳細な部品表を継続的に作成して、各ハードウェアとアプリケーションのコンポーネントに関する包括的な洞察を得ます。ソフトウェア業界が「前例のない」速度で発展するにつれて、開発者は「より速い効率」と「より低いコスト」で製品を提供するというプレッシャーに耐えます。そのため、オープンソースソフトウェアとオープンソースコンポーネントはソフトウェアエコシステムの重要な部分になっています。多くの脆弱性は依存関係にあるレイヤーごとに隠されています。オープンソースはより効果的な保護戦略を緊急に必要としています。すべてのアプリケーションのSBOM(ソフトウェア請求書)を作成します。これにより、企業は、現在実行中のプログラム、ソースコード、ビルドの依存関係、および依存しているオープンソースコンポーネントリストのサブコンポーネントを検出して、オープンソースソフトウェアコンポーネントかどうかを検出できます。既知のセキュリティがある脆弱性または機能上の脆弱性が開示された場合、チェックリストを使用して、脆弱性が開示されたときに迅速に対応および調査し、最終的にソフトウェアサプライチェーンで安全なコンポーネントが使用されていることを確認できます。リスク管理の観点から、オープンソースソフトウェアとオープンソースコンポーネントのセキュリティ状況を追跡および検出します。
3.攻撃対象領域を可能な限り減らし、断片化を減らし、サードパーティコンポーネントとオープンソースソフトウェアへの依存を減らし、信頼性が高くセキュリティに重点を置いたサプライヤを選択します。ホワイトリストの形式でハードウェアモデルのアクセスと許可を制限します。ソフトウェアをインストールし、必ず最新のセキュリティパッチをインストールしてください。安全で信頼性の高いソフトウェアアウトソーシングサービスを購入するために、実績のある信頼性の高いサードパーティのオープンソース/商用ライブラリ、アルゴリズムなどを使用して、正式なチャネルを通じて購入およびダウンロードされたソフトウェアおよびハードウェアメディア。
4.安全に対して否定的な態度をとるベンダーによって開発されたソフトウェアまたはハードウェア製品の使用には注意してください:会社の経営幹部を最初の安全責任者として、完全なサプライチェーンの安全リスク管理プロセスを確立します。一元管理および運用します。サプライヤーが安全にもっと注意を払うことができるようにするために、十分な説得力のある安全管理証明書を備えた製品のみが調達システムに入り、サプライヤーに対して定期的な安全チェックを実施できることが購入条件で明確に要求されます。
5.信頼リンク、完全リンク暗号化、および署名検証の独立した制御性を強化します。サプライヤは、更新およびアップグレードチャネルBYOKを提供しながら、ネットワークリンク(ユーザー定義キー)にカスタム証明書を追加する必要があります。同時に、コード署名はソフトウェアサプライチェーンの信頼を確立するための重要なプロセスです。署名および検証システムは、プログラムの実行が信頼でき、信頼できることを保証できます。
6.ソフトウェアおよびハードウェア製品のセキュリティリスクを発見する能力を向上させる:リソースを投資して、企業が現在使用している商用ソフトウェアとオープンソースソフトウェアの脆弱性を調査し、商用ソフトウェア、オープンソースソフトウェア、および自社開発ソフトウェアを同等に扱います。セキュア開発プロセス(SDL)監査のセキュリティを実装します。
7.既知の脆弱性の影響を軽減する:製品アーキテクチャまたは製品設計の組み込みセキュリティを通じて、マルウェアの保護および検出機能を展開して有効にします。ランタイム保護テクノロジRASPは、サードパーティコンポーネントを使用するアプリケーションサーバー側に展開され、WAFはネットワーク側に展開され、HIPSなどの防御システムは、既知の脆弱性の影響を軽減するためにホスト側に展開されます。
8.ネットワークおよび物理環境のアクセス制御、輸送セキュリティ:ソフトウェアおよびハードウェア配布プロセスのセキュリティ。物理セキュリティとネットワークセキュリティの間にギャップはありません。場合によっては、ハッカーは物理的なセキュリティの抜け穴を使用して、ビジネスホールやガレージからサイバー攻撃を仕掛けることを選択します。同様に、攻撃者が物理的な場所への入り口を探している場合、攻撃者はネットワークの脆弱性を使用して物理的なドアにアクセスする可能性があります。ハッカーは、ロジスティクスと輸送の段階から開始します。サプライヤは、輸送中の改ざんのリスクを最小限に抑えるために、信頼性が高く安全な輸送およびロジスティクス企業を見つける必要があります。
9.ソフトウェアとハードウェアにはセキュリティ検証機能があり、物理ディスクはデフォルトで暗号化されています。ハードウェアシステムは、セキュアブートプロセス中に署名を検証します。署名を認識できない場合、システムは起動せず、ディスクは起動できません。復号化されました。ハッカーがバックドアや悪意のあるコードをファームウェアやディスクストレージに書き込むのを防ぎます。
10.共同防衛および共同支配、全身の脅威に対処するために、サプライチェーンの安全保障同盟を確立し、サプライチェーンの攻撃のイベントで、同社の対応と復旧能力の向上:単一の組織によって形成された守備の前には弱い表示され、そうです重要なインフラストラクチャで重要今日、サプライチェーン攻撃への対応は、国および社会レベルに急上昇し、業界の同盟を確立し、共同防衛および共同管理のシステムを包括的にアップグレードする必要があります。
著者:クラウドセキュリティの専門家
この記事はAlibabaCloudのオリジナルのコンテンツであり、許可なく複製することはできません。