最新的网络安全新闻与俄罗斯入侵乌克兰有关
威胁情报 / 2021年的供应链攻击:需要一个村庄

2021年的供应链攻击:需要一个村庄

2021年的供应链攻击:需要一个村庄
肖恩Nikkel
从肖恩Nikkel那里了解更多
2021年8月4日 | 10 分钟阅读

打猎 

如果你最近做过任何供应链攻击的研究, 很明显,在勒索软件(它本身也是几个案例中的一个原因)之后,, 这些攻击是一个日益强烈的趋势. 美高梅集团app下载已经看到了勒索软件的总体趋势,这是一个可靠的案例, 所谓的“大型狩猎”是现在的标准,每次攻击都是为了获得最大的影响, 对供应链的攻击也符合要求. 

今年5月,《美高梅体育官方app》杂志做得很好 解释这个问题 供应链攻击. 本质上, 而不是正面攻击一个网络, 它在其他地方找到了一个允许一对多尺度访问的弱点. 对手指望某个地方没有最健全的安全策略或最佳实践, 而且他们可以从主动行动中得到好处, 可以这么说. 今年的一项研究 ENISA欧盟的网络安全机构,回应了很多同样的担忧. 更令人不安的, 在绝大多数事件中,人们对攻击是如何发生的了解还存在很大的差距.

这也有一个深刻的心理层面:即使是购买的正版软件也不相信,这种想法会让每个人都产生一定程度的怀疑. 供应链攻击, 这一次, it’s not just malicious code attacking with obvious ties to threat actors; it’s now worrying about whether your vendor’s code is secure. 在某些情况下,这也归结为信任你的供应商的供应商也在做正确的事情. 它还使每个人都承担了检查代码的负担, 和, 正如ENISA所言:“客户要求的是网络安全程度更高、但成本仍较低的产品, 两种需求并不总是可以调和.“理应如此, 美高梅集团app下载每天都在信仰上迈出一大步, 登录到美高梅集团app下载的家庭和工作网络.

从apt到犯罪分子

这个概念本身并不新鲜, 正如美高梅集团app下载在过去十年中所看到的,针对知名和相对不知名的应用程序和供应商的攻击. 你知道,当一个小提供商或小众应用程序的名字突然成为媒体上家喻户晓的名字时,这是很重要的. 在IT世界之外,更确切地说,在托管领域, 谁知道,Kaseya 是在2021年7月之前? 这个故事最近的公开轨迹可能要追溯到2013年的Adobe入侵事件, 继续对CCleaner的攻击, 以及最近, SolarWinds违反, 中间还有很多受害者. 这些案例研究与之前的案例研究的不同之处在于,最近的袭击带有犯罪分子的痕迹,而不是传统的民族国家apt. 

仅在今年,就发生了几起有新闻价值、值得关注的袭击事件. 美高梅集团app下载就不给你讲几个故事了 KaseyaSolarWinds 在这一点上做得很恶心吗. 而不是, 美高梅集团app下载将汇集几个重要的案例研究,带您走过美高梅集团app下载现在所知道的时间,并希望从中收集一些教训.

Accellion:对受信任服务的攻击

发生了什么事

人人都说, 这次袭击是在2021年2月左右曝光的, 但Accellion的袭击发生在2020年底. Accellion是有几十年历史的FTA(文件传输设备)产品的制造商, 用于文件传输, 计划在2021年4月达到寿命终了(EoL)状态. 因为EoL, Accellion积极地将客户转移到其他具有不同代码库的应用程序和服务.  

图1:探照灯中的Accellion供应链妥协事件概要

攻击者能够利用四个零日漏洞访问一个FTA服务器,并部署一个网络外壳,从多个数据库中窃取客户信息. Accellion已经就漏洞发出了通知,并向客户保证已经发布了补丁. 然而,世界在2月和接下来的几个月里发现,破坏已经造成. 在这个软件的大约300名用户中, 100人受到了一定程度的影响, 其中25人的数据严重丢失. 

看看其中的一些受害者, 其中一家是领先的网络安全公司, 他们很可能在自己的网络安全实践方面做了很多正确的事情. 然而, 他们可能从来没有看到过受信任的第三方应用程序的弱点,这些应用程序可能具有某种程度的特权访问权限,并且已经在被淘汰.

战术的改变

这次攻击意义重大,因为这是涉及Clop勒索软件的几次大规模攻击中的第一次. 自2019年底以来,他们已经是一名球员了,这是他们的突破性事件,因为找不到更好的词来形容. 在这一事件中,就演员而言,也观察到一些重大的战术变化. 

当时,哔哔电脑 写了 Clop运营商直接给被窃数据中的受害者发邮件的账户, 因为受害者联系受影响的公司会增加赎金要求的压力. 此外, 在另一个战术上的改变, 这次事件中的攻击者跳过了通常的双重勒索方法, 要求加密就需要赎金, 直接进行数据勒索. 这是后来一些演员的标志,比如 mareto的.

经验教训

这次攻击的教训是,尽管应用程序接近EoL, 确保代码在退役或弃用之前保持安全仍然很重要. 也, 重要的是要注意一些低和缓慢的策略, 技术熟练程度, 零日的使用标志着犯罪集团不再在国家层面上运作的想法的终结. 这清楚地表明,犯罪集团的表现可以与任何专业的apt相提并论,但不受地缘政治的限制, 这些团体.

Codecov:攻击代码

发生了什么事

2021年4月, 关于科德科夫遭遇袭击的消息传出, 一个流行的软件测试供应商,供开发人员在各种在线存储库中托管代码. 2021年1月底, 攻击者能够利用Docker镜像创建过程的弱安全性来访问Codecov的Bash Uploader脚本. 一旦进入, 然后,攻击者修改代码以捕获最终用户的信息,如存储库url, 原始代码, 凭证, 令牌, 和钥匙. 在实践中, 攻击者利用被破坏的脚本向客户推送恶意代码,并拦截客户凭证,以进行进一步的攻击. 超过29岁,000个客户使用Codecov, 这极有可能变成一场非常深的水坑攻击.

一旦Codecov发现了问题, 他们让公众参与进来, 更新他们的代码, 使受影响的服务器离线, 并与事件处理公司合作解决了这次袭击. 2021年6月,一个长期运行的NodeJS项目宣布将取代他们的Bash Uploader, 它将在2022年2月取代Bash进程, 根据 电脑发出哔哔声. Codecov鼓励任何使用在线服务的客户更新他们的登录过程,并检查他们的代码. 自托管Codecov实例的用户可能不会受到影响, 但根据当时的媒体报道, 几位不愿透露姓名的高管表示,他们也会非常谨慎地审查自己的账户. 

这次泄密事件的可怕之处在于,目前还没有任何关于调查归因或结论的公开声明. 2021年4月底, 据报道,美国联邦执法机构正在调查此事, 而是典型的司法部形式, 截至2021年8月,该公司尚未发表评论. 在之前的供应链攻击中, 有时候直到几周甚至几个月后才知道真相. 拥有客户凭据的攻击者很可能仍然存在于这些网络中, 安静地勘察, 创建新账户, 不断升级的特权, 并进一步污染了下游的油井.

在我写这篇文章的时候, 网上的猜测指向了一个可能的民族国家行动者, 给定的移动速度捕捉客户信息和技术熟练程度显示. 有这么大的潜在受害者群体,可以服务于国家政治或经济利益的受害者网络的后门,将在一个民族国家APT的领域. 然而,正如美高梅集团app下载之前看到的 首次访问代理 而地下犯罪,也可能是供求关系的问题. 

经验教训

这是又一个微小的弱点对下游用户造成严重破坏的案例. 在这种情况下,一个被忽略的创建Docker映像的安全过程允许所有这些发生. 雪上加霜, Bash Uploader的工作方式意味着下游客户向Codecov发送代码需要信任服务器本身, 除了代码. 向Codecov报告该问题的客户注意到,在不同版本的代码之间,校验和发生了变化, 这导致了调查. 那个客户没有看到这些变化吗, 谁知道要花多长时间才能发现, 如果在所有? 由于攻击者控制了服务器和运行的进程,这对他们来说将是一个福音.

考虑到提到的一些受影响的客户的重要性, 其中包括流行的软件和硬件开发商和安全公司, 这又是一个企业可能在自己的网络内做正确的事情,但失败却来自一个值得信赖的合作伙伴的案例. 使用NodeJS和其他添加的功能,向更安全的平台迈进,这是一个很好的举措,时机也很好, 但这凸显了使用开源和第三方的风险.

没有银弹

仅在2021年上半年就发生了这些重大事件, 时间将告诉美高梅集团app下载,2022年这个时候,美高梅集团app下载可能会看到更多的后果. 美高梅集团app下载很有可能看到这些袭击或未来袭击的涟漪, 美高梅集团app下载会回来写发生了什么以及本可以做得更好. 随着企业为了节省时间和金钱而将专业技术外包出去,对第三方的依赖不会很快消失. 随着更多多样化的服务上线和企业扩张, 任何组织面临的攻击面都可能会增加.  

ENISA研究的一个关键观点是,即使一个组织可能在其领地上得到了很好的保护, 供应链可能仍然很脆弱. 组织需要对其合作伙伴进行尽职调查, 以及供应商产品和服务所需的共享基础设施和访问. 困难的部分是没有一个好的方法来做所有这些, 尤其是你自己, 它需要对业务面临的威胁和日常风险敞口有一个全面的看法.

虽然美高梅集团app下载并不是万能的,但是美高梅集团app下载可以提供帮助 从供应商的角度看风险. 如果你想知道美高梅集团app下载如何帮助打击这类袭击, 看看探照灯吧 一周的时间,看看智力是如何帮助你的,或者请求一个 演示.

在试驾中访问美高梅集团app下载的威胁情报

试驾探照灯免费 7
现在试一试

与美高梅集团app下载联系

友情链接: 1 2 3 4 5 6 7 8 9 10