这次华硕更新服务器遭滥用所引起的安全问题,让软件供应链***的威胁再受重视,然而,本身提供软件更新服务的企业,该如何面对这样的风险?才能让企业与用户都能够继续信赖,成为各界关注焦点。在这次事件后,已经提醒了其他所有提供更新服务的业者,不能忽视这方面的安全。那么,是否能有简单的原则要能够遵循?简单而言,不论是在软件更新档案上线的流程,或是软件更新档案上传服务器后,都必须确认档案的一致性,并要能做到实时的监控。
对此,赛门铁克首席顾问张士龙更指出3个重点面向:第一点是这次供应链***所设涉及的部分,包括更新程序的安全管理,负责发布更新的主机安全防护,以及凭证的管理等;第二点是档案派送方面一致性的检测;第三个则是部署流程方面的各环节,也要有相对应的检查与流程控管。而其中所有流程的安全控管,更是他所强调的部份。另外,近年在许多安全议题都提及的白名单机制,也能套用在这些开发相关的服务器,以及更新服务器上,协助做到较严格的管控。当然,这些安全管控不算新的概念,大型企业也应该都有实施信息安全管理制度,因此是否能够落实将是关键,或是企业根本没有顾及这些方面,那么现在就应该要有所重视。而从这次华硕的更新档案被加料,以及数字签名凭证遭滥用来看,对于其他提供更新下载服务的企业而言,同样也该有所警惕。
正视软件供应链***的威胁,总共有5大***面向必须要注意
深入探究下去,对于这次华硕更新主机遭骇的事件,其实许多资安专家也都提到了几个需要注意面向,包括是在软件开发的过程,以及发布与部署的环节,甚至后续的维运管理。毕竟,关于更新档案被***植入恶意代码,是有可能发生在某一环节。其中,关于安全软件开发生命周期(SSDLC)的重要性,近年各界已经不断在呼吁,目的就是要避免***借道软件漏洞着手破坏或加料,然而最后的部署维运阶段,以及发布到自动更新服务这一部分,过往并未特别受到重视,如今却可能成为被忽略的一个环节。更进一步来看,企业若要全面掌握可能发生问题的环节、盘点防护面向,设法认识***者下手方向,就是最好的方式。
根据美国国家反情报与安全中心(NCSC)的研究,他们在2017年10月公布了相关数据,多起软件供应链***案例之中,我们可将***下手的环节归纳为5个方面,包括软件工具(开发工具、软件开发工具包)、内贼(开发者)、程序代码、Updates/Patch更新主机与下载主机。而在MITRE提出的ATT&CK知识库中,也针对软件供应链***手法而提出说明,这里面提到,***能在供应链的任何阶段***,不只是操纵开发工具、开发环境、原始码链接库,以及***更新、部署机制,也会藉由感染映像档,修改版本替换,以及从分销管道下手。图片来源:http://www.cafes.org.tw/info.asp
更要注意的是,这些手法已不是概念是想象,而是真实的活动,有多家资安业者都在2019年的预测中,认为软件供应链***是相当显著的威胁态势,而在赛门铁克最新的网络安全威胁报告(ISTR),更是指出2018 年的***较往年增加了78%。而***者之所以会选择劫持软件更新,就是一次能感染庞大的目标,是相当有效率的***手法。无论如何,类似这样的事件一定会继续发生,已经成为软件开发商与企业、一般消费者必须正视的问题,也是不得不面对的重大挑战,因为既有信任的管道早已被打破,这也将是所有企业与资安界同样要面对的难题。
原文地址:https://blog.51cto.com/13373212/2391085