现在，几个月曩昔了，美国政府和私营企业仍在尽力探究进犯的悉数规模，但该工作无疑现已引起了人们对研究人员多年来一向着重的一个问题的广泛重视：软件供应链的安全性。

　　2020年12月，全世界见证了迄今为止最大且最杂乱的网络特务进犯活动之一SolarWinds进犯工作。在这起进犯工作中，进犯者经过向SolarWinds公司开发的盛行网络办理途径的合法软件更新中注入歹意代码，侵略了美国联邦安排及许多企业网络。

　　据悉，FireEye在盯梢一同被命名为“UNC2452”的进犯活动中，发现了SolarWinds Orion软件在2020年3-6月期间发布的版别均遭到供应链进犯的影响。进犯者在这段期间发布的2019.4-2020.2.1版别中植入了歹意的后门运用程序。这些程序运用SolarWinds的数字证书绕过验证，与进犯者的通讯会伪装成Orion Improvement Program(OIP)协议并将成果躲藏在许多合法的插件配置文件中，然后达到躲藏本身的意图。

　　现在，几个月曩昔了，美国政府和私营企业仍在尽力探究进犯的悉数规模，但该工作无疑现已引起了人们对研究人员多年来一向着重的一个问题的广泛重视：软件供应链的安全性。

　　跟着企业安排力争上游地查询自己的体系和数据是否或许遭到SolarWinds侵略的影响，高管、董事会和客户们发现，供应链进犯的要挟规模不只限于这起工作，而且缓解与之相关的危险并非易事。安全领导者和专家们表明，在阅历类似SolarWinds这样的软件供应链进犯工作后，CISO应该重视下述这些最重要的问题。

　　在产生类似SolarWinds的进犯工作之后，企业领导者应该问询IT和网络安全办理者，他们的安排是否直接运用了受影响的软件。假如答案是必定的，那么公司应该当即发动工作呼应方案，以辨认、遏止和消除要挟，并承认对事务的影响程度。

　　假如答案是否定的，也并不意味着该安排便是安全的。后续应该考虑的问题是：咱们的协作伙伴、承包商或供货商是否遭到危害?原因在于：

　　自2017年以来，一家名为“Winnti”(也称Barium或APT4)的我国网络特务安排就曾施行过这种类型的进犯。其时，该安排在Netsarang公司官方发布的服务器办理软件Xshell中植入后门;

　　同年，该安排又设法在盛行的体系优化东西CCleaner中植入歹意代码，并向200多万台计算机供给了歹意更新。

　　在本年2月的白宫新闻发布会上，网络与新式技能副国家安全参谋Anne Neuberger承认了这一要挟，并正告说政府将需求数月的时刻才干承认进犯的悉数规模。她介绍称，

　　Northrop Grumman公司副首席信息安全官(CISO)Mike Raeder以为，董事会需求对此类进犯的技能方面进行更深化地了解。从长远来看，董事会应该归入前CIO或CISO来完结本身多元化。他表明，

　　“保证咱们的董事会了解更广泛的网络危险，这一点至关重要，然后他们才有才干提出更多问题。当然，即使他们不问这些问题，网络领导者也有职责与董事会评论整个安排内的网络危险程度。当然，咱们还需求跳出企业网络来了解危险。当咱们议论软件供应链时，肯定应该问询咱们的软件供货商是否有运用SolarWinds或任何软弱的产品。第三方企业中的危险同样会转移到咱们的安排中。”

　　防护软件供应链进犯的首要问题是，它们乱用了用户和供货商之间的信赖联络，而且乱用了特定软件的合法拜访权和特权来履行其功用。从用户的视点来看，他们下载的软件来自诺言杰出的来历，而且经过正确的发行或更新途径进行了数字签名。用户没有才干对其根底架构中布置的软件更新进行逆向工程或代码剖析，而且一般企业也不是安全厂商，并不存在具有这些技能的职工。

　　企业安排有必要假定，他们或许无法检测到开端的软件供应链侵略。可是，他们能够采纳办法来阻挠和检测进犯的第二阶段，这包含测验下载其他东西和有用负载，测验与外部指令和操控服务器进行通讯以及测验横向移动到其他体系等。

　　Webb表明，企业安排需求重视其安全程序的成熟度。每个安排或许都构建了具有防火墙、侵略检测和防护体系、DNS操控和其他具有创立鸿沟功用的防护办法，可是他们并没有支付许多尽力来强化其内部环境。

　　安排能够检测到横向移动活动(例如妄图乱用办理凭证)，但这一般需求高档监督和行为检测东西以及大型安全运营中心的支撑，而这些关于中小型安排而言都是无法接受的。这些安排能够做的便是保证他们布置了根底安全防护，而且一切体系和内部环境都尽或许地巩固。

　　以Avalon公司为例，其内部网络上的通讯都经过了加密处理，这样，在遭到要挟的情况下，进犯者即使能够阻拦流量也无法从流量中提取凭证或其他有用信息。一切DNS流量都有必要经过防火墙和DNS过滤器，而且答应服务器衔接的一切URL都有必要是白名单中的。这样能够保证假如服务器遭到要挟，那么歹意代码将无法抵达指令和操控服务器，并下载其他歹意东西或履行歹意指令。

　　完结布置后，一切服务器都需求经过强化进程，在此进程中，一切都是被确定和阻挠的，然后依据需求对衔接设置白名单。数据库也是相同。拜访数据库的服务器只能检查其履行工作所需的操作。仅从内部服务器供给更新，而不能直接从Internet供给更新，然后避免遭到感染的服务器翻开外部衔接。用户绝不能运用办理员凭证登录，而且只能运用白名单中的运用程序。最终用户、Windows服务器和Linux服务器别离坐落独自的目录中，这样一来，假如一个目录遭到损坏，也不至于危及整个环境。

　　Webb表明，7年前，咱们开端运用零信赖准则，它实际上是仅依据您信赖的内容以及设备应该具有的功用来办理设备。其他一切一切都是不可信的，都应被阻挠。假如存在企图违背该规矩的工作，就有必要警觉：为什么这个体系企图做我不打当作的工作?

　　实际上，发现并陈述此次SolarWinds进犯的FireEye公司也曾沦为进犯方针，据悉，进犯者将一个二级设备增加到了一名职工的账户中，以绕过多要素身份验证。这种行为被及时检测到并标记为可疑，而该职工随后也接受了讯问。

　　Webb表明，这或许便是问题的答案：坚持零信赖和行为办理。假如某些工作违背了您的零信赖准则，则有必要对其进行查询。

　　一些安排在挑选其软件解决方案或服务时，或许会考虑供货商的缝隙办理实践：他们怎么处理外部缝隙陈述?他们多久发布一次安全更新?他们的安全通讯是什么样的?他们会发布具体的主张吗?他们是否具有旨在削减其软件缝隙数量的安全软件开产生命周期?一些公司或许还会要求供给有关浸透测验和其他安全合规性陈述的信息。

　　可是，关于像SolarWinds这样的进犯，软件开发安排需求逾越这一点，并出资于更好地维护自己的开发根底架构和环境，由于它们正日益沦为进犯者的方针，而且或许经过他们运用的东西和软件组件成为软件供应链进犯的受害者。他们还需求考虑在运用程序设计阶段给用户带来的危险，并经过约束特权和拜访运用程序(只授权履行操作所需的特权和运用程序)，来约束侵略或许带来的影响。

　　Webb表明，咱们的职责将是对供应链施加压力：您有必要加强自己的产品和服务。供货商们应该清楚地知道，有必要测验和审计自己的代码，不是一年一次，而或许是每月一次的频率或是在进行任何布置之前。事务领导者需求敦促IT领导者，以保证他们只与诺言杰出的供货商，以及现已采纳下一步办法来维护安排正在运用的代码的人员进行协作。

　　凤凰城大学信息安全副总裁Larry Schwarberg表明，关于许多安排而言，朝这个方向迈出的第一步将是承认其一切软件和SaaS供货商，并为新运用程序和服务明承认义启用流程。许多安排存在“影子IT”问题，即不同的团队在未经安全团队检查和同意的情况下自行购买和布置硬件及软件财物。这无疑加重了确定运用程序以及强制履行最小特权拜访的难度。

　　Schwarberg弥补道，跟着跟着合同和订阅续订的纷涌而至，安排应向其软件和服务供给商问询有关浸透测验，以及怎么测验其软件并约束潜在影响等更深层次的问题

　　从供应链安全的视点对软件供货商进行全面评价并不简单，而且需求许多公司或许并不具有的资源和专业知识，可是，审计安排或许会运用此工作作为催化剂，并环绕此工作树立更多的功用。

　　迄今为止，许多备受瞩意图软件供应链进犯(包含SolarWinds进犯和ShadowPad进犯)都归因于与政府有可疑联络的APT安排。依据大西洋理事会(Atlantic Council)对曩昔10年中发表的115种软件供应链进犯和缝隙的剖析成果发现，其间至少27种是民族国家资助的。可是，施行软件供应链进犯所需的技能和资源并不只限于传统的网络特务安排。

　　多年来，各种进犯都触及后门开源组件或后门版别的合法运用程序，这些后门版别由受感染的下载服务器供给服务，而这些服务器很或许是网络违法分子出于经济动机建议的。乃至还存在一个与勒索软件有关的事例。

　　在曩昔几年中，许多勒索软件团伙选用了曩昔仅在APT安排中才干看到的杂乱技能，包含内存中进程注入，深度侦查，运用体系办理东西进行的手动黑客侵略和横向移动，无文件歹意软件等等。一些勒索软件团伙还针对办理服务供给商(managed service providers，简称“MSP”)进行了进犯，这些进犯在概念上与软件供应链进犯类似：针对能够凭仗事务联络对其他公司进行特权拜访的安排。

　　现在，越来越多的网络雇佣军集体在地下网络违法商场向政府和私家实体出售黑客服务。跟着越来越多的安排开端选用这种进犯前言，一切安排(不管巨细或是从事的职业)都或许经过软件供应链侵略而成为APT式进犯的受害者。