從棱鏡計(jì)劃到維基解密、勒索軟件事件,再到2020年底的SolarWinds事件,網(wǎng)絡(luò)空間重磅事件近年來層出不窮。尤其是SolarWinds 事件,爆發(fā)之迅猛,波及面之大,社會(huì)影響之深,潛在威脅之嚴(yán)重,令世界為之震驚,堪稱過去近十年來最重大的網(wǎng)絡(luò)安全事件。其背后隱現(xiàn)了俄羅斯情報(bào)機(jī)構(gòu)這樣國家機(jī)構(gòu)的“影子”,被黑客植入木馬的SolarWinds Orion軟件被國家行為體利用后所造成的危害,已大大突破了當(dāng)今頂級(jí)安全公司及政府機(jī)構(gòu)所具有的防御能力。更重要的是,這起重大事件揭開了軟件供應(yīng)鏈存在的問題及隱患,折射出軟件供應(yīng)鏈攻擊難發(fā)現(xiàn)、難溯源、難清除、低成本、高效率的特點(diǎn);同時(shí)也真實(shí)反映了網(wǎng)絡(luò)空間技術(shù)和力量較量無處不在,美國或?qū)⒄{(diào)整其網(wǎng)空防御與進(jìn)攻舉措,全球網(wǎng)絡(luò)空間攻防態(tài)勢(shì)或面臨重塑,大國間的地緣政治博弈也將加劇。
一
“SolarWinds”事件基本情況
2020年12月8日,美國頂級(jí)安全公司火眼(FireEye)爆出,黑客通過木馬化的SolarWinds Orion軟件入侵了公司網(wǎng)絡(luò)。12月14日,美國聯(lián)邦調(diào)查局(FBI)、國家情報(bào)局局長辦公室(ODNI)與美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)聯(lián)合發(fā)布聲明,首次正式確認(rèn)被黑客植入木馬的SolarWinds造成多個(gè)美國聯(lián)邦政府機(jī)構(gòu)的網(wǎng)絡(luò)遭受入侵。黑客對(duì)文件的源碼進(jìn)行篡改添加了后門代碼,該文件具有合法數(shù)字簽名伴隨軟件更新下發(fā)。通過該渠道,高級(jí)持續(xù)攻擊(APT)黑客組織可直接攻擊目標(biāo)機(jī)構(gòu)的網(wǎng)絡(luò)管理員,獲得網(wǎng)絡(luò)設(shè)備賬號(hào)及管理權(quán)限、IT基礎(chǔ)設(shè)施及管理權(quán)限,以及業(yè)務(wù)系統(tǒng)與數(shù)據(jù)庫的最高權(quán)限,從而可暢通無阻地訪問內(nèi)部網(wǎng)絡(luò),具備長期的匿名網(wǎng)絡(luò)接入能力,以及越過內(nèi)部安全等級(jí)防護(hù)的權(quán)限,從而達(dá)到長期控制目標(biāo)、竊取核心數(shù)據(jù)的目的。
事態(tài)仍在不斷發(fā)酵,截止12月16日,已確認(rèn)受害的重要機(jī)構(gòu)至少200家,波及北美、歐洲等全球重要科技發(fā)達(dá)地區(qū)的敏感機(jī)構(gòu),其中美國占比超過60%。綜合多家媒體報(bào)道顯示,受此事件影響的美國政府機(jī)構(gòu)包括美國國務(wù)院、國防部、財(cái)政部、國土安全部、能源部國家核安全局、美國國家電信和信息管理局、美國國立衛(wèi)生研究院等。針對(duì)該事件的風(fēng)險(xiǎn),CISA以“超出了容忍極限”的罕見字眼在官方通報(bào)中予以通告,并發(fā)布緊急指令21-01,呼吁所有聯(lián)邦運(yùn)行SolarWinds產(chǎn)品的機(jī)構(gòu)立即斷開或關(guān)閉SolarWinds Orion的電源。
為盡快全面調(diào)查該事件,12月14日美國成立了由FBI、CISA和ODNI組成的網(wǎng)絡(luò)統(tǒng)一協(xié)調(diào)小組(UCG),并由美國家安全局(NSA)協(xié)助和采取補(bǔ)救措施。調(diào)查目前集中在四個(gè)關(guān)鍵方面:確定受害者,收集證據(jù),分析證據(jù)以確定進(jìn)一步的歸因,并與政府和私營部門合作伙伴共享結(jié)果以告知行動(dòng)。隨著調(diào)查的不斷深入,UCG發(fā)現(xiàn)多達(dá)250個(gè)組織繼續(xù)遭受了第二階段攻擊,攻擊者投擲了名為Teardrop的惡意軟件,可竊取數(shù)據(jù),安裝其他惡意軟件和后門程序,并幫助黑客到達(dá)其他系統(tǒng)。據(jù)美國司法部披露,黑客已向其內(nèi)部郵件系統(tǒng)滲透,受影響人數(shù)多達(dá)司法部員工郵件賬戶總數(shù)的三分之一,其第二階段重大受害機(jī)構(gòu)之一。大多數(shù)運(yùn)行后門軟件的Orion客戶(可能多達(dá)18,000個(gè)組織)有可能只進(jìn)入第一階段,后續(xù)攻擊階段的高價(jià)值目標(biāo)仍有待進(jìn)一步調(diào)查。
因此,可以判斷,此次軟件供應(yīng)鏈攻擊具有極大的戰(zhàn)略意圖,意在長期控制某些重要目標(biāo),或旨在獲取足以長期活動(dòng)的憑據(jù)。目前,事件仍在持續(xù)發(fā)酵,未來如何發(fā)展仍有待觀察。
二
“SolarWinds”事件特點(diǎn)分析
(一)極高的技術(shù)水平和隱蔽性
隱蔽處于絕對(duì)首位是其攻擊思想,在入口選擇上,攻擊者選擇源代碼階段,且選擇代碼倉庫為發(fā)起感染的位置,并選擇非常深層次的調(diào)用堆棧,以降低代碼重構(gòu)期被發(fā)現(xiàn)的可能性,甚至有研究機(jī)構(gòu)發(fā)現(xiàn)此后門實(shí)質(zhì)上僅僅是一個(gè)高隱蔽性探針,后續(xù)攻擊一定會(huì)更換后滲透的攻擊套件進(jìn)行下一階段行動(dòng)。其設(shè)計(jì)思路隱蔽巧妙,顯示出了非常老練的后門功底。在上線選擇上,寧可放棄大量的上線機(jī)會(huì)也不愿在某個(gè)非安全環(huán)境上線,謹(jǐn)小慎微的做法和常規(guī)行動(dòng)者情況完全相反。在編碼上,高度仿照了SolarWinds的編碼方式與命名規(guī)范和類名等,非常工整,其高超的代碼仿冒能力成功繞過了SolarWinds公司復(fù)雜的測試、交叉審核、校驗(yàn)等多個(gè)環(huán)節(jié),在技術(shù)和思維上已大大超過常規(guī)行動(dòng)體。因此,不難理解為何火眼作為頂級(jí)安全公司,在網(wǎng)絡(luò)威脅檢測、郵件威脅檢測、終端威脅檢測等領(lǐng)域具備世界一流水平,但是攻擊者能夠利用前所未有、令人耳目一新的技術(shù)組合以及多種應(yīng)對(duì)安全工具和取證檢查的方法,滲透進(jìn)入火眼公司內(nèi)網(wǎng),盜取其紅隊(duì)測試工具網(wǎng)絡(luò)武器庫。致使火眼首席執(zhí)行官凱文?曼迪亞對(duì)此次事件所展示的攻擊能力甚至用火眼25年所遭遇的頂級(jí)攻擊來形容。
(二)極強(qiáng)的耐心和高精準(zhǔn)性
黑客早在2019年10月已控制了代碼倉庫,由此逆推SolarWinds公司被控制的時(shí)間可能在2019年初甚至更早。此階段據(jù)推測意在驗(yàn)證攻擊手法是否能成功,并據(jù)此推斷后續(xù)行動(dòng)所需時(shí)間。2020年3月引入了第一個(gè)惡意SolarWinds Orion版本,隨后進(jìn)入行動(dòng)籌備和實(shí)施階段,但時(shí)隔9個(gè)月后才被發(fā)現(xiàn)。也就是說,攻擊者在2019年10月進(jìn)行“預(yù)演”來進(jìn)行技術(shù)測試,然后在2020年3月開始實(shí)際攻擊。這些數(shù)據(jù)一方面再次印證了其高隱蔽性,同時(shí)也揭示了攻擊組織花費(fèi)長時(shí)間用以收集被感染目標(biāo)相關(guān)信息,根據(jù)回傳信息進(jìn)行目標(biāo)精準(zhǔn)辨識(shí),再根據(jù)既定作戰(zhàn)任務(wù)進(jìn)行目標(biāo)篩選、研判并做出具體指令,是終止、等待或是持續(xù)滲透。潛伏時(shí)間之長,充分說明了攻擊者意在精準(zhǔn)篩選,僅對(duì)特定目標(biāo)實(shí)施后續(xù)攻擊,體現(xiàn)其攻擊的高精度性。正如微軟總裁布拉德·史密斯所表示的:“這是一次非常復(fù)雜、非常有耐心、堅(jiān)持不懈的攻擊。”SolarWinds在其安全警報(bào)中明確指出:這種攻擊是一種極有針對(duì)性的、手動(dòng)執(zhí)行的攻擊,而不是廣泛的、系統(tǒng)范圍的攻擊。據(jù)最新調(diào)查發(fā)現(xiàn),黑客已使用名為Teardrop的第二階段惡意軟件控制本地網(wǎng)絡(luò),再以此為支點(diǎn)入侵受害目標(biāo),收集大量第一手情報(bào)。因此,此類攻擊通常會(huì)從破壞最小到危害最大的多個(gè)階段展開,最終實(shí)現(xiàn)最有價(jià)值目標(biāo)的徹底突破,竊取大量數(shù)據(jù)。
(三)難度極大的細(xì)節(jié)挖掘和清除工作
隨著SolarWinds事件更多信息的浮出水面,美國CISA調(diào)查發(fā)現(xiàn)此次黑客攻擊行動(dòng)很有可能利用了其他戰(zhàn)術(shù)、技術(shù)和程序(TTP),攻擊者不僅限于將后門偷偷潛入代碼中,而且能夠與被感染系統(tǒng)進(jìn)行通信而不會(huì)被發(fā)現(xiàn)。攻擊者可以完全不受限制地訪問SolarWinds軟件和分發(fā)機(jī)制。這些策略、技術(shù)和程序尚未被發(fā)現(xiàn),很難從受感染網(wǎng)絡(luò)中刪除,不但高度復(fù)雜而且極有挑戰(zhàn)性。美CISA新負(fù)責(zé)人布蘭登?威爾斯稱“該事件是CISA在網(wǎng)絡(luò)領(lǐng)域面臨的最復(fù)雜和最具挑戰(zhàn)性的活動(dòng)之一。”據(jù)CISA最新調(diào)查發(fā)現(xiàn),黑客無需SolarWinds即可闖入網(wǎng)絡(luò),正在利用SolarWinds Orion漏洞之外的方法破壞聯(lián)邦網(wǎng)絡(luò)。CISA發(fā)現(xiàn)黑客可能已經(jīng)使用密碼猜測和密碼噴射技術(shù)來獲取其他管理權(quán)限,可偽造身份驗(yàn)證令牌,獲得對(duì)其他云資源和環(huán)境的訪問權(quán)限。
因此,此次經(jīng)過精心策劃的、復(fù)雜的大規(guī)模軟件供應(yīng)鏈入侵不但調(diào)查取證歷時(shí)比較久,而且揭露攻擊活動(dòng)的全部細(xì)節(jié)及清除工作是一項(xiàng)艱巨的任務(wù)。到目前為止,還沒有全面了解該攻擊可能造成的損害以及它是否仍然存在。
(四)國家背景黑客組織幕后所為
通過分析該事件的各種蛛絲馬跡,可以發(fā)現(xiàn)至少經(jīng)過專業(yè)黑客組織兩年的踩點(diǎn)與滲透,由基礎(chǔ)建設(shè)團(tuán)隊(duì)提供鏈路與武器,由分析團(tuán)隊(duì)進(jìn)行目標(biāo)確認(rèn),由后滲透團(tuán)隊(duì)實(shí)行深入控制,通過供應(yīng)鏈打擊的實(shí)質(zhì)形式,有組織、有目的、成建制的進(jìn)行網(wǎng)絡(luò)攻擊。此外,能將非常復(fù)雜的定制化后門作為一次性探針使用,這么高的開發(fā)和攻擊成本對(duì)于小團(tuán)隊(duì)是完全不現(xiàn)實(shí)的。并且通過IP這種難以精確控制的資源作為控制載體也能體現(xiàn)出攻擊者本身維護(hù)了一個(gè)龐大的基礎(chǔ)設(shè)施網(wǎng)絡(luò)資源庫,同時(shí)也體現(xiàn)出較為雄厚的經(jīng)濟(jì)實(shí)力。因此,從攻擊者的行為和使用的技術(shù),以及足夠的基礎(chǔ)設(shè)施支撐來看,其攻擊水平與技術(shù)成熟度無疑是國家背景的黑客組織。2021年1月,白宮網(wǎng)絡(luò)統(tǒng)一協(xié)調(diào)小組(UCG)也首次明確披露俄羅斯情報(bào)部門是此次事件的幕后黑手,并為此付出了極高的成本。
三
軟件供應(yīng)鏈已成為黑客攻擊的重要突破口
由上述對(duì)該事件的深度解析可以清晰看出,軟件供應(yīng)鏈攻擊作為一種新型威脅,具有威脅對(duì)象多、極端隱蔽、檢測難度大、涉及維度廣等特點(diǎn),已成為國家級(jí)攻擊行為的重要選項(xiàng),在未來一段時(shí)間內(nèi)軟件供應(yīng)鏈攻擊將是最難防范的威脅之一,而且攻擊數(shù)量還會(huì)增加。那么,為何軟件供應(yīng)鏈悄然成為了黑客實(shí)施攻擊的最佳切入點(diǎn),原因分析如下:
(一)軟件供應(yīng)鏈攻擊造成的影響深遠(yuǎn)
軟件供應(yīng)鏈攻擊具有極大的傳播性,如在上游開發(fā)環(huán)節(jié)發(fā)生的攻擊,一旦成功,便會(huì)波及整個(gè)軟件供應(yīng)鏈的中下游,對(duì)大量的軟件供應(yīng)商和最終用戶,包括政府機(jī)構(gòu)、組織、企業(yè)等帶來巨大風(fēng)險(xiǎn)和損失。尤其是當(dāng)上升為國家行為后,國家級(jí)攻擊組織利用軟件供應(yīng)鏈攻擊可取得極大攻擊效果。例如,2012年的震網(wǎng)病毒對(duì)伊朗核設(shè)施的破壞。2017年NotPetya攻擊和Equifax數(shù)據(jù)泄露影響了數(shù)百萬用戶。同年,勒索軟件變種Petya攻擊烏克蘭,使得烏克蘭首都機(jī)場、國家儲(chǔ)蓄銀行遭遇重大損失。而此次爆發(fā)的SolarWinds事件直接將國家級(jí)網(wǎng)絡(luò)攻擊的關(guān)注推至新高,無論從規(guī)模、影響力和潛在威脅性來看,都堪稱過去十年最重大的網(wǎng)絡(luò)安全事件。這些事件一方面展示了軟件供應(yīng)鏈攻擊可危害敵對(duì)國的大型機(jī)構(gòu)、基礎(chǔ)設(shè)施以及大型企業(yè);另一方面也展示了軟件供應(yīng)鏈攻擊的巨大潛在規(guī)模,及其對(duì)國家級(jí)攻擊者的戰(zhàn)略價(jià)值。因此,軟件供應(yīng)鏈攻擊近年來備受黑客青睞。
(二)軟件供應(yīng)鏈的攻擊面多
軟件供應(yīng)鏈?zhǔn)且粋€(gè)通過一級(jí)或多級(jí)軟件設(shè)計(jì)、開發(fā)階段編寫軟件, 并通過軟件交付渠道將軟件從軟件供應(yīng)商送往軟件用戶的系統(tǒng)。從軟件生命周期的視角可以將軟件供應(yīng)鏈簡單抽象為軟件設(shè)計(jì)、代碼編寫到生成軟件的開發(fā)環(huán)節(jié),軟件分發(fā)和用戶下載的交付環(huán)節(jié),直至交付到用戶的使用環(huán)節(jié),三大環(huán)節(jié)環(huán)環(huán)相扣構(gòu)成其鏈狀結(jié)構(gòu)。這種鏈狀結(jié)構(gòu)中每個(gè)環(huán)節(jié)都面臨著安全風(fēng)險(xiǎn),致使攻擊面多,易暴露脆弱性。同時(shí),相比于傳統(tǒng)的針對(duì)軟件漏洞的攻擊,軟件供應(yīng)鏈攻擊從軟件本身擴(kuò)展為軟件以及內(nèi)部的所有代碼、模塊和服務(wù),以及與這些模塊相關(guān)的供應(yīng)鏈上游供應(yīng)商的編碼過程、開發(fā)工具和設(shè)備,不但大大增加了攻擊途徑,而且還顯著降低了攻擊難度。
(三)軟件供應(yīng)鏈的攻擊手法多樣
軟件供應(yīng)鏈攻擊呈現(xiàn)多樣化特點(diǎn),從近年來發(fā)生的多起典型軟件供應(yīng)鏈攻擊事件可見一斑,例如,2015年的XcodeGhost開發(fā)工具污染事件,2017年的CCleaner惡意代碼植入事件,以及WireX Android 僵尸網(wǎng)絡(luò)和NotPetya 勒索病毒事件,采用了不同攻擊手段。軟件供應(yīng)鏈的鏈狀結(jié)構(gòu)特點(diǎn)使其每個(gè)環(huán)節(jié)面臨不同的安全風(fēng)險(xiǎn),自然衍生出不同的攻擊手法,例如,針對(duì)開發(fā)環(huán)節(jié)的源代碼和開發(fā)工具污染,針對(duì)交付環(huán)節(jié)的下載網(wǎng)站和軟件更新網(wǎng)站攻擊,針對(duì)使用環(huán)節(jié)的升級(jí)更新劫持等。攻擊者針對(duì)各環(huán)節(jié)的不同脆弱點(diǎn)實(shí)施不同攻擊,再依賴供應(yīng)鏈上的信任關(guān)系以逃避傳統(tǒng)安全產(chǎn)品的檢查,沿著供應(yīng)鏈向后滲透,從而實(shí)施對(duì)目標(biāo)網(wǎng)絡(luò)的滲透及非法攻擊。此次SolarWind事件一經(jīng)報(bào)道后,國內(nèi)外多家研究機(jī)構(gòu)和智庫即從不同角度進(jìn)行分析,其中阿里云安全通過分析歷史曾經(jīng)發(fā)生過的126起供應(yīng)鏈攻擊事件,將相關(guān)攻擊手段總結(jié)為15種,包括黑灰產(chǎn)模式推廣惡意軟件,入侵官方網(wǎng)站替換下載鏈接,劫持正式更新下載地址的域名,入侵官方更新升級(jí)系統(tǒng),入侵軟、硬件開發(fā)公司,向目標(biāo)項(xiàng)目的源碼植入惡意代碼,開發(fā)工具污染篡改源碼,植入后門,應(yīng)用運(yùn)行環(huán)境、應(yīng)用組件環(huán)境被植入后門,等等。
四
事件背后的原因分析
(一)美網(wǎng)絡(luò)防御能力建設(shè)相對(duì)滯后被充分暴露和放大
隱藏在該事件背后的一個(gè)根本原因?qū)嶋H上是美國長期以來推進(jìn)的進(jìn)攻性網(wǎng)絡(luò)安全戰(zhàn)略,從奧巴馬到特朗普政府時(shí)期均延續(xù)著這一戰(zhàn)略思想,強(qiáng)調(diào)“主動(dòng)攻擊”,追求強(qiáng)大的進(jìn)攻能力和網(wǎng)絡(luò)威懾能力,不斷加大美軍進(jìn)攻性網(wǎng)絡(luò)空間作戰(zhàn)力度。高估通過進(jìn)攻性戰(zhàn)略獲得的安全利益,嚴(yán)重低估了網(wǎng)絡(luò)防御的重要性。路透社曾援引美國聯(lián)邦政府公布的數(shù)據(jù)以及情報(bào)部門官員的話報(bào)道稱,美國90%的網(wǎng)絡(luò)項(xiàng)目開支用于研發(fā)黑客攻擊武器,各種攻擊武器可侵入敵方電腦系統(tǒng)、通訊竊聽、使基礎(chǔ)設(shè)施癱瘓或受阻。在網(wǎng)絡(luò)資源布局方面將較多的資源用于攻擊而非防御,此次SolarWind事件也充分暴露了美網(wǎng)絡(luò)防御能力建設(shè)相對(duì)滯后乃至不足,其缺陷被充分暴露和放大。因此,該事件為美國家網(wǎng)絡(luò)安全防御能力的建設(shè),以及全球范圍防控網(wǎng)絡(luò)空間進(jìn)攻性代碼和能力擴(kuò)散等問題敲響了警鐘,亟需在國家網(wǎng)絡(luò)安全戰(zhàn)略能力體系建設(shè)和全球網(wǎng)絡(luò)空間安全規(guī)范構(gòu)建中得到充分重視。
(二)針對(duì)軟件供應(yīng)鏈攻擊的研究還不成熟
雖然軟件供應(yīng)鏈攻擊事件時(shí)有發(fā)生,但是2017年“針對(duì)軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊”概念才首次由微軟提出。作為一種新的安全問題,目前還缺乏權(quán)威而準(zhǔn)確的定義。相比于針對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)的漏洞安全研究,針對(duì)軟件供應(yīng)鏈安全的研究目前整體還處于提出問題或分析問題的起步階段,還沒有到解決問題的關(guān)鍵階段,一定程度上還缺少直接的有針對(duì)性且有價(jià)值的研究成果。因此,面對(duì)數(shù)量繁多、涉及領(lǐng)域廣泛、與用戶信息接觸最為直接的各類軟件產(chǎn)品,目前尚未形成一套防御理論完備、技術(shù)手段長久有效的軟件供應(yīng)鏈防護(hù)體系,直接導(dǎo)致應(yīng)對(duì)措施和機(jī)制缺失、檢測和溯源技術(shù)水平等跟不上。未來在進(jìn)一步加強(qiáng)軟件供應(yīng)鏈攻擊風(fēng)險(xiǎn)防范意識(shí)的同時(shí),還需要在軟件安全質(zhì)量的檢測與控制,軟件供應(yīng)鏈各類渠道的安全防范,供應(yīng)鏈攻擊的防護(hù)、檢測和響應(yīng),軟件供應(yīng)鏈的風(fēng)險(xiǎn)管理流程等方面進(jìn)一步深入研究。
(三)保障軟件供應(yīng)鏈安全的難度比較大
其難度首先體現(xiàn)在當(dāng)開源軟件的數(shù)量呈指數(shù)級(jí)增長時(shí)所帶來的安全問題不容忽視。當(dāng)前新增開源代碼數(shù)量巨大,直接導(dǎo)致軟件庫之間的引用關(guān)系非常復(fù)雜,只要其中一個(gè)環(huán)節(jié)出現(xiàn)了問題,就會(huì)導(dǎo)致所有使用該軟件庫的下游軟件均存在該漏洞。更重要的是,對(duì)于開發(fā)過程中引入開源軟件的執(zhí)行細(xì)節(jié)與其中潛在的風(fēng)險(xiǎn),大多數(shù)開發(fā)者都無從獲知。其次,攻守完全不平衡。對(duì)攻擊者而言,只需找到軟件供應(yīng)鏈的一個(gè)突破口便可入侵并造成危害,而開發(fā)者則需要對(duì)整個(gè)軟件供應(yīng)鏈進(jìn)行完備的安全防護(hù),對(duì)漏洞挖掘、安全防范提出了更高要求。即便企業(yè)安全意識(shí)足夠高,從漏洞公布,發(fā)現(xiàn)安全隱患設(shè)計(jì)補(bǔ)丁,最終測試并發(fā)布安全的新版本,仍然需要一定的周期,而攻擊者根據(jù)漏洞生成攻擊向量的速度可能更快。第三,軟件供應(yīng)鏈攻擊的隱蔽性非常強(qiáng)。軟件供應(yīng)鏈攻擊作為一種新型攻擊手段,能夠繞開傳統(tǒng)安全產(chǎn)品的防護(hù),通過侵入合法軟件并篡改數(shù)據(jù)的方式進(jìn)行偽裝,實(shí)現(xiàn)大范圍的傳播及攻擊,造成巨大損失。
五
“SolarWinds”事件后美在供應(yīng)鏈安全方面的后續(xù)動(dòng)作
該事件自爆發(fā)后,美對(duì)其進(jìn)一步深入分析、細(xì)節(jié)挖掘及調(diào)查研究從未停息,拜登政府也對(duì)其給予高度重視。從幾大重要網(wǎng)站相關(guān)新聞報(bào)道的一些線索可以預(yù)測美未來在供應(yīng)鏈安全方面將可能采取的一些相應(yīng)措施。
(1)白宮將出臺(tái)軟件安全行政指令。隨著SolarWinds違規(guī)事件的持續(xù)發(fā)展,白宮正在執(zhí)行一項(xiàng)行政命令,將專注于建立軟件標(biāo)準(zhǔn),尤其是用于關(guān)鍵領(lǐng)域的軟件,以鼓勵(lì)軟件開發(fā)人員在其產(chǎn)品中增強(qiáng)安全性。針對(duì)該事件,未來拜登政府的應(yīng)對(duì)方式將可能很大程度影響白宮未來網(wǎng)絡(luò)安全政策,新政府是否會(huì)有重大的架構(gòu)變化還將拭目以待。
(2)美CISA將著眼于改變以應(yīng)對(duì)未來的供應(yīng)鏈黑客,美政府將加大CISA的投資及授權(quán),并增強(qiáng)CISA等機(jī)構(gòu)在整個(gè)聯(lián)邦網(wǎng)絡(luò)中進(jìn)行更廣泛的威脅搜尋能力。目前CISA正在探索內(nèi)部監(jiān)控“異常活動(dòng)”的方法,例如通過加密通道與網(wǎng)絡(luò)外部實(shí)體進(jìn)行通信的網(wǎng)絡(luò)管理系統(tǒng),此外,CISA將被賦予更大的權(quán)力進(jìn)行威脅監(jiān)管,以及更多的職權(quán)如對(duì)科技企業(yè)的整體知情權(quán),以有效地防御和快速反應(yīng)。
(3)創(chuàng)建并實(shí)施現(xiàn)代的供應(yīng)鏈安全。2021年2月,軟件聯(lián)盟發(fā)布了《構(gòu)建更有效的ICT供應(yīng)鏈安全》白皮書,呼吁將美國的供應(yīng)鏈安全政策轉(zhuǎn)變?yōu)榛诒U系姆椒ǎ劢箲?zhàn)略重點(diǎn),在政府機(jī)構(gòu)間展開協(xié)調(diào)。軟件聯(lián)盟認(rèn)為,近年來的供應(yīng)鏈安全政策偏于被動(dòng)并過于寬泛,最終無法(實(shí)現(xiàn))促進(jìn)安全,并會(huì)阻礙經(jīng)濟(jì)增長。白皮書呼吁美國政府專注于保障工作,加強(qiáng)美國領(lǐng)導(dǎo)力,激發(fā)公私合作關(guān)系,并對(duì)現(xiàn)行政策進(jìn)行調(diào)整,以降低供應(yīng)鏈風(fēng)險(xiǎn),推動(dòng)全球ICT供應(yīng)鏈的信任和安全。
六
結(jié) 語
SolarWinds供應(yīng)鏈黑客攻擊事件對(duì)全球各國供應(yīng)鏈和關(guān)鍵基礎(chǔ)設(shè)施安全防御體系而言都富有極大的沖擊性,暴露了包括美國在內(nèi)的全球各國網(wǎng)絡(luò)安全策略的軟肋。大量傳統(tǒng)網(wǎng)絡(luò)安全工具、措施和策略失效,一定程度上顛覆了業(yè)內(nèi)人士對(duì)網(wǎng)絡(luò)信息安全防御傳統(tǒng)方法的認(rèn)知。“重攻輕守,以攻代守”的美國國家網(wǎng)絡(luò)空間安全戰(zhàn)略遭受嚴(yán)重打擊,全球網(wǎng)絡(luò)安全行業(yè)或?qū)⒚媾R斯諾登事件以來最大的不確定性或變革,對(duì)未來美國家安全策略或?qū)砩钸h(yuǎn)影響。
此次事件的攻擊者技術(shù)高超、手段老練、有著極強(qiáng)的專業(yè)能力和高度的紀(jì)律性,SolarWinds是否并非其唯一目標(biāo),還有多少未被發(fā)現(xiàn)的SolarWinds,誰會(huì)是下一個(gè)被發(fā)現(xiàn)的SolarWinds?在進(jìn)入SolarWinds之后是否已經(jīng)控制了其它更多的供應(yīng)商?攻擊者是否已通過本次攻擊轉(zhuǎn)移了打擊陣地?這些問題,尚未知曉。唯一確定的是,我們看到的遠(yuǎn)遠(yuǎn)少于所有的可能性,攻擊所造成的危害及威脅,可能比我們已知的要嚴(yán)重的多。
