防御供应链攻击需要成熟的威胁搜寻能力

专家们说,主动的威胁搜寻是对抗像 MOVEit 和 3CX 这样的供应链攻击的最佳保护。
防御供应链攻击需要成熟的威胁搜寻能力

这样的头条已经成为了一种稳定的现象……Kaseya、SolarWinds、3CX、MOVEit,而且肯定还有其他的在拐角处等着……因为它们很有效。

专家们说,对于担心保护系统免受下一次软件供应链网络攻击的组织来说,最好的网络防御就是主动监控和威胁搜寻。

“近年来多次软件供应链安全失败表明,安全已经远远超出了传统的‘四面墙’网络安全模式,”IANS 教员 Jake Williams 说,他最近在 6 月 7 日的网络研讨会上向 Dark Reading 的观众发表了演讲,主题是“下一代供应链安全”。

Williams 在他的演讲中概述了,现代软件供应链为威胁行为者提供了一个巨大的攻击面,包括自动软件更新、供应商管理的设备、软件即服务(SaaS)工具、云计算等等。

“Kaseya 不是第一次利用托管服务提供商来分发勒索软件的攻击,也肯定不会是最后一次,”Williams 补充说。的确如此——毕竟,MOVEit 攻击是 Cl0p 勒索软件团伙的杰作。

Searchlight Cyber 的总经理 Evan Blair 也在 Dark Reading 的网络研讨会上谈到了保护供应链的问题,并用一个惊人的统计数据说明了复杂性的挑战——“每年收入 10 亿美元的企业,将有大约 1,000 个供应商。”这意味着网络罪犯可以利用很多途径进入企业系统。

在现场活动结束后,Dark Reading 问 Williams 企业网络安全团队可以做些什么来防御日益增加的软件供应链攻击。以下是 Williams 的回答。

“这实际上归结为监控和威胁搜寻,”他说。“在 MOVEit 的情况下,我们会假设设备被入侵,进行有针对性的威胁搜寻。首先,我们会查看它在内部网络上与什么设备通信,然后查看这些设备在之后是否发生了状态变化(新的可疑进程等),”Williams 说。

供应链网络攻击的成功案例

给网络防御者带来困难的一个事实是,拥有充足资源的威胁行为者已经通过供应链攻击成功地进入了更大的组织的系统。更复杂的国家支持的高级持续性威胁(APT)组织也在针对规模较小的组织,这些组织可能主要依赖于基本的网络安全保护,Williams 解释说。

5 月份,与朝鲜政府有关联的 Lazarus Group 被观察到利用 Log4Shell、3CX 的供应链漏洞,以及其他已知的漏洞,来入侵各种规模的公司的微软 Web 服务器。4 月份,中国 APT 组织 Evasive Panda 劫持了中国开发的软件的应用程序更新,以向较小的目标部署间谍软件。

人工智能对软件供应链的威胁

供应链还受到人工智能(AI)崛起的威胁,最近的研究表明,AI 可以用来将恶意恶意软件嵌入到针对开发者的软件包中。

由 ChatGPT 生成的不存在的软件构建块的推荐,研究人员称之为“AI 包幻觉”,并不罕见——而网络犯罪分子可以利用这些推荐,创建一个与虚假推荐相匹配的恶意包,然后等待 ChatGPT 再次推荐它们。这一发现给识别企业网络供应链威胁增加了另一层复杂性。

Williams 建议,拥有强大的监控和威胁搜寻计划的组织,最有能力防止下一次供应链攻击。

供应链安全监控

监控软件供应链中第三方的安全性是一种“必要性”,威廉姆斯说,并补充说,“任何少于这个的都是被动的。” 据威廉姆斯说,网络威胁情报(CTI)团队是主动监控软件供应链风险的重要途径,但他们的任务很困难。

“大多数CTI团队都很难监控自己的组织,”威廉姆斯说。他补充说,CTI团队没有洞察力去了解合成、报告或对第三方采取行动所必需的周期和数据。

“正如任何CTI分析师会告诉你的,这些挑战并不是小事,”威廉姆斯说。

暗网监控是另一种威胁情报来源,它可以包括直接访问暗网论坛或使用供应商来策划信息,但这并不能提供实时数据,威廉姆斯说。

“当购买访问暗网平台时,要认识到这只占了情报生命周期的一小部分,”威廉姆斯建议。

从暗网论坛上收集到的有价值的威胁情报可以包括最近勒索软件团伙的活动、黑客活动家的通信以及初始访问经纪人向其他威胁行为者出售网络访问权的帖子,布莱尔向《黑暗阅读》网络研讨会的观众解释说。

布莱尔补充说,目前大约有三分之一的CISO正在使用暗网数据来监测对他们供应链的网络攻击,而有71%的CISO希望能够看到供应商是否在暗网上被讨论。

除了暗网监控之外,其他开源情报(OSINT)来源也可以用于获取威胁洞察。简单地搜索Twitter标签就可以提供来自全球网络安全专家的分类、日期、实时信息。

我尝试将英文段落翻译成通顺像人工翻译的中文段落,结果如下:

监控软件供应链中第三方安全性是一种“必要”,威廉姆斯说,“否则就是在被动应对。” 他认为,网络威胁情报(CTI)团队是一种主动监测软件供应链风险的有效方式,但他们面临着不小的挑战。

“大多数CTI团队都难以监控自身组织的情况,”威廉姆斯说。他还说,CTI团队缺乏对第三方所需的周期和数据进行分析、汇报或采取措施的洞察力。

“正如任何CTI分析师都会告诉你的,这些问题并非易事,”威廉姆斯说。

暗网监控是另一个获取威胁情报的途径,它可以包括直接进入暗网论坛或通过供应商筛选信息,但这无法提供实时数据,威廉姆斯说。

“购买暗网平台的访问权限时,要明白这只是情报生命周期中很小的一部分,”威廉姆斯建议。

从暗网论坛上可以收集到一些有价值的威胁情报,例如最近的勒索软件团伙活动、黑客行动者的交流以及初级访问经纪人向其他威胁者出售网络入侵权限的帖子,布莱尔在《黑暗阅读》的网络研讨会上向观众介绍说。

布莱尔还说,目前有三分之一的CISO正在利用暗网数据来监测对他们供应链的网络攻击,而有71%的CISO希望能够了解供应商是否在暗网上被提及。

除了暗网监控外,其他开源情报(OSINT)来源也可以帮助获得威胁洞察。只需搜索Twitter的话题标签,就可以获取来自全球网络安全专家的分类、日期和实时信息。

成熟的威胁狩猎有助于供应链防御

威廉姆斯说:“组织不能真正地期望防止像3CX这样的软件供应链攻击。这再次说明了使用端点和网络工具进行实时监控的必要性。因为我们不可能在攻击发生时就捕捉到每一次攻击,所以成熟的威胁狩猎能力也很重要。”

威廉姆斯还对那些想要外包威胁狩猎项目的团队提出了警告。

威廉姆斯对《黑暗阅读》说:“对于那些不能保持威胁狩猎节奏的组织,要小心管理威胁狩猎的供应商。许多供应商只是在他们的端点检测和响应(EDR)解决方案中放入的妥协指标(IoCs)的前面跑。”

推荐阅读:

VirusTotal 数据泄露影响 5,000 多名用户

如何让Bing(必应)快速收录你的网站

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20