勒索病毒、供應(yīng)鏈攻擊，威脅側(cè)的變化莫測(cè)

時(shí)間：2022-03-16 20:48:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-16 20:48:01 來源：行業(yè)動(dòng)態(tài)

2021年似乎一開始就是不平靜的一年，在全球網(wǎng)絡(luò)安全領(lǐng)域也充滿了變化和挑戰(zhàn)。從去年年底SolarWinds供應(yīng)鏈攻擊事件開始，有兩個(gè)關(guān)鍵詞一直充斥著人們的眼球，一個(gè)是供應(yīng)鏈攻擊，另一個(gè)是勒索攻擊。值得關(guān)注的是，奇安信威脅情報(bào)中心已監(jiān)測(cè)到多起安全公司被入侵造成的供應(yīng)鏈攻擊事件。

甚至，這二者開始出現(xiàn)了結(jié)合。今年7月2日，企業(yè)管理軟件供應(yīng)商Kaseya被曝出旗下產(chǎn)品KASEYA VSA軟件存在漏洞，已被REvil黑客勒索組織利用攻擊，并造成其大量客戶因此關(guān)閉服務(wù)。

他們并不在乎黑進(jìn)了哪家公司，他們只在乎能夠花費(fèi)最少的代價(jià)獲取最多的收益。 勞拉科茨勒在演講中一語道出了供應(yīng)鏈攻擊流行的原因，由于攻擊目標(biāo)往往處于供應(yīng)鏈的上游，因此通常具備攻其一點(diǎn)，傷及一片的特點(diǎn)，尤其是攻擊那些使用較為廣泛的軟硬件產(chǎn)品。



勞拉科茨勒說，SolarWinds事件告訴我們，不要覺得供應(yīng)鏈攻擊離你很遠(yuǎn)，即便你不知名，但如果你有很多知名的客戶，你依然具備極高的攻擊價(jià)值。并且，攻擊者為了達(dá)成攻擊目標(biāo)，通常會(huì)在目標(biāo)中潛伏很長(zhǎng)的時(shí)間，從而植入惡意代碼。為了應(yīng)對(duì)這種攻擊方式，組織機(jī)構(gòu)應(yīng)該嘗試使用零信任架構(gòu)，用于將每一次訪問的安全風(fēng)險(xiǎn)降至最低，同時(shí)應(yīng)當(dāng)建立軟件資產(chǎn)清單，便于清晰掌握軟件供應(yīng)鏈所面臨的風(fēng)險(xiǎn)，即便發(fā)生攻擊，也能在最短時(shí)間內(nèi)做出正確的響應(yīng)。

但遺憾的是，大多數(shù)組織機(jī)構(gòu)并沒有明確掌握他們所使用的軟件面臨的風(fēng)險(xiǎn)，尤其是在引入開源軟件的時(shí)候。由于開源軟件使用的廣泛性，給了大量攻擊者以可乘之機(jī)。

根據(jù)奇安信發(fā)布的《2021中國(guó)軟件供應(yīng)鏈安全分析報(bào)告》顯示，在奇安信代碼安全實(shí)驗(yàn)室分析的2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中，平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開源軟件漏洞，最多的軟件項(xiàng)目存在1200個(gè)已知開源軟件漏洞。其中，存在已知開源軟件漏洞的項(xiàng)目占比高達(dá)89.2%；存在已知高危開源軟件漏洞的項(xiàng)目占比為80.6%；存在已知超危開源軟件漏洞的項(xiàng)目占比為70.5%。

多項(xiàng)開源組件受到高危漏洞影響、松散的開源社區(qū)管理難以有效推動(dòng)漏洞修復(fù)以及開源代碼的漏洞補(bǔ)丁部署狀況混亂，是造成開源代碼面臨的漏洞威脅巨大三個(gè)主要原因。楊珉解釋到，面對(duì)這些不足，我們希望通過挖掘開源組件漏洞、增強(qiáng)開源漏洞信息以及評(píng)估漏洞補(bǔ)丁狀態(tài)等方面的工作去解決，盡管在這個(gè)過程中我們遇到了漏洞挖掘效率低、漏洞庫信息不完整、補(bǔ)丁部署管理混亂等方面的困難。

當(dāng)然，飽受漏洞問題困擾的絕非只有普通的開源軟件或者其他商業(yè)軟件，互聯(lián)網(wǎng)核心協(xié)議的漏洞問題同樣不可小覷，由于使用更為廣泛，其危害性甚至更加巨大，2014年曝出的OpenSSL心臟滴血漏洞仿佛就在昨日。

互聯(lián)網(wǎng)基礎(chǔ)協(xié)議的小問題常是互聯(lián)網(wǎng)的大問題。 清華大學(xué)奇安信集團(tuán)聯(lián)合研究中心主任段海新強(qiáng)調(diào)，作為互聯(lián)網(wǎng)基礎(chǔ)協(xié)議領(lǐng)域的安全專家，段海新又一次在技術(shù)峰會(huì)上，分享了他在該領(lǐng)域的最新研究成果。他說：經(jīng)過長(zhǎng)期的研究和攻防實(shí)踐，我們發(fā)現(xiàn)了互聯(lián)網(wǎng)基礎(chǔ)協(xié)議漏洞的一些顯著特征，基礎(chǔ)協(xié)議的漏洞影響范圍很廣，但想要運(yùn)用自動(dòng)化的方法來挖掘或者尋找漏洞卻十分困難。并且，這些互聯(lián)網(wǎng)協(xié)議漏洞絕大多數(shù)都是邏輯漏洞，甚至許多漏洞是多個(gè)系統(tǒng)組合在一起才出現(xiàn)的，需要多個(gè)系統(tǒng)組合在一起才能發(fā)現(xiàn)。



與此同時(shí)，作為近年來威脅側(cè)的另外一個(gè)明星，勒索病毒也一直保持著很高的活躍度，甚至是觸發(fā)企業(yè)應(yīng)急響應(yīng)流程的最主要威脅。勒索軟件通常不再侵?jǐn)_消費(fèi)者系統(tǒng)，而是企圖感染整個(gè)企業(yè)網(wǎng)絡(luò)。馬庫斯哈欽斯介紹了近年來勒索病毒攻擊的變化趨勢(shì)。這主要是因?yàn)楦腥疽患移髽I(yè)，要比同時(shí)感染數(shù)十萬臺(tái)設(shè)備要容易得多，并且相對(duì)個(gè)人消費(fèi)者而言，企業(yè)支付贖金的意愿更強(qiáng)。馬庫斯哈欽斯強(qiáng)調(diào)，勒索病毒的防范不僅僅是一個(gè)技術(shù)問題，僅靠提高安全性、增加安全預(yù)算是無法解決的，需要在金融、法律以及網(wǎng)絡(luò)安全等領(lǐng)域開展多方合作。