“攻击面管理”能力之(3)：“供应链攻击面”是攻击面管理的重要组成

1            概  述               

攻击面是未经授权即能访问和利用企业数字资产的所有潜在入口的总和。攻击面可以进一步细分为供应链攻击面、数字资产攻击面、物理攻击面、社会工程攻击面、国产化资产攻击面等。
供应链攻击的核心是找到更多的攻击面，攻击者沿着供应链的路径能够获取到更多的攻击资源和目标，供应链攻击是作为攻击目标的一种“曲线攻击”路径，即通过对目标的供应商攻击从而达到攻击最终目标的方法。供应链和第三方已经成为了攻击方的重要突破口，组织的安全度取决于其供应链合作伙伴网络中的最弱一环，供应链任一节点被打破后，攻击者就能通过这层信任链路，利用多种攻击手段渗透到组织内部，窃取核心数据。

供应链攻击难以检测的原因主要有3个方面：

  （1）供应商涉及面广，涉及组件庞大，难以有效全面识别。
  （2）供应商系统安全防护能力相对较弱。
  （3）供应商开发人员、服务人员基于交付为主，总体安全意识较低。

2     供 应 链 攻 击 面  梳 理        

2.1 供应链攻击面
供应链攻击面涉及供应商、人员、产品和服务等因素，上述因素相关的可被利用的风险总和可视为供应链攻击面。供应链攻击面的梳理方法：

供应链攻击面梳理有两条主线，

• 供应商的梳理:包括供应商的人员、相关的系统。主要是对供应商及其系统进行风险识别，防范供应商系统失陷造成供应链污染、供应链人员安全意识薄弱被社工的风险、供应商人员有意或无意造成用户敏感数据泄露的风险。
• 供应链的产品、服务梳理:主要发现产品或服务的安全隐患及漏洞。在暴露面识别的基础上，进行持续性的供应链风险监测。

供应链的产品服务与供应商的梳理不是分割的，两条线的暴露面及风险识别可以相互交叉、相互验证。

2.2 供应商相关信息梳理

供应商的识别是基础，供应商的分类一般包括：核心供应商、关键供应商、重要供应商、一般供应商。也可以分为软件开发商、硬件供应商、产品提供商、服务提供商等。供应商信息列表是供应链攻击面管理的基础。

在供应商的基础上，系统以攻击者视角监测供应商的完整攻击面，通过组织名称，可自动化获取供应商列表及其相关的IT资产、移动资产、数据资产、API资产、仿冒资产等，并进行持续监控。

2.3 软硬件产品的供应链梳理

美国总统拜登在2021年5月12日签署了“加强国家网络安全的行政命令”，明确提出要增强美国联邦政府的软件供应链安全，要求向美国联邦政府出售软件的任何企业，不仅要提供软件本身，还必须提供软件物料清单（SBOM），明确该软件的组成成分。

软件供应链是一个复杂的系统, 具有多个环节,站在位于供应链最下游的用户角度, 需要承受来自软件供应链的大量风险。
软件系统生命周期的各个环节都可能存在供应链安全风险：

3     供 应 链 风 险         

供应链风险主要包括：

• 供应链污染的安全风险；

• 供应商软硬件产品的安全隐患或漏洞；

• 供应商造成的用户敏感数据泄露；

• 供应商驻场人员及关键岗位人员被社工风险。

2.1 供应商软硬件产品的安全隐患或漏洞

风险说明：供应商提供的软件、操作系统(OS)或硬件存在漏洞，黑客和网络犯罪分子可以利用第三方应用程序、操作系统和其他软件或固件中的漏洞来渗透网络，进行未授权访问或植入恶意软件。

应对措施：建立供应链产品清单和资产台账，加强对使用的第三方组件和开源组件的识别，加强对供应链产品的安全测试，包括代码安全检测、开源组件安全检测、渗透测试、敏感信息泄露情报检测等。

2.2 供应商造成的用户敏感数据泄露的风险

风险说明：主要指用户的业务数据、内部文件、项目信息、财务数据、核心图纸、软件代码、业务系统配置等等，有可能因为供应商人员的工作习惯（例如将文件上传到某些互联网服务器或者网盘上），也有可能因为供应商开发人员的误操作（例如Github权限设置不当），或者被恶意窃取（例如黑客通过技术手段获得、或者某些未授权人员通过其他违规手段获得）等传播在互联网上，导致内部机密外泄，或者导致黑客利用获取的代码和配置文件获知业务系统漏洞等。

应对措施：以攻击队视角，聚焦于监控互联网/暗网/深网等网络中客户敏感信息泄露的监测，监控范围覆盖互联网的各种信息泄露渠道，包括搜索引擎类、代码托管平台类、漏洞平台类、网盘类、文库类、社交平台类、社工信息类、业务相关类、资产信息类等平台。覆盖暗网上的与组织相关的敏感数据泄露、违法黑产交易、黑产舆情等情报监控，监测范围包括隐匿暗网平台、黑客论坛、勒索团伙站点、匿名社交软件等。

2.3 供应商驻场人员及关键岗位人员被社工风险

风险说明：供应商人员的被社工攻击不容忽视，包括被钓鱼攻击、水坑攻击造成的系统被控或者数据外泄等。另外非法外连、数据外传、私自开放相关服务等违规的行为，也会给系统带来安全风险。

应对措施：加强供应商人员的安全管理要求以及安全意识的培训，甚至展开供应商特定岗位的演练，规避人员被利用的风险。

2.4 供应链污染的安全风险。

风险说明：供应商的自身系统存在漏洞，攻击者会进入到供应商系统中，对供应链进行污染，在开发工具、源代码、安装包下载、升级客户端时、厂商预留后门、物流链等环节上，攻击者进行侵入并植入恶意程序，通过上下游环节实现对用户系统的控制或破坏。

应对措施：威胁情报关联：基于风险DNS、URL、IP 等海量威胁情报数据，实现暴露资产的失陷监控，包括木马后门、隐蔽控制通道等失陷线索。数字风险监测：采用一体化挂马检测技术，高效、准确的识别页面中的恶意代码，可有效发现webshell、挖矿、挂马、后门、暗链等，同时针对系统出现的页面篡改、页面内容异常、特征异常等进行监测和告警。

4    小 结       

为了降低数字供应链的风险，需要基于风险对第三方和供应链进行攻击面梳理和分析，将供应商和第三方的数字资产纳入全面的、基于真实风险的攻击面评估体系中，尽可能地缩小攻击面。

攻击面管理能力介绍的系列文章，可移步本公众号相关文章：
《“攻击面管理”能力之(1)：数字资产暴露面的识别是攻击面管理的基础》
《“攻击面管理”能力之(2)：数字风险监测是攻击面管理的必备能力》

END

watcherlab

做数字经济时代的安全守望者

长按扫码可关注

原文始发于微信公众号（守望者实验室）：“攻击面管理”能力之(3)：“供应链攻击面”是攻击面管理的重要组成