【TechOrange 編輯部導讀】
「軟體供應鏈攻擊」近來越來越猖狂,近日受到資安界高度關注的 3CX 事件即是一例。
軟體供應鏈攻擊的目的,在於破壞企業與外部各方的信任關係,包括合作夥伴關係、供應商關係或者第三方軟體的使用等等(例如知名的 Log4j 事件),資安廠商 Check Point 即形容,軟體供應鏈攻擊,是「最為複雜的攻擊形式」之一。企業該如何防範這類攻擊呢?
駭客眼中「低成本,高回報」的絕佳生意
CrowdStrike 是美國加州一間電腦安全技術公司,主要提供端點安全、情報威脅與網路攻擊的安全性服務,日前該組織提出警告,揭露代號「迷宮千里馬」(Labyrinth Chollima)的北韓駭客組織,正積極針對 3CX 網路會議工具發動惡意軟體攻擊,攻擊標的包含 Windows 與 MacOS 版本。
資安新創 SentinelOne 以 AI/ML 解決方案聞名全球,該組織的調查報告指出,早在今年二月,這支惡意軟體就開始侵入全球使用者裝置,事到如今受害對象可能已難以計數——3CX 視訊會議平台據稱擁有 1,200 萬位日活躍使用者,以及 60 萬名企業用戶,Ikea、Toyota、BMW、可口可樂、麥當勞等知名跨國企業都在名單之列。
事發之後,3CX 執行長 Nick Galea 很快發布了一篇部落格文章,建議使用者盡快卸載 3CX app,若非必要就避免使用,並改安裝全新推出的「Electron App」,該產品採用不同的簽核認證,能提供「100% 安全的」使用體驗。
什麼是軟體供應鏈攻擊?單一個供應鏈漏洞,上千家企業同時遭殃
軟體供應鏈攻擊是一種新興網路攻擊型態,也被稱為第三方攻擊或「後門外洩」(backdoor breach),指駭客透過第三方夥伴或軟體服務商,滲透組織網路系統,目的是取得來源程式碼、建構程序,或者藉由感染合法應用程式去更新其運作機制,轉化成惡意軟體的散播媒介;這類攻擊往往起始於軟體供應鏈上某個弱點,難以偵測地延燒成像 3CX 案例中的廣泛攻擊範圍。
由於受害軟體是由可信賴的供應商開發後推出,這些應用程式和相關更新都經過了簽核認證;換言之,當受害供應商將新產品或改版更新推向市面,多半不知道自家產品已被感染惡意程式碼,後者就躲在正當 app 產品背後,博取使用者信任與資料取得許可。
以 3CX 的案例來說,這場恐怕波及上萬人的供應鏈攻擊,標誌出北韓駭客攻擊能力已再上層樓——過往北韓的網路攻擊大多僅限於 email 釣魚攻擊或駭入加密貨幣企業以獲取資金——如今當惡意軟體瞄準供應鏈攻擊,標的物更大、駭客更容易一舉得手。
企業如何防範軟體供應鏈攻擊?
微軟針對供應鏈資安維護提出兩項原則性建議:一是部署強大的程式碼完整性政策(code integrity policy),僅允許已獲授權的應用程式運行,二是使用端點檢測和事件回應解決方案,以便進行自動化檢測和修復可疑活動。
另外針對軟體供應商和開發人員,微軟也建議企業維護高度安全且即時的基礎設施構建、將安全更新納入軟體開發生命週期,並為供應鏈攻擊規劃好事件回應流程,及時通知相關使用者。
軟體供應鏈資安服務介紹
CrowdStrike
根據官網介紹,CrowdStrike 是唯一一家整合了次世代防毒(AV)、端點檢測和回應(EDR ), 以及全天候威脅偵測服務服務的公司。經過實證,CrowdStrike Falcon 平台能夠取代傳統防毒軟體,透過進階雲端服務架構,以及以攻擊行為進行分析(IOA)的威脅預防技術,改變端點保護運作模式,針對部署在 170 多個國家、數百萬個感應器、900 多億個事件進行關聯分析,進行即時預防和檢測威脅。
根據 CrowdStrike 的說法,企業只需要一個 25MB 羽量級代理程式(sensor)就可以即時阻止已知和未知的資安風險,預防軟體供應鏈等新興網路攻擊。經過 Real-World Protection Test 實測,CrowdStrike 於惡意攻擊測試中達到 100% 偵測成功、0 誤判。
SentinelOne
這間加州新創由以色列孵化,藉由 AI 技術和機器學習解決方案,幫助全球機構保護重要數據與網路安全,在 MITRE ATT&CK 近期評估中,SentinelOne 是唯一一家能在所有測試中百分百實現零漏洞檢測的資安公司, 不僅能檢測端點安全與漏洞、偵測員工筆電系統是否夾有惡意軟體,還能同步應用不同保護、檢測和回應的方式。2021、2022 連續兩年,SentinelOne 都被 Gartner 評比為端點防護平台類的領導者(Gartner Magic Quadrant for Endpoint Protection Platforms)。
不過,另一家軟體供應鏈安全廠商 Chainguard 的高級軟體工程師兼研究員 Zack Newman 也表示,沒有單一的工具可以為軟體供應鏈提供完整的防禦,因此深度防禦非常重要,「這應該具有分層的安全策略、邊緣防護、端點防護、多因素身分驗證(MFA)、使用者培訓、強大的儲存備份與恢復功能等等。」
對於企業而言,應當隨時為軟體供應鏈攻擊做好一切準備,在此之前,必須找到人員、流程以及技術的正確組合。
*本文開放夥伴轉載,參考資料:Axios、Microsoft、CrowdStrike、SentinelOne,圖片來源:Shutterstock。
(責任編輯:藍立晴)
