hacker binary attack on software supply chain

對網路駭客來說,軟體供應鏈是相當誘人的攻擊目標。一旦供應鏈遭網路攻擊,將暴露出大量且種類廣泛的敏感資訊,轉賣這些資訊就能坐享大筆酬勞,也因此在 2020、2021 年間,軟體供應鏈攻擊事件大幅增加三倍以上,同時有 62% 的企業組織遭到此類型攻擊。且勒索軟體結合供應鏈攻擊,會讓受波及的企業更廣泛。

據《工商時報》,2021 年 7 月,美國 IT 服務業者 Kaseya 遭到勒索軟體組織 REvil 網路攻擊,REvil 一方面利用勒索軟體綁架電腦資料,要求 7 千萬美元比特幣贖金,另一方面在 Kaseya 軟體中嵌入惡意程式。當 Kaseya 軟體向客戶發布自動更新時,惡意程式也隨之入侵客戶端,影響上千家企業用戶。

Kaseya 專門開發網路、系統與資訊科技基礎設施託管軟體,在全球共有 3.7 萬家企業用戶,規模從小到大都有,涵蓋金融、旅遊、休閒產業及各國政府單位。加上這些企業用戶當中不乏他國 IT 服務業者,例如荷蘭兩大 IT 服務業者 VelzArt 及 Hoppenbrouwer Techniek,也就是說這兩家公司的服務對象也可能受到波及,整體受害企業數量遠比估計的要多。

此事更驚動了白宮,當時美國總統拜登(Joy Biden)指示,包括 FBI 與 CISA 等美國政府組織全力協助 Kaseya。

♦ TO 延伸閱讀:【這個朋友台灣必須交】國會、銀行、內閣、媒體與廣播都被駭——愛沙尼亞扳倒俄國駭客血淚史

何謂軟體供應鏈攻擊?

軟體供應鏈攻擊也被稱為第三方攻擊、「後門外洩」(backdoor breach),指駭客透過第三方夥伴或軟體服務商,滲透組織網路系統;這類攻擊往往起始於軟體供應鏈上某個弱點,範圍大且難以偵測,單單一筆資料外洩就可能同時造成上千人受害

隨著更多軟體供應商、服務商掌握更大量的敏感資訊,近幾年來供應鏈攻擊明顯增加,美國拜登政府也意識到此問題嚴重性,早在 2021 年 5 月就向大眾提出警示。

♦ TO 延伸閱讀:在戰爭爆發時守住醫院與電網!歐盟全新資安指令怎麼抵禦新形態戰爭?

軟體供應鏈攻擊為何猖獗?

Crystal Morin 是任職於美國雲端資安公司「Sysdig」的威脅研究工程師,他認為供應鏈攻擊成本低、難度低、預期報酬高,且相關工具和技術都能輕易藉由網路取得,例如資安公司就經常在自家官網揭露攻擊事件始末,有心人士可以迅速習得進階技術,甚至直接複製攻擊模式

此外,當惡意軟體瞄準供應鏈攻擊,標的物更大、更難失手。

美國供應鏈資安系統商「Chainguard」資深工程師 Zack Newman 也說,當駭客鎖定整條供應鏈為攻擊對象,就不用等該組織曝露弱點──他只需要在依存關係中找到一個潛在安全問題,就有辦法進行攻擊,進而對上百或上千個下游組織造成衝擊

♦ TO 延伸閱讀:台灣缺資安人才,怎麼解?奧義智慧創辦人邱銘彰,用人體比喻讓你搞懂資安

供應鏈攻擊案例屢見不鮮

像是在 2021 年「Codecov」軟體測試數據平台,事前沒有任何預警,就被惡意植入動過手腳的「Docker」程式碼,導致超過 29,000 名大型企業客戶受害,其中包含 IBM、Google、HP、P&G,甚至是加拿大皇家銀行,攻擊事件悄悄蔓延好幾個月才被發現。

類似這樣的供應鏈攻擊絕非個案,Gartner 最新報告數據顯示,2025 年前全球將有 45% 的組織淪為軟體供應鏈攻擊對象。

♦ TO 延伸閱讀:70 萬資安生力軍仍填不了市場缺口,企業還能上哪找人?

三點防禦守則,提升資安防護

觀察近期幾起攻擊事件可以發現,市面上沒有任何一套資安工具能提供滴水不漏的防禦,只要有一個潛在漏洞被發現,後果可能就不堪設想;為此,科技媒體《Venture Beat》整理出以下三點防禦守則:

  1. 資安防禦必須做得夠深,且須符合多層次的資安政策,例如邊緣防護終端防護多因素驗證(MFA)與使用者培訓;組織也須致力於培養堅實的復原能力,包含可靠的備用系統,以及攻擊事件過後,可投入修復工作的技術專家。
  2. 組織必須留心每一套使用中的軟體是否安全無虞,包含開源與第三方軟體,尤其前者的安全性很容易遭到忽略。
  3. 雖然多數終端資安攻擊事件都是遭到惡意軟體攻擊,別忘了這只是其中一種駭客手段,組織必須時時留意新型態犯罪手法,例如挖礦劫持(cryptojacking)、以「身分」為攻擊對象的網路威脅,還有機密擷取。

目前做好資安防禦是最基本的作法,而資安領域不斷出現軟體供應鏈相關研究與創新,產界、學界都在努力尋找一勞永逸的解決方法,而不是像現今人們慣用的「壞了再補」被動防禦。

本圖/文由「Techorange科技報橘」授權刊登,非經同意不得任意轉載。
原文出處:別當下一個被勒索 7 千萬美元的公司!企業如何應對軟體供應鏈攻擊?