聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

多年来，虽然供应链攻击一直都是安全关注点，但似乎从2020年年初开始出现了更多更加有组织的攻击。可能是由于组织机构部署了更健壮的安全防护措施，攻击者们成功地将目标转向供应商。他们设法在系统宕机、金钱损失和名誉损失等方面产生巨大影响。供应链的重要性在于，成功的攻击可影响大量使用受影响供应商的客户。因此，单次攻击的递级效应可能会造成广泛传播的影响。

本报告旨在描绘并研究从2020年1月至2021年7月初发现的供应链攻击活动。基于观察到的趋势和模式可知，2020年供应链攻击的数量和复杂度都在增加而且这一趋势在2021年仍然继续，给组织机构带来的风险也越来越大。预计2021年发生的供应链攻击数量将是2020年的四倍。其中一半的攻击由APT组织发动，复杂度和资源大大超过更加常见的非定向攻击，因此供应商需要采取更多保护性方法来保证组织机构的安全性。

本报告展示的是供应链攻击的威胁局势，得到了 Ad-Hoc 网络威胁局势工作组的支持。

本报告的要点如下：

多年来，虽然供应链攻击一直都是安全关注点，但似乎从2020年年初开始出现了更多更加有组织的攻击。可能是由于组织机构部署了更健壮的安全防护措施，攻击者们成功地将目标转向供应商。他们设法在系统宕机、金钱损失和名誉损失等方面产生巨大影响。本报告旨在描绘并研究从2020年1月至2021年7月初发现的供应链攻击活动。

供应链攻击所产生的破坏性和涟漪效应可从 SolarWinds 攻击事件一窥全貌。SolarWinds 攻击被视作几年来规模最大的供应链攻击，尤其是从受影响实体中包括政府组织机构和大型企业来看更是如此。此事件获得大量媒体关注，并引发全球范围内的政策措施。更近期的是2021年7月发生的 Kaseya 攻击事件，它表明并且引发人们对影响管理服务提供商的供应链攻击的进一步密切关注。遗憾的是，这两个案例并非孤立事件，供应链攻击的数量在去年稳步增长。这一趋势进一步说明政策制定者和安全社区需要应用并引入新的防护措施，解决未来可能发生的供应链攻击并缓解它们的影响。

通过仔细调查和分析，本报告基于在2020年1月至2021年7月初发现的事件，说明了其中的供应链攻击活动。每起事件都划分为关键元素如攻击技术和受攻击者影响的供应商和客户的资产。供应链攻击的分类系统将有助于对攻击进行分类，同时可能成为分析此类攻击并提出专门安全控制作为缓解措施的更加结构化的方法。分类系统还有助于以共同基础划分、对比和讨论这些攻击。本报告中还探讨了所提议分类系统和其它为人熟知的框架之间的相似之处。

本报告还分析了供应链攻击的生命周期和APT攻击的生命周期的相似之处。附录中总结了自2020年以来案发生的最引人注目的供应链安全事件，这些事件均按照上述分类系统进行分解。

本报告的核心在于，分析所有报道的供应链事件，找到它们的关键特征和技术。这些分析要回答的问题是：供应链攻击中最常见的攻击技术是什么？攻击者想要获取的主要客户资产是什么？以及攻击和目标资产之间的关系是什么？

随着供应链攻击引发的关注越来越多，很多相关安全事件也被指和供应链相关，即这些事件也被视作供应链攻击。因此，我们谈到了供应链攻击的组成要件以及为何说很多攻击实际上并非供应链攻击，并辅以案例说明。了解供应链攻击的威胁局势很重要，因为对安全事件的不当划分可能会导致趋势分析和结论有误。

本报告还为政策制定者和组织机构尤其是供应商提供了一些建议，以期在对抗供应链攻击时增强整体安全态势。

本报告的结构如下：

供应链是指创建和交付最终解决方案或产品时所牵涉的流程、人员、组织机构和发行人。在网络安全领域，供应链涉及大量资源（硬件和软件）、存储（云或本地）、发行机制（web应用程序、在线商店）和管理软件。

供应链中的四个关键元素是：

实体可以是个体、由个体组成的组织或组织机构。资产可以是人、软件、文档、金融、硬件等。

供应链攻击是至少两起攻击的结合。第一种攻击是针对供应商的且后续被用于攻击目标以访问资产。该目标可以是最终客户或另外的供应商。因此，归为供应链攻击的，供应商和客户都必须是目标。

2.1 供应链攻击的分类系统

本报告提出一种分析系统对供应链攻击进行分类并将后续分析结构化。该分类系统考虑到供应的所有四个关键元素以及攻击者所使用的技术。该分析系统有助于组织机构了解供应链攻击的多个组成部分，并与其它相似攻击进行对比，而且更重要的是找到安全事件中的供应链攻击。

该分类系统应该被用作指南模板，新型的潜在供应链攻击发生后，安全社区可能尝试通过识别并描绘每个分类系统元素进行分析。如果客户未遭攻击或者供应商未受攻击，那么这种攻击很可能就不是供应链攻击。

如表1所示的分类系统，一部分为供应商设置，一部分为客户设置。对于供应商而言，第一部分是“用于攻陷供应商的攻击技术”，它说明的是供应商如何遭攻击；供应商的第二部分是“供应链攻击的供应商资产”，说明的是针对供应商的攻击目标是什么。

对于客户而言，第一部分是“用于攻陷客户的攻击技术”，说明的是客户如何遭攻击。第二部分是“供应链攻击的客户资产”，说明的是针对客户的攻击目标是什么。

对于分类系统中的这四个不同元素，我们定义了可更好地描述供应链攻击的元素。通过筛选相应元素，就可能更好地了解已知和未知的攻击情况。该分类系统在概念上不同于 MITRE ATT&CK 知识库，且它的目标并非取代而是补充后者。在某些情况下，分类系统中定义的攻击技术和MITRE ATT&CK 框架中定义的技术相关，这种情况下用方括号的形式进行了标记，如[T1189]。如下部分说明了分类系统的四个组成部分以及如何识别其元素。

表1：供应链攻击的分类系统。它由四部分组成：（1）对供应商使用的攻击技术；（2）遭攻击的供应商资产；（3）对客户使用的攻击技术；（4）遭攻击的客户资产。

欧盟网络安全事件分类系统用于在欧盟层面的事件响应协作活动和信息共享。由于该分类系统在概念上和MITRE ATT&CK有所不同且无法详细分析供应链事件，因此我们建议以相互补充的方式使用这两种分类系统。

2.2 用于攻陷供应链的攻击技术

攻击技术指的是攻击“如何”发生，而不是用“什么“发动了攻击。例如，这个类别区分是否通过在网上找到的密码 (OSINT) 攻击供应商或者密码是否是暴力获取（暴力攻击）。然而，和该分类系统无关的是，从网上找到的密码是否是被泄露的、默认的密码、还是在黑市售卖的密码。如下的攻击技术类别涵盖了本报告中所分析的供应链攻击中最常使用的攻击技术。显然，任何攻击中都可能会用到不止一种攻击技术，而且在多个案例中，实体可能并不具备攻击者如何获得对基础设施访问权限的知识，或者说这种信息并未公布或被适时报道。

表2 用于攻陷供应链中供应商的攻击技术。每种技术说明了攻击如何发生而非遭攻击的是什么。同一种攻击中可能使用了多种攻击技术。

2.3 供应链攻击针对的供应商资产

遭攻击的供应商资产指的是针对供应商的攻击目标是“什么”，便于发动后续攻击。一项或多项目标资产通常和最终目标之间存在直接关系，而且通常通过分析受影响资产清单就很有可能了解攻击者的最终意图。在某些情况下，由于缺少由供应商披露或报道的信息，因此不可能获知目标资产信息。另外，当供应商不具备识别受陷资产的知识或专业时也可能发生这种情况。

表3：遭攻击的供应商资产。每个元素识别供应商遭攻击的是“什么“。同一起攻击可能使用影响多项资产的多种攻击技术。