回顾自己写的文章，大多都是实践总结类，质量有高亦有低。在实践之前，其实也会去看最佳实践案例，但不太感兴趣行业报告，总觉得很高大上且空洞，获益较浅。不过，随着这几年陆续接触到一些做科研的老师、重视理论和方法论的客户…观点逐渐产生了改变。在回顾看这类报告时，似乎已经能够看出点内容来指引实际工作。遂，计划新写一个系列文章，专门用于记录和分享研读行业报告之后的收获、及应用。

该报告《供应链攻击威胁局势报告》，至少有三大亮点收获：

• 一是供应链攻击的概念，之前我们总能看到各类供应链攻击，但要问到定义时不一定能讲清楚；
• 二是提出供应链攻击的分类系统，涉及到具体的攻击手法分类和攻击资产分类，对于分析一起供应链攻击时能够快速梳理出框架，似乎更容易被大脑接受；
• 三是提供了大量发生在2020.1–2021.7的知名供应链攻击案例及分析，更能帮助理解供应链攻击分类、以及攻击思路。

本文将供应链攻击的定义和分类系统进行摘录，并尝试将所学应用于分析当下热议的XZ/liblzma，以及分析即将开始的国家级攻防实战演习筹备。

01

—

基本信息

1.1 ENISA

欧盟网络安全局（the European Union Agency of Cybersecurity），成立于2004年，致力于整个欧洲实现高水平网络安全的联盟。为欧盟网络政策做出贡献，通过网络安全认证计划增强 ICT 产品、服务和流程的可信度，与成员国和欧盟机构合作。

ENISA对外发布了很多权威的网络安全报告，官网上有很多细分领域的文章，值得网络安全从业人员的关注。

1.2 Threat Landscape

ENISA在2021年发布的供应链攻击态势报告，虽说是快3年前的报告，但仍然是供应链领域发布的最新版本。

1.3 Report Structure

该报告分七个章节围绕供应链攻击的定义、生命周期及分类进行介绍，最后用24个攻击案例进行进行剖析。此外还将供应链攻击与APT进行关联，认为供应链攻击的每个组成部分可看作APT攻击，其生命周期一般也遵循APT攻击的攻击阶段。但是供应链分析系统描述了供应链攻击本身的所有详情，因此有可能成为MITRE ATT&CK®知识库的补充。

02

—

What is a supply chain attack?   

供应链是指创建和传递最终解决方案或产品时，所涉及到的流程、人员、组织和分销商。在网络安全领域，供应链涉及范围很广泛，包括资源（硬件和软件）、存储（云上或本地）、分发途径（web应用，线上商店）以及管理软件。

在一个供应链中有四个关键元素：

• 供应商：提供服务或产品给另一个实体的实体（一个实体可以是个体、独立的团体，或组织）；
• 供应商资产：供应商用于生产或提供服务的有价值的元素（资产可以是人员，软件，文档，金钱，硬件或其他）；
• 客户：供应商提供服务或产品的实体；
• 客户资产：目标的有价值元素。

一个供应链攻击至少是两次攻击的结合，第一个攻击是供应商及其资产，第二个攻击是供应商提供服务的客户及其资产。

03

—

Taxonomy of supply chain attacks  

该报告提出一种分析系统对供应链攻击进行分类，并将后续分析结构化。该分类系统考虑到供应链的四个关键元素以及攻击者所使用的技术。该分析系统有助于组织机构了解供应链攻击的多个组成部分：供应商攻击技术、供应商被攻击资产，客户攻击技术和客户被攻击资产：    

* Drive-by Compromise[T1566]，路过式攻击，如挂马，网站上的恶意脚本通过恶意软件传染给用户。

3.1 Attack techniques used to compromise a supply chain

用于攻陷供应链的攻击技术，是指攻击“如何”发生（指攻击类型），而不是用“什么“发动了攻击（指实际实现攻击的手法）。如下列举的攻击技术类别，涵盖了供应链攻击中最常使用的攻击技术。任何一个类别中，都可能用到不止一种攻击技术。    

* Conterfeiting（伪造），例如恶意程序模拟USB启动，植入后门。

3.2 Supplier assets tagerted by a supply chain attack   

遭攻击的供应商资产指的是针对供应商的攻击目标是“什么”，便于发动后续攻击（后续在此基础上，攻击供应商的客户）。一项或多项目标资产通常和最终目标之间存在直接关系，而且通过分析受影响资产清单，就很有可能了解攻击者的最终意图。    

3.3 Attack techniques used to compromise a customer

用于攻陷客户的攻击技术，指在通过供应商攻陷客户过程中使用的攻击技术。每种技术识别攻击如何发生而非被攻击的是什么（这个概念如3.1中一样，是类型与具体事项方法的关系），同一起攻击中可能使用了多种攻击技术。    

* 值得关注：Trusted Relationship[T1199]， 如信任证书、信任产品自动升级、自动备份，这非常难防守。

3.4 Customer assets targeted by a supply chain attack  

遭受攻击的客户资产，通常是攻击者的主要和终极目标。

每个元素说明客户遭受攻击的是什么，不同的攻击技术可能用到相同的攻击资产上。

04

—

基于分类系统的实战应用

在该报告中，个人认为最有用的要数分类系统，可以把它用作指南模板，用于分析新型的潜在供应链攻击。用两个近期相对贴近的案例，进行简单分析以落地所学的方法论，如下所述：

4.1 XZ/liblzma后门案例浅析

本周六一大早，看到工作群里被领导艾特准备XZ应急。这是一起针对开源组件的投毒事件，看了下openwall上的分析，攻击方法和危害远比之前遇到的要复杂。

随着研究的人越来越多，从深度上大概知道了其复杂的利用原理、从广度上看到了可能影响到其他生态的组件。信息比较多，对外发文的除了安全厂商，还有很多从业者的公众号。看多了感觉思路不清晰、甚至有点乱，于是就按照分类系统框架进行了梳理：    

4.2 今年实战演习风险分析示例  

近期，有小道消息称今年的国家级实战演习聚焦在：软件供应链安全。相关部门欲通过实战对抗，发现防守方供应链安全管理存在问题，从而督促防守方加强供应链安全管理。但若要参加演习，仅加强自身的供应链安全管理还不够。因为每家公司就是供应链上的一环，受上游供应商影响的同时，还提供软件或服务给下游客户。故可借助分类系统辅助分析，得出应该加强安全建设的具体方向：

在报告的原始内容基础上，依据实际情况对供应商和客户使用到的攻击方法和资产进行调整，如：

• 在供应商视角下：增加了物理攻击、伪造攻击和对上游供应商的攻击分类，攻击资产减少了供应商，增加了产品云端公共服务，并将可能遭受到的攻击底色标黄；
• 站在客户视角下：增加了软件产品漏洞利用攻击分类，这实际上确实是防守方面临的最大实际风险之一。

关于该分类方法的落地，可以简单的总结为：结合实际情况，按照分类进行实例化，从而梳理出面临的风险途径并加以治理。如就安全公司提供安全产品而言，在供应商表格的右侧可提炼出五类风险需要治理。进而再切换到用户视角，可能传递风险的途径有产品漏洞（对应供应商风险中，OEM产品漏洞、三方组件漏洞和自研产品漏洞）和产品升级信任关系（对应供应商风险中，三方组件投毒、产品发布流程攻击、产品云端公共服务攻击等）。

至此已经分析出从供应链视角，安全厂商或软件提供商要做好供应链安全，需要重点关注的三个方面：产品漏洞，产品升级机制/通道安全，及对供应商的安全管理。

05

—

参考文献

• 报告地址：https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks

• 下载地址：https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks/@@download/fullReport

长按识别二维码，和我交流

More...

-- SDL 100问 --

• SDL100问：我与SDL的故事
• SDL 1/100问：SDL与DevSecOps有何异同？
• SDL 2/100问：如何在不同企业实施SDL？
• SDL 3/100问：SAST误报太高，如何解决？
• SDL 4/100问：SDL需要哪些人参与？
• SDL 5/100问：在devops中做开发安全，会遇到哪些问题？
• SDL 6/100问：如何实施安全需求？
• SDL 7/100问：安全需求，有哪些来源？
• SDL 8/100问：安全需求怎么实现自动化？
• SDL 9/100问：实施安全需求，会遇到哪些难题？
• SDL 10/100问：安全需求和安全设计有何异同及关联？
• SDL 11/100问：设计阶段应开展哪些安全活动？
• SDL 12/100问：有哪些不错的安全设计参考资料？
• SDL 13/100问：安全设计要求怎么做才能落地？
• SDL 14/100问：有哪些威胁建模方法论？
• SDL 15/100问：有哪些威胁建模工具？

-- 软件供应链对抗探索 --

• 1 软件供应商面临的攻防实战风险

• 2 软件供应商实战对抗十大安全举措

• 3 软件供应商攻防常规战之SDL

--------- 实战演习 ---------

• 1 何为多维度的视角

• 2 关于对演习的期望

• 3 公司层面统筹布局 

• 4 实战攻防演习下的产品安全保障 

• 5 产品安全事件定级评分方法

• 6 演习前红队暗泉涌动投毒

• 7 面向情报公司付费信息的应急

• 8 面向互联网侧情报信息的应急

• 9 客户侧产品推送样本事件处置

• 10 某邮箱被攻击情报的自我检查

• 11 办公网出口地址攻击客户蜜罐

• 12 SRC白帽子突破边界进业务网

• 13 某部门下发零日漏洞确认函处置

• 14 公司溯源团队查到团队内部成员

• 15 演习后对工作技能的复盘总结

• 16 演习后认知外的见微知著

--------- 安全运营 ---------

• 安全事件运营SOP：软件供应链投毒事件

• 安全事件运营SOP：接收漏洞事件

• 安全事件运营SOP：webshell事件

• 安全事件运营SOP：蜜罐告警

• 安全事件运营SOP：网络攻击

• 安全事件运营SOP：钓鱼邮件

• 安全事件运营SOP：基于实践的安全事件简述

• 企业级供应链投毒应急安全能力建设

• 应急能力提升：实战应急困境与突破

• 应急能力提升：挖矿权限维持攻击模拟

• 应急能力提升：内网横向移动攻击模拟

• 应急能力提升：实战应急响应经验

• 应急能力提升：应急响应报告点评

• 应急能力提升：应急响应专题总结会

• 应急响应：redis挖矿（防御篇）

• 应急响应：redis挖矿（攻击篇）

• 应急响应：redis挖矿（完结篇）

--------- 软件安全 --------- 

• 开篇

• 安全培训

• 安全需求

• 安全设计

• 安全开发

• 安全测试

• 安全审核

• 安全响应

• 完结篇（全系列paper下载）

• 浅谈安全产品的hvv安全之道

• Shift Left在开发安全中的应用

--------- 企业安全 ---------

• 企业安全建设需求

• 企业安全威胁简述

• 企业安全架构建设

• 企业安全项目-测试环境内网化

• 企业安全项目-Github信息泄露

• 企业安全项目-短信验证码安全

• 企业安全项目-前端绕过专项整改

• 业务安全之另类隐患

• 应用发布之安全隐患

• 甲方眼里的安全测试

• 基于堡垒机的自动化功能实践1

• 基于堡垒机的自动化功能实践2

• 基于堡垒机的自动化功能实践3

• 基于堡垒机的自动化功能实践4

• Nmap操作系统探测技术浅析

• 漏洞情报调研

• 漏洞调研报告（非完整版）

• 从漏洞视角看敏捷安全

--------- 渗透测试 ---------

• 安全运维那些洞

• 安全业务那些洞

• 那个简单的威胁情报

• Android APP数据存储安全

• 搜集SRC信息中的“技术活儿”

• 常规渗透瓶颈，发散思维突破

--------- 安全开发 ---------

• python武器库

• 漏洞扫描器资产处理

• python代码审计武器I

• python代码审计武器II

• Nodejs代码审计武器

• fortify漏洞的学习途径

--------- 个人体验 ---------

• 如何学习这么多的安全文章（实践篇）

• 如何学习这么多的安全文章（理论篇）

• 漫谈在安全公司做内部安全的体验

• C3安全峰会参后感

• 提高认知效率秘籍

• 向上型技术人的职业素养

• 关于勇气的一次突破

原文始发于微信公众号（我的安全视界观）：从供应链攻击报告研读，到近期热议事件浅析