聪明的攻击者永远在寻找攻防不对称

这一篇文章为什么聊这个话题，因为又到了一年一度的大型攻防演练的季节，最近和朋友们聊的最多的话题当然也就是关于攻防演练的相关内容，可能因为我现在做软件供应链安全方向的原因，来自红队和防守方的朋友们都在不约而同的跟我聊软件供应链的话题，似乎大家有一个共识，那就是攻防演练搞了这么多年，现在大概率只能靠搞软件供应链才能拿下目标，而聪明的防守方们也开始把目光重点投在防软件供应链攻击。

前面其实已经说了结论了，聪明的攻击者永远都在寻找防守方最薄弱的环节，这个薄弱环节不是侥幸于防守方的疏忽，而是防守方的防守成本远远大于攻击成本的地方，而对于软件供应链的防守成本就是远大于攻击成本的地方。

为什么会得出这个结论？以下三个原因显而易见：

• 目标企业对于软件供应链的防御难度远大于企业自身系统

• 目标企业的软件供应链供应商的安全防护能力及重视度明显低于目标企业自身

• 往往越大型的目标企业软件供应链复杂度越高，自然易攻难守

综上三点，聪明的红队只要投入足够的资源对目标企业的软件供应链发起攻击，那么对于防守方来说是十分被动的。

对于攻击者来说，只需要投入资源做几件事：

• 收集目标企业正在使用的足够多软件供应链信息：开源组件、开源软件、商业软件、办公软件

• 准备好跟这些软件供应链相关的0day/Nday漏洞

• 针对性的对这些软件供应链供应商进行渗透，通过投毒、网络互通等打入目标企业

投入足够多的资源做好以上三件事情就可以，而且甚至你会发现这些资源是可以复用的，因为大部分的目标企业所使用的软件供应链供应商可能是相同的一批的，当然，考虑到应有广泛的软件供应链对安全的防护投入相对较大，可以选择每个行业一些有行业特色的软件供应链作为攻击目标，似乎性价比更高。

客观的说，当前作为防守方似乎没有太多优势可言，因为现状就是大多数企业对软件供应链的管理的投入是不够的，同时没有形成成熟的体系。这是非常致命的，因为攻击者要攻破你只需要一个点打透就行，而防守方必须要体系化的建设，才能整体提升防守水位。

当然所有的问题都有它的解法，如果需要投入资源去提升软件供应链的抗攻击能力，防守方的优势就是自己的软件供应链始终是对自己最透明的（前提是所有的软件供应链需要纳入管理范围），所以我认为有几件事是非常关键的：

• 建立对所有软件供应链资产台账的透明管理

• 根据涉及业务、数据的重要性对软件供应链进行分级管理

• 建立软件供应链的全生命周期变化的动态追踪（准入准出管理）

• 建立完备的软件供应链的应急响应机制

随着攻防演练的持续和技术不断发展，过去被认为攻击和防御成本更高的一些场景会逐步成为主流的战场，而软件供应链的攻击对于攻击者来说也许攻击成本是更高，但是对于防守者来说同样如此，甚至防守者的成本要成倍高于攻击者，所以随着攻防演练的持续推进，聪明的防守者会更早布局于此，而往往被攻破的就是落后的那一方。

我创建了一个面向企业的软件供应链安全建设的交流群，感兴趣的可以加我一起探讨前沿的攻防之道