供应链威胁多年来一直在增长。这简直就是一门好犯罪生意。针对供应商的一次成功可能会导致针对供应商下游客户的多次机会。为了让攻击者更容易，让下游防御者更难，供应商通常比大客户规模更小，防御也更差。这是通向多个金库的一扇门。

这种威胁将继续增长。

政府正在做出回应，这项工作由美国 CISA 牵头，包括 SBOM、设计安全计划和 CISA OSS 安全路线图。从 2024 年开始，这场混战可能会持续数年，只有一方遵守规则。

战场

供应链的复杂性

企业依靠第三方提供现成的解决方案。这比开发自己的解决方案更快、更经济。该第三方可能是原始开发人员，也可能只是链条中的另一个环节——例如 SaaS 或 MSS 提供商。这些环节将有自己的供应链。

WithSecure 高级安全研究员 Neeraj Singh 表示：“供应链内的互连带来了一层复杂性，增加了攻击者利用未被发现的漏洞的可能性。”

“全球供应链的复杂性和互联性日益增加，以及数字生态系统攻击面的迅速扩大和更多潜在漏洞，为攻击者瞄准这一目标提供了更大的动力。成功的攻击可以带来巨大的财务或信息收益。”TCS 网络安全业务集团战略计划全球主管 KPS Sandhu 补充道。

Panorays 首席技术官兼联合创始人 Demi Ben-Ari 继续说道：“全球扩张、多元化采购和复杂的物流导致供应链格局更加复杂。网络对手将战略性地瞄准互联供应网络中的漏洞，寻求利用薄弱环节并获得未经授权的访问。”

Singh 使用 2023 年 3 月发现但开始时间更早的 3CX 妥协作为例子，说明精英攻击者（在本例中为 Lazarus）如何隐藏在这种复杂性中。“ 3CX 攻击损害了流行的 VoIP 软件提供商并感染了其客户，就是这样的一个例子。攻击者利用 3CX Web 服务器中的漏洞并将恶意代码插入到软件更新中。”

他继续说道，“供应链内的互连引入了一层复杂性，增加了攻击者利用未被发现的漏洞的可能性 - 正如 3CX 供应链攻击中所见，这是一次软件供应链攻击，导致另一个软件供应链攻击攻击。”

供应商整合

正在进行的第三方整合流程背后有两个驱动因素：业务效率和限制供应链风险的尝试。为了提高效率，Synopsys 软件完整性集团总经理 Jason Schmitt 解释说：“团队不再有时间或预算来管理多个供应商和集成工程项目，并且仍然集中足够的资源来修复安全问题。因此，对具有人工智能驱动智能和整合软件产品组合的集成 SaaS 平台的需求肯定会上升。”

从理论上讲，这降低了单个供应商面临的第三方软件风险——限制了供应链风险——但实际上，它可能只是将威胁隐藏得更隐蔽。单一供应商仍将拥有自己的供应链，但不太明显。

Semperis 英国和爱尔兰副总裁 Dan Lattimer 警告称，这种整合会产生进一步的影响。“组织可能会整合供应商，不仅是为了降低供应链中的风险，也是为了提高运营效率并减少总体支出。除了外包给更少的公司外，企业还将更深入地关注供应商的财务稳定性。结果，我们可能会看到更多软件公司破产。”

整合的不利一面是，它仅仅隐藏了供应链风险，同时使其变得更加复杂，为攻击者提供了越来越有吸引力的目标焦点。

Expel 的首席信息安全官 Greg Notch 将其描述为合并中的“隐性税”。“问题在于，这些举措存在隐性税收，而这种税收现在以未解决的供应链风险的形式出现，导致他们无法摆脱资产负债表。”

威胁

供应链威胁可以广义地描述为针对软件和硬件供应链的犯罪和民族国家攻击者。犯罪分子利用供应链通过勒索软件同时攻击多个目标。民族国家普遍对广泛的间谍活动感兴趣。但犯罪分子与一些民族国家行为者之间的松散关系也可能导致勒索和破坏的双重目的。

2023 年 11 月针对澳大利亚DP World的攻击可能就是最后一个例子。通过攻击一家提供商，多个港口受到严重影响，影响了澳大利亚高达 40% 的货运贸易。有人暗示或否认这是一次勒索软件攻击，并暗示它可能涉及俄罗斯等国家（在这两种情况下，很难区分国家行为者和犯罪行为者）。当然，个人数据也被盗，这是现在典型的勒索软件攻击，而且由于 AUKUS （澳大利亚、英国和美国）条约，澳大利亚当然成为俄罗斯等国家的地缘政治目标。

现阶段，很难知道是谁攻击了迪拜环球港务集团，也很难知道他们为何这样做。

犯罪团伙

Illumio 高级系统工程师 Michael Adjei 警告说：“勒索软件团伙知道大多数公司的供应链都非常脆弱，他们正在努力构建最终的有效负载，以尽快破坏尽可能多的系统。” “到 2024 年，我们将看到针对软件供应链的攻击大幅增加。”

他引用了Cl0p 勒索软件组织的MOVEit 2023 漏洞作为预期的例子。据估计，超过 1000 名 MOVEit 客户随后受到影响，约 6000 万人的 PII 被盗。有人认为 Cl0p“赚取”了超过 1 亿美元——所有这些都来自于一家供应商最初的零日漏洞。

民族国家

民族国家长期以来对供应链攻击感兴趣，主要有两个原因：广泛间谍活动和知识产权盗窃的可能性，以及在关键行业中定位自己以造成大规模破坏和/或在地缘政治极端情况下提供影响力的能力。然而，与犯罪黑客不同的是，精英政府黑客更喜欢他们的活动处于监视之下。并且公共领域中已知的实例较少。

SolarWinds攻击就是一个例子。无可辩驳的归属是不可能的，但很可能——而且美国政府认为——这是由俄罗斯对外情报局（SVR）进行的。主要下游目标表明间谍活动是主要动机。SolarWinds 表示，多达 18,000 家公司可能受到损害，但已知只有大约 100 家公司受到了主动攻击。其中，涉及的主要垂直行业是政府机构、CNI 提供商和技术公司，即对敌对国家具有战略利益的公司。

勒索软件似乎并不是诱因，尽管一些 SolarWinds 客户随后遭受了勒索软件攻击，但这可能是来自其他攻击者而不是最初的攻击者。

朝鲜与其他敌对国家截然不同。它将勒索软件和金融盗窃与间谍活动混合在一起，并在这两个领域使用供应链攻击。最近的一次攻击是针对台湾软件提供商CyberLink的。据了解，被认为是此次攻击幕后黑手的朝鲜行为者窃取敏感数据，从初始攻击点向下游移动，并传播恶意软件以建立持久访问。我们可能会在 2024 年看到讯连科技违规事件的进一步后果。

几乎可以肯定的是，到 2024 年，民族国家针对供应链的活动将会增加。随着全球地缘政治状况的恶化，激励因素也会增加。然而，最大的危险是，在我们对此一无所知的情况下，它就会发生。

硬件供应链

针对硬件供应链的潜在攻击不应被忽视。已知实例的数量少于软件供应链攻击，但在硬件制造级别引入的成功妥协可能很难检测到，并且在成功使用时会造成灾难性的后果。这种威胁足以让 CISA 于 2023 年 9 月发布供应链风险管理硬件物料清单 ( HBOM ) 框架。

预计，在未来几年里，破坏硬件供应链的尝试将会继续存在。

软件供应链和OSS

大多数供应链攻击都集中在软件供应链上。这种情况将会持续下去，并且可能会变得更糟。Netskope 威胁实验室威胁研究员 Dagmawi Mulugeta 警告说：“到 2024 年，软件供应链将继续成为高级威胁参与者的高价值目标。” “近年来，针对所有四个组件（源、构建、依赖项和部署）的攻击急剧升级。这种情况将持续到明年，我们将在源头阶段看到更多创造性的利用，攻击范围从注入后门到彻底窃取专有算法以及介于两者之间的一切。”

Checkmarx 安全研究副总裁 Erez Yalon 对此表示同意。“确保软件供应链的安全是一个广泛的问题和挑战——涵盖了一系列弱点和安全漏洞。为了利用这些漏洞，攻击者会找到新的攻击面，并利用它们进行更复杂的利用，”他警告说。

主要弱点之一仍然是开源软件（OSS）。它对攻击者很有吸引力，因为它被每个人使用并且无处不在——log4j 事件证明了它的影响范围。

Digital.ai 应用程序安全总经理 Greg Ellis 评论道：“随着我们不断看到越来越多的‘公民开发者’，开源软件将成为供应链攻击的一个日益重要的因素。人工智能将使公民开发人员更容易生成代码，在许多情况下，这些代码将发布到开源存储库中。因此，不仅会出现更大的无意漏洞的可能性，而且我们还将看到利用人工智能生成和返回针对 OSS 和供应链的针对性攻击的速度加快。”

人工智能在网络安全领域几乎无处不在，而 2024 年很可能是人工智能炒作变成现实的一年——通常以我们尚不理解的方式。但正如它会被用于进攻一样，它也会被用于防守。“我希望看到更多的公司和团队使用人工智能来评估开源软件包的风险，”GitLab 的 CISO Josh Lemos 表示。仅仅因为威胁的程度和复杂性，这是必要的。据估计，世界上 90% 的软件都是用开源代码构建的。

他表示：“预计 2024 年针对不受监管的开源生态系统的攻击将会加速。我们已经看到攻击者如何学会使用恶意 Python 包植入开源存储库，这些包的名称与流行的合法包非常相似。鉴于软件开发人员对这些软件包的依赖，在可预见的未来，这种攻击可能会持续存在，并导致严重的漏洞。”

然而，这并不一定都是厄运和悲观。Sandhu 认为 OSS 的一些特征可以用来防止滥用，同时还有一些可以被利用的特征。“OSS 在供应链攻击中的作用具有双重性，OSS是企业供应链的重要组成部分。OSS 的普遍性和开放性使其成为潜在目标，但 OSS 的透明性和协作性可以导致更快地识别和修补漏洞。”

Jfrog 联合创始人兼首席技术官 Yoav Landman 对此持乐观态度。“到 2024 年，软件供应链的未来将比我们几个月前的预期更加光明，并且联邦政策的最新进展也为它提供了同样重要的支持。例如，CISA 的开源安全路线图已推动市场在来年应对软件安全威胁方面处于有利地位。”

CISA 的路线图于 2023 年 9 月发布，描述了该机构将如何从 2024 年到 2026 年支持 OSS 网络安全。它表示，“该路线图阐述了 CISA 将如何帮助实现 OSS 内部和外部的安全使用和开发”联邦政府……该路线图以四个关键目标为中心：1) 确立 CISA 在支持 OSS 安全方面的作用，2) 了解关键开源依赖项的普遍性，3) 降低联邦政府面临的风险，以及 4) 强化更广泛的 OSS生态系统。”

目标 4 的一个关键组成部分是 SBOM。在承认 SBOM 范围更广泛的同时，路线图指出，对于 SSO，“CISA 还将关注在开源生态系统中自动生成依赖项数据的要求、挑战和机遇。”

SBOM

软件物料清单 (SBOM) 是国家网络安全战略的关键组成部分，在将责任转移给生产商、鼓励设计安全以及降低软件供应链风险方面发挥着作用。虽然它与所有软件相关，但在软件供应链的 OSS 部分同样有价值和困难。到目前为止，它的目标尚未被证明非常成功。

Cybersixgill 全球销售工程总监 Brad Liggett 的评论可以概括人们的担忧：“不幸的是，SBOM 的梦想似乎仍然没有改善，类似于之前推动的 CMDB 和其他资产管理平台。公司因不优先考虑这些问题而臭名昭著，如果没有真正的法规或要求来执行它们，我预计这种情况不会很快改变。”

Sandhu 给出了“是的，但是……”的回答。是的，“SBOM 提供了软件供应链中每个人正在使用的所有组件的透明度。SBOM 为生产商提供了优势，例如确保组件是最新的、帮助识别和跟踪软件组件和漏洞，以及允许快速响应新漏洞。” 但是，“它们的有效性取决于广泛采用以及组织根据 SBOM 提供的信息采取行动的能力。如果没有正确的实施和使用，SBOM 本身并不是灵丹妙药。”

然而，对未来的希望正在上升。“幸运的是，SBOM 得到了越来越广泛的认可，而且部署得越多，企业对供应链攻击的反应就越好，”兰德曼说。“当检测到漏洞时，它可以加快反应时间，并使企业能够有选择地加强脆弱区域周围的网络安全措施。”

埃利斯对 SBOM 的未来及其降低软件供应链风险的潜力也更加乐观。“SBOM 将更加有效，因为越来越多的组织实际上在整个软件供应链中交换 SBOM，并停止生成仅存档为发布工件的 SBOM 的做法。”

我们预计从 2024 年开始，SBOM 将得到更多使用、坚持并带来潜在好处，并希望此后有所增加。

概括

与此同时，“第三方供应攻击在好转之前会变得更糟，”Outpost24 威胁英特尔主管 Victor Acin 评论道。

从攻击者的角度来看，驱动程序仍在增加。市场的复杂性和第三方的使用（尤其是软件）正在扩大。刑事专业化程度不断提高，地缘政治紧张局势使全球执法合作变得更加困难。同样的紧张局势增加了民族国家参与的可能性，希望更多的是为了间谍活动和国家经济利益，而不是为了破坏 CNI。无论攻击者的动机如何，供应链都是多个同时受害者的单点故障。

对于捍卫者来说，希望通过政府举措为供应链注入秩序和透明度。CISA 的 SBOM 就是一个很好的例子。问题在于，此类举措需要时间，尽管 2024 年会有大量 SBOM 活动，但今年几乎没有什么好处。

原文链接：https://www.securityweek.com/cyber-insights-2024-supply-chain/

原文始发于微信公众号（祺印说信安）：2024 年网络安全洞察：供应链安全