通過安全事件看IT產品供應鏈安全風險
回顧去年的安全事件:Xmanager和Xshell后門事件、Xcode非官方版本惡意代碼污染事件、思科Juniper網絡設備存在“心臟出血”漏洞、Juniper VPN后門事件……通過以上事件可以發現企業在進行軟件開發、設備采購、系統運維等階段都存在著安全風險,如何有效的針對IT產品供應鏈進行防范與控制成為企業面臨的極大挑戰,本文將結合相關案例針對該問題進行簡單闡述。
一、概述
Xshell是一款知名的、強大的安全終端模擬軟件,但是在2017年8月NetSarang官方宣布在最近的軟件版本中發現nssock2.dll模塊的官方源碼中被植入惡意后門代碼,將泄露包括服務器密碼在內的相關信息。
2016年研究人員發現全球性的網絡安全設備供應商Fortinet(飛塔)所提供的防火墻存在后門,屬于高危漏洞,攻擊者可以通過這個后門,直接獲取防火墻控制權限,執行攻擊行為,比如抓取流量監聽、DNS欺騙、建立隧道進入企業內網等。
通過以上事件可以發現企業在進行軟件開發、設備采購、系統運維等階段都存在著安全風險,如何有效的針對IT產品供應鏈進行防范與控制成為企業面臨的極大挑戰,本文將結合相關案例針對該問題進行簡單闡述。
二、IT供應鏈
IT供應鏈是包含系統終端用戶、政策制定者、采購專家、系統集成商、網絡提供商和軟硬件提供商在內的統一系統,是上述角色通過組織和交互等行為,參與IT相關基礎設施的管理、維護和防御的過程。因此IT供應鏈威脅涉及方方面面,包括:妨害、篡改、偽造、盜版、偷盜、摧毀、毀壞、泄露、滲透、破壞、轉移、出口管制違規、腐化、社會工程、內部人員威脅、偽內部人員威脅以及外部所有權。
本文將針對IT供應鏈中的三個對象:軟件提供商、網絡及安全設備提供商、最終用戶通過安全事件列舉簡述其面臨的安全風險,同時針對安全風險提供安全防護建議,加強各環節安全防范能力。
三、安全事件概述及風險分析
1. 軟件提供商風險分析
(1) Xmanager和Xshell后門事件
事件概述:NetSarang是一家提供安全連接解決方案的公司,該公司的產品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近,官方在2017年7月18日發布的軟件被發現有惡意后門代碼,該惡意的后門代碼存在于有合法簽名的nssock2.dll模塊中。從后門代碼的分析來看,該代碼是由于攻擊者入侵的開發者的主機或者編譯系統并向源碼中插入后門導致的。該后門代碼可導致用戶遠程登錄的信息泄露。
事件緣由:開發環境被污染,源代碼植入后門
(2) Xcode非官方版本惡意代碼污染事件
事件概述:Xcode 是由蘋果公司發布的運行在操作系統Mac OS X上的集成開發工具(IDE),是開發OS X 和 iOS 應用程序的最主流工具。2015年9月14日起,一例Xcode非官方版本惡意代碼污染事件逐步被關注,并成為社會熱點事件。多數分析者將這一事件稱為“XcodeGhost”。攻擊者通過對Xcode進行篡改,加入惡意模塊,并進行各種傳播活動,使大量開發者使用被污染過的版本,建立開發環境。經過被污染過的Xcode版本編譯出的App程序,將被植入惡意邏輯,其中包括向攻擊者注冊的域名回傳若干信息,并可能導致彈窗攻擊和被遠程控制的風險。
事件緣由:非官方版本被植入后門,開發工具被污染
通過上述事件可以發現在軟件開發、系統編譯、下載分發等不同階段都可能存在惡意程序感染,軟件提供商需要建立一套全面的、安全的軟件生命周期管理制度及流程,針對不同階段面臨的風險進行排查、分析,結合相應安全手段進行有效管理,從而提供安全、可靠的軟件程序。
2. 網絡安全產品提供商風險分析
(1) 思科Juniper網絡設備存在“心臟出血”漏洞
事件概述:2014年波及全網的“心臟出血”漏洞,思科及Juniper相關網絡設備也未能幸免。該漏洞存在于OpenSSL中,可以泄露網絡設備的內存內容,黑客可以在企業網絡、家庭網絡以及互聯網上利用這一漏洞,非法獲取用戶名、密碼以及其他敏感信息。
事件緣由:使用了存在漏洞的OpenSSL版本
(2) Juniper VPN后門事件
事件概述:2015年12月15日著名的網絡設備廠商Juniper公司發出風險聲明,其防火墻、VPN設備使用的操作系統具有重大安全風險,建議盡快升級相關版本。聲明中提及兩個重大風險:1)設備的SSH登錄系統在輸入任意用戶名的情況下,使用超級密碼“<<< %s(un=’%s’) = %u”后就可以最高權限登錄系統。2)設備的VPN安全通道上傳遞的數據可以被攻擊人解密、篡改和注入。
事件緣由:系統程序存在缺陷,未對代碼進行安全檢測
通過上述事件可以發現在網絡安全產品提供商作為產品提供者,在產品交付及運行過程中存在大量漏洞,設備研發過程中存在邏輯漏洞、使用了不安全的協議等問題導致產品存在安全漏洞,給最終使用用戶造成巨大影響。
3. 最終用戶
(1) 臺灣遠東國際商業銀行日前遭黑客入侵
事件概述:2017年10月3日臺灣遠東銀行3日發現SWIFT(Society for Worldwide Interbank Financial Telecommunication,環球銀行間金融電訊網絡)系統異常,事后發現銀行SWIFT系統遭黑客植入惡意程式,并進行遠端轉帳,5日向臺刑事警察局(刑事局)報案。據了解,遭黑的金額約6000萬美元,被匯到斯里蘭卡、柬埔寨及美國。
事件緣由:APT攻擊
(2) 美國征信巨頭 Equifax大規模數據泄露
事件概述:美國征信巨頭Equifax日前確認,黑客利用其系統中未修復的 Apache Struts漏洞( CVE-2017-5638,3 月 6 日曝光)發起攻擊,導致了最近影響惡劣的大規模數據泄漏事件。
事件緣由:使用存在安全漏洞的Struts框架,未及時進行升級
通過上述事件發現用戶在進行日常運維及安全管理過程中存在大量問題,針對內部安全漏洞無法及時進行修補,暫無相關技術手段針對網絡內部未知攻擊進行發現及監測,最終導致企業網絡及系統被黑客攻擊,造成不可估量的損失。
(3) 建議及防范措施
IT供應鏈安全是一個涉及面廣且復雜的一套體系,在任何一個階段存在問題都勢必會影響供應鏈上下游的安全。因此,這里針對軟件提供商及網絡安全產品提供商提供相關安全建議:
- 建立健全應用開發生命周期安全管理制度,在應用及產品需求分析、功能設計、實施開發、測試驗證及上線發布等環節進行質量及安全把控;
- 定期對應用及產品進行功能、安全性測試,時刻掌握應用及產品安全風險,同時與上下游用戶建立安全事件通報機制,若出現安全問題及時與供應鏈上下游用戶進行溝通協同進行應急響應工作;
- 加強員工網絡安全意識培訓教育,提高安全意識認知水平規范員工日常操作;
最終用戶在進行IT供應鏈風險管理過程中應遵循以下幾點:
- 建立內部網絡安全評估機制,定期對內部網絡進行風險評估,發現存在的風險點,針對風險及威脅進行問題修復,全面提高網絡安全防護水平;
- 建立一套未知威脅感知系統,針對未知威脅攻擊進行有效的監測及預警工作,實時掌握網絡安全情況,縮短應急響應時間;
- 建立產品采購及供應鏈廠商管理制度,需按照國家相關合規要求進行產品及服務采購,在今年6月1日正式實施的《中華人民共和國網絡安全法》中第三十五、三十六條中也針對產品及服務采購進行了相應要求;
- 加強供應鏈對象溝通交流機制,建立有效的問題反饋渠道,及時與上下游對象進行問題溝通及應急處置;
- 提高企業內部人員安全意識,建立安全操作及運維管理制度,降低違規及異常操作帶來的風險。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
