博客

黃永昌：供應鏈攻防戰

荷里活電影「變形金剛」的經典場景，是每個機械人，都能以獨有的偽裝隱藏自己外星金剛的身分，由貨車、跑車到飛機都有。在現實的網絡世界，原來也有不少惡意軟件(Malware)，偽裝為正當的開放源軟件，讓用戶下載使用，這是一個不可忽略的網絡安全風險。   根據歐盟在2021年7月發布的軟件供應鏈攻擊(Supply Chain Attack)研究報告，由2020 年 1 月至 2021 年7 月上旬，總共有 24 宗供應鏈攻擊的報導，當中大約 50% 的攻擊，來自著名的 APT 黑客組織。大約 62% 的攻擊，利用了客戶對供應商的信任而作出，採用的攻擊技術就是惡意軟件(Malware Attack)。   在考慮攻擊目標時，66% 的個案涉及供應商的源代碼上，並得以進一步攻擊目標客戶。該研究報告還羅列了用於攻擊供應鏈的各項技術，例如REvil勒索軟體，就專門利用IT 軟件供應商 Kaseya進行攻擊。 Kaseya全球共有3.7萬的企業客戶，涵蓋金融及各國政府單位；REvil把Kaseya官網提供的軟體，全部換成了勒索病毒，所有使用 Kaseya 軟體的公司，都因而暴露在勒索病毒中。   企業關注供應鏈攻擊   2020年底，SolarWinds遭駭客入侵，導致國家級駭客透過供應鏈攻擊美國財政部與商務部，做成的潛在風險更加難以想像，而要將潛在的惡意程式清零，更是難上加難。   供應鏈攻擊利用了客戶和供應商相互聯繫的全球市場，當多個客戶依賴同一供應商時，針對供應商的供應鏈攻擊，後果會更被放大，其影響規模，可以是全國性甚至國際性的。歸根究底，供應鏈的存在，對最終客戶來說是不透明的，尤其是軟件產品，勒索軟體可以完全隱藏於源頭難以追溯的軟件之中。   根據該歐盟研究報告，當用戶對網絡攻擊的保障提高了，黑客的注意力，就轉移到供應商身上。當供應商成為供應鏈上最薄弱的一環，客戶就需要以零信任的態度，去評估並考慮其供應商的產品和網絡安全的整體質量，包括他們是否應用了安全的開發程序，以及嚴謹的開放源代碼管理，並進行風險評估和推進更多的盡職審查。   供應商應實施有效漏洞管理   該報告亦提出一系列的保安措施，例如為了管理供應鍊的網絡安全風險，客戶應該為不同類型的供應商和服務，制定風險標準，例如重要的供應商和客戶依賴關係、關鍵軟件依賴關係等等，再根據自己的業務關鍵性影響，評估和要求評估供應鏈風險，並基於零信任的標準，去審查內部和外部關於供應商的保安成效，以評估供應鏈風險和威脅。   此外，客戶應有效地管理供應商在產品或服務的整個生命週期，包括處理報廢產品或組件的程序，對與供應商共享或授權供應商查閱的資料，進行分類，並定下相關的保安監控，包括供應商人事上的審查，保安措施如在漏洞、補丁、安全要求等的處理，並同時管理供應商系統更新的流程，例如工具、技術等保安檢查。而由於現在軟件產品或服務，都易受漏洞影響，因此供應商亦應實施有效的漏洞管理程序。   IT行業的龍頭谷歌，亦於 2021 年 6 月，推出了一個端到端的保安框架，用於確保整個軟件供應鏈中軟件的安全和完整性，稱為 SLSA（軟件供應鏈級別評估）。SLSA 的目標，是改善行業的開放源管理，以抵禦軟件供應鏈攻擊，而不是所有其他類型。   然而，企業即使在供應鏈上痛下苦功，盡力保障每個供應商環節，都絶不可放鬆自身的保安措施，例如積極了解國際上應對供應鏈攻擊的發展，應用在自己的網絡上，以及在自身網絡上，推行零信任之監控，拒絕所有網絡上有可疑的對內外之連繫，而且推廣員工保安教育，同時採用創新的思維，去加強每個保安環節，令黑客更難有效進行攻擊。大家都要好好裝備自己，去預備打這場攻防戰。     撰文：黃永昌 香港電腦學會網絡安全專家小組委員會成員 [...]