對於我國政府委外廠商成為資安破口,法務部調查局資安工作站在2020年下半已經發出警示,提醒所有機關單位或企業重視VPN帳號委外維運風險,以及提防駭客先入侵委外廠商再滲透到組織內部的情形。(攝影_羅正漢)

近年來,供應鏈攻擊手法越來越常見,不僅是透過軟體供應鏈的入侵,從相關委外廠商與合作廠商的滲透行為,也都成為2021持續要正視的焦點。

臺灣已發生APT攻擊事件,調查後是與軟體供應鏈有關

可別以為臺灣企業與組織遭遇的供應鏈攻擊不多,事實上,近一兩年來,臺灣就遭遇多起APT攻擊事件,經調查後,這些與供應鏈有關。

在2020年8月臺灣資安大會上,國內資安業者奧義智慧指出,供應鏈攻擊增加的趨勢需要關注。他們舉例,有駭客組織鎖定國內政府機關攻擊,因此鎖定政府單位都會導入的政府共通組態基準(GCB),並成功偽裝合法程式FGCBUpdater.exe並派送;後續,又發現國內有5個A級政府機關與地方政府,被植入Plead惡意程式,原因是駭客入侵華碩雲端儲存服務的軟體更新服務,作為惡意程式下載的途徑。

不只是政府機關遭駭客鎖定,國內半導體業者也是目標,例如有竹科公司遭遇APT攻擊的事件,發現惡意程式偽裝成Google Chrome更新程式,駭客並利用雲端服務建置中繼站,進一步掩飾惡意行為。

而在2020年下半,我國法務部調查局資安工作站也公開示警,指出政府單位委外廠商成入侵管道。例如,在他們偵辦的數起案件中,遭駭的原因是承包政府標案的供應鏈廠商遭入侵,使得原本政府機關提供VPN帳號供業者遠端操作維運,變成駭客可以遠端入侵的破口。而且,當這些政府委外廠商遭駭時,委外廠商所託管的政府伺服器與主機也可能遭到駭侵。

從上述這些供應鏈攻擊相關事件,其實可以看出供應鏈攻擊的變化多端。駭客為了滲透目標企業,除了選擇直接正面攻擊,一旦發現滲透目標相關的軟體廠商、委外廠商與合作夥伴,有更好的弱點可以利用時,都有可能被駭客視為入侵管道。

將委外廠商與合作廠商納入守備範圍成新趨勢

對於委外供應商方面的攻擊趨勢,國內調查局已經提醒政府機關與企業,檢討委外廠商透過VPN遠端進行管理的必要性,是當務之急,並要監控駭客可能擅自建立加密連線通道的非法行為。此外,對於這些委外供應商的資安防護水準,該如何提升與規範,也成為接下來要關注的重點。

至於如何強化供應商的安全,近年我們看到半導體龍頭台積電設立了供應商資訊安全協會,這樣的作法值得肯定。

還記得在2020年臺灣資安大會上,台積電部經理張啟煌在一場專題演講曾講過一句話:「如果我家圍牆築得很高,可是我的鄰居都遭小偷了,那我住起來會安心嗎?」

該公司為了確保公司的持續營運與競爭力,他們對於供應商與合作夥伴,會透過第三方服務做到快速風險評估,以及公司本身設計的一套專屬的評鑑方式,來協助供應商改善其資安。而這樣的模式,其實也將能夠帶動臺灣更多產業做好資安,至於是否能在2021年成功複製到其他產業生態鏈,也成為產業資安上的焦點。

SolarWinds事件風暴持續擴大,再次敲響供應鏈攻擊的警鐘

對於軟體供應鏈方面的攻擊趨勢,則相當令人憂心,因為在2020年底,美國政府機構遭遇的國家級SolarWinds供應鏈攻擊事件,更是突顯了這類攻擊的危害極大,並且是防不勝防。

關於這起事件,一開始是美國資安公司FireEye遭駭,宣布他們的紅隊演練測試工具外流,隔週又有美國財政部與商務部表示遇害,而且,這場風暴遠演越烈,後許微軟也證實多家客戶遇害,且自家內部程式碼也遭未經授權存取。而這一切攻擊,都是因為企業及組織使用的網路監控軟體公司SolarWinds,早在2019年10月就被滲透,以至於公司的Orion軟體後來被植入名為SunBurst的後門。不僅如此,隨著持續揭露的事件調查報告,該公司軟體還發現應為不同攻擊的第二個後門程式Supernova。

這也說明了,現在的駭客組織不僅擅長突破防護機制,隱匿能力也相當高明。而且,駭客以企業組織使用的軟體為突破口,他們除了可以攻陷該軟體廠商的開發環境、軟體、更新部署,也可能從開源軟體下手,甚至是濫用與偽冒,因此整個開發維運環節,都存在軟體供應鏈攻擊的風險。

然而在2021年,我們還是需要面對這樣的威脅,除了軟體業者要意識到,在各環節落實安全,而在弱點管理方面,近年資安界也提倡軟體物料清單的概念,讓第三方套件有弱點揭露時可及早修補。另一方面,對企業與組織而言,勢必要更看重偵測、應變與復原,以及攻擊情資的交換與聯防。


熱門新聞

Advertisement