通过安全事件看IT产品供应链安全风险

回顾去年的安全事件：Xmanager和Xshell后门事件、Xcode非官方版本恶意代码污染事件、思科Juniper网络设备存在“心脏出血”漏洞、Juniper 科学后门事件……通过以上事件可以发现企业在进行软件开发、设备采购、系统运维等阶段都存在着安全风险，如何有效的针对IT产品供应链进行防范与控制成为企业面临的极大挑战，本文将结合相关案例针对该问题进行简单阐述。

[[219640]]

一、概述

Xshell是一款知名的、强大的安全终端模拟软件，但是在2017年8月NetSarang官方宣布在最近的软件版本中发现nssock2.dll模块的官方源码中被植入恶意后门代码，将泄露包括服务器密码在内的相关信息。

2016年研究人员发现全球性的网络安全设备供应商Fortinet(飞塔)所提供的防火墙存在后门，属于高危漏洞,攻击者可以通过这个后门，直接获取防火墙控制权限，执行攻击行为，比如抓取流量监听、DNS欺骗、建立隧道进入企业内网等。

通过以上事件可以发现企业在进行软件开发、设备采购、系统运维等阶段都存在着安全风险，如何有效的针对IT产品供应链进行防范与控制成为企业面临的极大挑战，本文将结合相关案例针对该问题进行简单阐述。

二、IT供应链

IT供应链是包含系统终端用户、政策制定者、采购专家、系统集成商、网络提供商和软硬件提供商在内的统一系统，是上述角色通过组织和交互等行为，参与IT相关基础设施的管理、维护和防御的过程。因此IT供应链威胁涉及方方面面，包括：妨害、篡改、伪造、盗版、偷盗、摧毁、毁坏、泄露、渗透、破坏、转移、出口管制违规、腐化、社会工程、内部人员威胁、伪内部人员威胁以及外部所有权。

本文将针对IT供应链中的三个对象：软件提供商、网络及安全设备提供商、最终用户通过安全事件列举简述其面临的安全风险，同时针对安全风险提供安全防护建议，加强各环节安全防范能力。

三、安全事件概述及风险分析

1. 软件提供商风险分析

(1) Xmanager和Xshell后门事件

事件概述：NetSarang是一家提供安全连接解决方案的公司，该公司的产品主要包括Xmanager, Xmanager 3D, Xshell, Xftp 和Xlpd。最近，官方在2017年7月18日发布的软件被发现有恶意后门代码，该恶意的后门代码存在于有合法签名的nssock2.dll模块中。从后门代码的分析来看，该代码是由于攻击者入侵的开发者的主机或者编译系统并向源码中插入后门导致的。该后门代码可导致用户远程登录的信息泄露。

事件缘由：开发环境被污染，源代码植入后门

(2) Xcode非官方版本恶意代码污染事件

事件概述：Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE)，是开发OS X 和 iOS 应用程序的最主流工具。2015年9月14日起，一例Xcode非官方版本恶意代码污染事件逐步被关注，并成为社会热点事件。多数分析者将这一事件称为“XcodeGhost”。攻击者通过对Xcode进行篡改，加入恶意模块，并进行各种传播活动，使大量开发者使用被污染过的版本，建立开发环境。经过被污染过的Xcode版本编译出的App程序，将被植入恶意逻辑，其中包括向攻击者注册的域名回传若干信息，并可能导致弹窗攻击和被远程控制的风险。

事件缘由：非官方版本被植入后门，开发工具被污染

通过上述事件可以发现在软件开发、系统编译、下载分发等不同阶段都可能存在恶意程序感染，软件提供商需要建立一套全面的、安全的软件生命周期管理制度及流程，针对不同阶段面临的风险进行排查、分析，结合相应安全手段进行有效管理，从而提供安全、可靠的软件程序。

2. 网络安全产品提供商风险分析

(1) 思科Juniper网络设备存在“心脏出血”漏洞

事件概述：2014年波及全网的“心脏出血”漏洞，思科及Juniper相关网络设备也未能幸免。该漏洞存在于OpenSSL中，可以泄露网络设备的内存内容，黑客可以在企业网络、家庭网络以及互联网上利用这一漏洞，非法获取用户名、密码以及其他敏感信息。

事件缘由：使用了存在漏洞的OpenSSL版本

(2) Juniper 科学后门事件

事件概述：2015年12月15日著名的网络设备厂商Juniper公司发出风险声明，其防火墙、科学设备使用的操作系统具有重大安全风险，建议尽快升级相关版本。声明中提及两个重大风险：1)设备的SSH登录系统在输入任意用户名的情况下，使用超级密码“<<< %s(un=’%s’) = %u”后就可以最高权限登录系统。2)设备的科学安全通道上传递的数据可以被攻击人解密、篡改和注入。

事件缘由：系统程序存在缺陷，未对代码进行安全检测

通过上述事件可以发现在网络安全产品提供商作为产品提供者，在产品交付及运行过程中存在大量漏洞，设备研发过程中存在逻辑漏洞、使用了不安全的协议等问题导致产品存在安全漏洞，给最终使用用户造成巨大影响。

3. 最终用户

(1) 台湾远东国际商业银行日前遭黑客入侵

事件概述：2017年10月3日台湾远东银行3日发现SWIFT(Society for Worldwide Interbank Financial Telecommunication，环球银行间金融电讯网络)系统异常，事后发现银行SWIFT系统遭黑客植入恶意程式，并进行远端转帐，5日向台刑事警察局(刑事局)报案。据了解，遭黑的金额约6000万美元，被汇到斯里兰卡、柬埔寨及美国。

事件缘由：APT攻击

(2) 美国征信巨头 Equifax大规模数据泄露

事件概述：美国征信巨头Equifax日前确认，黑客利用其系统中未修复的 Apache Struts漏洞( CVE-2017-5638，3 月 6 日曝光)发起攻击，导致了最近影响恶劣的大规模数据泄漏事件。

事件缘由：使用存在安全漏洞的Struts框架，未及时进行升级

通过上述事件发现用户在进行日常运维及安全管理过程中存在大量问题，针对内部安全漏洞无法及时进行修补，暂无相关技术手段针对网络内部未知攻击进行发现及监测，最终导致企业网络及系统被黑客攻击，造成不可估量的损失。

(3) 建议及防范措施

IT供应链安全是一个涉及面广且复杂的一套体系，在任何一个阶段存在问题都势必会影响供应链上下游的安全。因此，这里针对软件提供商及网络安全产品提供商提供相关安全建议：

• 建立健全应用开发生命周期安全管理制度，在应用及产品需求分析、功能设计、实施开发、测试验证及上线发布等环节进行质量及安全把控;
• 定期对应用及产品进行功能、安全性测试，时刻掌握应用及产品安全风险，同时与上下游用户建立安全事件通报机制，若出现安全问题及时与供应链上下游用户进行沟通协同进行应急响应工作;
• 加强员工网络安全意识培训教育，提高安全意识认知水平规范员工日常操作;

最终用户在进行IT供应链风险管理过程中应遵循以下几点：

• 建立内部网络安全评估机制，定期对内部网络进行风险评估，发现存在的风险点，针对风险及威胁进行问题修复，全面提高网络安全防护水平;
• 建立一套未知威胁感知系统，针对未知威胁攻击进行有效的监测及预警工作，实时掌握网络安全情况，缩短应急响应时间;
• 建立产品采购及供应链厂商管理制度，需按照国家相关合规要求进行产品及服务采购，在今年6月1日正式实施的《中华人民共和国网络安全法》中第三十五、三十六条中也针对产品及服务采购进行了相应要求;
• 加强供应链对象沟通交流机制，建立有效的问题反馈渠道，及时与上下游对象进行问题沟通及应急处置;
• 提高企业内部人员安全意识，建立安全操作及运维管理制度，降低违规及异常操作带来的风险。

【本文是专栏作者“绿盟科技博客”的原创稿件，转载请通过联系原作者获取授权】

戳这里，看该作者更多好文