什麼是供應鏈攻擊?

供應鏈攻擊旨在利用組織與外部方之間的信任關係。 這些關係可能包括合作夥伴關係、供應商關係或使用第三方軟體。 網絡威脅參與者將危害一個組織,然後在供應鏈上升,利用這些可信賴的關係來訪問其他組織的環境。

防止攻擊? Cyber Security Report

什麼是供應鏈攻擊?

供應鏈攻擊正在激增

近年來,許多最具破壞性和最具影響力的網絡安全事件都是供應鏈攻擊。 儘管這種浪潮可能有許多驅動因素,但最重要的之一是網絡大流行

 

COVID-19 改變了現代企業,推動許多組織在尚未完全準備好採取行動時進行遠距工作和採用雲端。因此,由於網絡安全技能差距,通常由於網絡安全技能差距而缺乏人員,安全團隊被壓倒,無法跟上。

供應鏈攻擊的例子

隨著遠端工作和負擔的安全團隊所創造的新攻擊向量,網絡犯罪分子有很多機會進行供應鏈攻擊。 近年來最大的一些包括:

 

  • SolarWinds 2020 年,一個駭客組織獲得了 SolarWinds 生產環境的存取權限,並在其 Orion 網路監控產品的更新中嵌入了後門。運行惡意更新的 SolarWinds 客戶遭受數據洩露和其他安全事件。
  • 卡塞屋 REvil 勒索軟體團夥利用 Kaseya(一家為託管服務提供者 (MSP) 提供軟體的軟體公司)用勒索軟體感染了 1,000 多名客戶。該集團要求 70 萬美元的贖金,以為所有受影響的客戶提供解密金鑰。
  • Codecov:Codecov 是一個軟件測試組織,其 Bash 上傳程序檔(用於向公司發送代碼覆蓋報告)被攻擊者修改。 這種供應鏈漏洞使攻擊者能夠將 CodeCoV 客戶的敏感信息(如源代碼、秘密等)重定向到他們自己的伺服器。
  • NotPetya: NotPetya 是一種假勒索軟體惡意軟體,它對電腦進行加密,但不保存解密金鑰。它被稱為將它變成「雨刷」。
    • NotPetya 攻擊最初是供應鏈攻擊,當時一家烏克蘭會計師事務所遭到入侵,惡意軟體包含在惡意更新中。
  • Atlassian :2020 年 11 月, Check Point Research (CPR) 發現了一系列脆弱性,這些脆弱性結合起來可用於控制透過 SSO 連結的帳戶和各種 Atlassian 應用程式。
    • 這種脆弱性成為潛在的供應鏈攻擊的原因是,一旦攻擊者利用這些缺陷並獲得帳戶的控制權,他或她就可以安裝他或她將來可以利用的後門。
    • 這可能導致嚴重傷害,只有在損壞發生後才能檢測和控制。
    • Check Point Research 負責任地向 Atlassian 團隊披露了此信息,並部署了解決方案以確保其用戶可以安全地繼續在各個平台上共享信息
  • 英國航空:2018 年,英國航空遭受了 Magecart 攻擊,該攻擊了該航空公司網站上超過 380,000 筆交易。 這次攻擊是由供應鏈攻擊入侵該航空公司之一的供應商並擴散到英國航空、Ticketmaster 和其他公司。

供應鏈攻擊如何運作

供應鏈攻擊會利用不同組織之間的信任關係。 所有組織在其網路中安裝和使用該公司的軟體或作為供應商與其他公司合作時,都對其他公司有一定程度的隱性信任。

 

供應鏈攻擊目標信任鏈中最弱的鏈結。 如果一個組織具有強大的網路安全性,但擁有一個不安全的受信任供應商,攻擊者將針對該供應商進行 憑藉在供應商網路中的立足點,攻擊者可以利用這種可信任關係轉向更安全的網路。

 

一種常見的供應鏈攻擊目標類型是託管服務提供商 (MSP)。 MSP 可以深入存取其客戶的網絡,這對攻擊者來說是無價的。利用 MSP 後,攻擊者可以輕鬆擴展到其客戶網路。透過利用供應鏈的脆弱性,這些攻擊者會產生更大的影響,並可能獲得對更難直接攻擊的網路的存取權限。這就是 Kaseya 攻擊者如何利用勒索軟體感染如此多的組織。

 

其他供應鏈攻擊使用軟體向組織的客戶傳送惡意軟體。例如,SolarWinds 攻擊者獲得了對該公司建置伺服器的存取權限,並將後門注入到 SolarWinds Orion 網路監控產品的更新中。當此更新程式碼被推送給客戶時,攻擊者也獲得了對其網路的存取權限。

供應鏈攻擊的影響

供應鏈攻擊只是為攻擊者提供另一種破壞組織防禦的方法。 它們可用於執行任何類型的網路攻擊,例如:

 

  • 資料外洩:供應鏈攻擊通常用於執行數據洩露。 例如,SolarWinds 黑客暴露了多個公共和私營部門組織的敏感數據。
  • 惡意軟體感染:網路犯罪者經常利用供應鏈的脆弱性向目標組織傳送惡意軟體。SolarWinds 包含了惡意後門的交付,而 Kaseya 攻擊則導致了旨在利用這些後門的勒索軟體。

識別和緩解供應鏈攻擊的最佳做法

供應鏈攻擊利用公司與其他組織之間的不安全信任關係。 減輕這些攻擊風險的一些方法包括:

 

  • 實作最低權限:許多組織指派過多的存取權限和權限給其員工、合作夥伴和軟體。 這些過多的權限使供應鏈攻擊更容易執行。 實作最低權限,並只指派所有人員和軟體執行工作所需的權限。
  • 執行網路分段:第三方軟體和合作夥伴組織不需要不受限制地存取網路的每個角落。使用網路分段根據業務功能將網路劃分為多個區域。這樣,如果供應鏈攻擊損害了部分網絡,網路的其餘部分仍然受到保護。
  • 遵循 DevSecOps 實踐:透過將安全性整合到開發生命週期中,可以偵測軟體(例如 Orion 更新)是否被惡意修改。
  • 自動威脅防護和威脅搜尋:安全營運中心 (SOC) 分析師應防範跨組織所有環境(包括端點、網路、雲端和行動裝置)的攻擊。

使用 Check Point 防範供應鏈攻擊

供應鏈攻擊者可利用組織環境中缺乏監控。 Check Point Harmony 端點透過監控應用程式是否有可能導致洩漏的可疑行為,幫助組織防範這些威脅。

 

要了解有關 Harmony 端點防禦的攻擊類型的更多信息,請查看Check Point 的 2021 年網路安全報告。然後,進行安全檢查以了解您環境中的安全性問題。 您還可以透過免費演示了解如何彌補這些安全缺口。

×
  反映意見
本網站使用cookies來實現其功能以及分析和行銷目的。 繼續使用本網站即表示您同意使用cookies 。 欲了解更多信息,請閱讀我們的cookies聲明