荷里活電影「變形金剛」的經典場景,是每個機械人,都能以獨有的偽裝隱藏自己外星金剛的身分,由貨車、跑車到飛機都有。在現實的網絡世界,原來也有不少惡意軟件(Malware),偽裝為正當的開放源軟件,讓用戶下載使用,這是一個不可忽略的網絡安全風險。
根據歐盟在2021年7月發布的軟件供應鏈攻擊(Supply Chain Attack)研究報告,由2020 年 1 月至 2021 年7 月上旬,總共有 24 宗供應鏈攻擊的報導,當中大約 50% 的攻擊,來自著名的 APT 黑客組織。大約 62% 的攻擊,利用了客戶對供應商的信任而作出,採用的攻擊技術就是惡意軟件(Malware Attack)。
在考慮攻擊目標時,66% 的個案涉及供應商的源代碼上,並得以進一步攻擊目標客戶。該研究報告還羅列了用於攻擊供應鏈的各項技術,例如REvil勒索軟體,就專門利用IT 軟件供應商 Kaseya進行攻擊。 Kaseya全球共有3.7萬的企業客戶,涵蓋金融及各國政府單位;REvil把Kaseya官網提供的軟體,全部換成了勒索病毒,所有使用 Kaseya 軟體的公司,都因而暴露在勒索病毒中。
企業關注供應鏈攻擊
2020年底,SolarWinds遭駭客入侵,導致國家級駭客透過供應鏈攻擊美國財政部與商務部,做成的潛在風險更加難以想像,而要將潛在的惡意程式清零,更是難上加難。
供應鏈攻擊利用了客戶和供應商相互聯繫的全球市場,當多個客戶依賴同一供應商時,針對供應商的供應鏈攻擊,後果會更被放大,其影響規模,可以是全國性甚至國際性的。歸根究底,供應鏈的存在,對最終客戶來說是不透明的,尤其是軟件產品,勒索軟體可以完全隱藏於源頭難以追溯的軟件之中。
根據該歐盟研究報告,當用戶對網絡攻擊的保障提高了,黑客的注意力,就轉移到供應商身上。當供應商成為供應鏈上最薄弱的一環,客戶就需要以零信任的態度,去評估並考慮其供應商的產品和網絡安全的整體質量,包括他們是否應用了安全的開發程序,以及嚴謹的開放源代碼管理,並進行風險評估和推進更多的盡職審查。
供應商應實施有效漏洞管理
該報告亦提出一系列的保安措施,例如為了管理供應鍊的網絡安全風險,客戶應該為不同類型的供應商和服務,制定風險標準,例如重要的供應商和客戶依賴關係、關鍵軟件依賴關係等等,再根據自己的業務關鍵性影響,評估和要求評估供應鏈風險,並基於零信任的標準,去審查內部和外部關於供應商的保安成效,以評估供應鏈風險和威脅。
此外,客戶應有效地管理供應商在產品或服務的整個生命週期,包括處理報廢產品或組件的程序,對與供應商共享或授權供應商查閱的資料,進行分類,並定下相關的保安監控,包括供應商人事上的審查,保安措施如在漏洞、補丁、安全要求等的處理,並同時管理供應商系統更新的流程,例如工具、技術等保安檢查。而由於現在軟件產品或服務,都易受漏洞影響,因此供應商亦應實施有效的漏洞管理程序。
IT行業的龍頭谷歌,亦於 2021 年 6 月,推出了一個端到端的保安框架,用於確保整個軟件供應鏈中軟件的安全和完整性,稱為 SLSA(軟件供應鏈級別評估)。SLSA 的目標,是改善行業的開放源管理,以抵禦軟件供應鏈攻擊,而不是所有其他類型。
然而,企業即使在供應鏈上痛下苦功,盡力保障每個供應商環節,都絶不可放鬆自身的保安措施,例如積極了解國際上應對供應鏈攻擊的發展,應用在自己的網絡上,以及在自身網絡上,推行零信任之監控,拒絕所有網絡上有可疑的對內外之連繫,而且推廣員工保安教育,同時採用創新的思維,去加強每個保安環節,令黑客更難有效進行攻擊。大家都要好好裝備自己,去預備打這場攻防戰。
撰文:黃永昌
香港電腦學會網絡安全專家小組委員會成員