去(2020)年知名網管工具SolarWinds遭攻擊事件在各國引起軒然大波,尤其是造成多個美國聯邦政府機關及大型企業相繼淪陷,淪陷時間長且受害情形嚴重。此次駭客狡詐的攻擊手法,成功駭進SolarWinds內部開發構建環境,所植入的惡意程式也相當刁鑽,開發者看到的程式碼是正常但在轉換成軟體執行檔時就被動了手腳,隨之該主機發佈軟體更新時就一道把惡意程式也散佈出去,且該更新程式是帶有合法簽章,因此許多受害客戶完全無所察覺。
就在不久前,美國一提供軟體測試服務的SaaS廠商Codecov也遭入侵,其製造容器映像檔的程序有錯誤,使駭客獲得權限修改Bash Uploader Script,如此一來便能把存在客戶CI(持續整合, Continuous Integration)環境中的系統憑證、金鑰及Token等資訊轉匯出到駭客的伺服器而非Codecov的雲端平台,使其客戶的相關系統及服務暴露在資料外洩風險之中。SolarWinds及Codecov受駭事件也讓供應鏈攻擊(Supply Chain Compromise)更廣受駭客團體矚目,企業不能再將套裝軟體、服務包括硬體設備視為理所當然地安全,而委外開發的專案更應注意。
越受企業歡迎的軟硬體產品 越容易成為供應鏈攻擊目標現今隨著企業組織資安防禦水準逐漸提升,要成功駭入目標機構所需花費的成本代價也越來愈高,因此從供應鏈下手也成了駭客發動攻擊的戰略之一,而這些廣受企業愛用的軟硬體系統也就成了駭客鑽研的攻擊目標。由美國資安研究機構MITRE Corporation所提出MITRE ATT&CK資安框架中,就將Supply Chain Compromise列為其中一種發動攻擊的戰略。這裡的供應鏈不單指製造業上下游的關係,而是泛指所有產品包括軟硬體各個元物件的採購到銷售至最終客戶過程中的所有企業。
而MITRE ATT&CK資安框架明確指出供應鏈攻擊能在以下不同階段發生,包括操控開發工具、開發環境、原始碼存放庫(公開或私有的)、開源相依套件的原始碼、軟體更新/發布機制、感染系統映像檔、用修改過的版本置換合法軟體、銷售偽造的產品給經銷商以及裝運中阻截等。
SolarWinds的事件影響之所以深遠,在於即使您企業並非使用SolarWinds的Orion平台去年3月份更新的版本,但只要企業有第三方合作夥伴使用,若他們又能存取您企業的系統或網路,那麼您企業便有極高的感染風險。也因此,不論是軟體開發商、合作的代理商與系統整合商以及企業用戶本身,都必須對於所處的各種供應鏈環節有所警覺,企業可向廠商要求出具弱點掃描報告,而代理商及SI廠商也需為客戶做好把關角色,關注產品的安全性。而因應供應鏈攻擊的緩解方法無他,便是嚴謹的軟體更新程序以及弱點掃描。
系統交付驗收前、中、後 持續且自動進行弱點掃描弱點掃描不單只是找出產品的漏洞,有些企業被入侵並非因為系統的漏洞,而是企業本身使用產品的方式錯誤所導致。最常見的例子就是使用產品出廠時的預設密碼,在網路論壇上都曾傳出不少企業或住家監控攝影機的影像遭上傳的畫面。
此外弱點掃描的時機也不是只有在產品服務交付給企業驗收時做一次就可以,而是在產品交付後仍需持續監測。在MITRE ATT&CK中對於弱點掃描的描述是「能持續監控弱點來源,並使用自動及手動的程式碼檢測工具」。如今漏洞被發現的速度及數量飛快地成長,要能做到弱點持續監控並且管理,透過自動化工具的協助是必要的。自動化弱點掃描工具能快速找出對企業組織高風險的弱點,做出修補建議並列出優先次序。
如今幾乎沒有能聲稱百毒不侵的系統,就連重金打造網路攻擊防禦系統Einstein的美國聯邦政府機構,對於SolarWinds攻擊也毫無所覺,使惡意程式潛伏達數月之久。數聯資安技術顧問建議,至少每月進行一次弱點掃描或是在IT大廠發布緊急重大更新時立即進行弱掃,才能在問題擴大之前儘早採取因應措施。而對於客製化開發專案則建議在系統完成前能分階段進行交付,提前進行程式碼檢測以提前找出漏洞,以避免驗收時才找出一大堆漏洞,延誤產品服務推出時程。
