本年度软件供应链攻击事件回顾

软件供应链攻击在过去几年呈上升趋势，并且迅速成为最危险的安全威胁之一。本文将重点介绍了 2022 年到目前为止观察到的一些最值得注意的软件供应链攻击事件。 

盘点 2022 五大软件供应链攻击

Okta

身份验证服务主要提供商 Okta 的网络遭到知名数据勒索组织 Lapsus$的攻击，该组织当时表示，他们的目标并不是从供应商那里窃取数据，而是通过利用对Okta的访问权来攻击其客户。Lapsus$ 集团通过第三方分包商 Sitel 获得了对公司网络的访问权限，并且能够查看 Okta 的客户公司内部网络并执行管理操作。黑客的攻击行为发生在 2022 年 1 月 16 日至 21 日，并于 3 月下旬公开披露。Okta 表示有 366 家公司客户（约占 Okta 客户的 2.5%）受到安全漏洞的影响。 

Comm100

总部位于加拿大的商业聊天提供商 Comm100 表示其在 51 个国家/地区拥有 15,000 名客户，遭到网络攻击，恶意攻击者破坏了供应商的基础设施并劫持了 Comm100 的实时聊天软件的安装程序。攻击者将安装程序修改为后门程序，得以部署其他恶意软件。此次攻击时间从 2022 年 9 月 27 日持续到 9 月 29 日上午，影响了北美和欧洲的工业、医疗保健、技术、制造、保险和电信行业的公司，有多少受害者在此次攻击中受到影响仍不得而知。 

GitHub OAuth 令牌攻击

今年 4 月，GitHub 的安全团队披露了一起安全事件，攻击者窃取了发给第三方集成商 Heroku 和 Travis-CI 的 OAuth 用户令牌，并利用从 GitHub 的数十名客户那里下载了数据，这些客户一直在使用上述供应商维护的 OAuth 应用程序，包括 npm 和存储库托管服务本身。GitHub 表示，这些攻击具有很强的针对性，因为恶意攻击者仔细列出了所有可访问的私有存储库，并且只从特定组织下载了存储库。 

Fishpig

由提供 Magento-WordPress 集成软件的公司 FishPig 开发的多个扩展在 8 月发生的供应链攻击中感染了恶意软件。攻击者破坏了供应商的基础设施，并注入了恶意代码，将 Recoobe 恶意软件安装到 FishPig Magento Security Suite 和 FishPig WordPress Multisite 软件中，从而访问使用 FishPig 产品的网站。这次攻击影响了付费的 Fishpig 扩展，托管在 GitHub 上的免费扩展没有受到影响。 

AccessPress 供应链攻击

AccessPress 是一个流行的 WordPress 插件和插件主题开发商，在超过 360,000 个活跃网站中使用，在一次大规模软件供应链攻击中遭到破坏，该公司的软件被后门版本取代。后门使恶意攻击者可以完全访问使用恶意插件的网站。此次攻击总共破坏了 AccessPress Themes 网站上可用的 40 个主题和 53 个插件。 

如何缓解软件供应链攻击风险

纵观过去三年中的各大软件供应链攻击事件，我们可以看到软件供应链攻击的破坏力之大与影响之深远。因此，实施防御策略来加强软件供应链并避免相应攻击对企业来说至关重要。 

特权访问管理（PAM）

当今的公司和组织在云平台、人员分布、混合办公环境和第三方供应商的技术环境中以惊人的速度发展。在工作环境中，用户通常需要提升权限和对特权帐户的访问请求才能完成他们的任务。相同的用户首先需要向服务器提供他们需要访问权限的正当理由。PAM 简化了批准或拒绝用户访问请求的过程并记录每个决定。此外，PAM 解决方案通常设置为需要获得管理员对特定访问的批准，一旦用户申请得到批准，PAM 会临时为他们提供更高的任务访问权限，这样就无需手动处理请求和记录特权访问凭据。 

实施零信任

人为因素仍然是网络安全最大的风险，这在很大程度上是由于缺乏意识、疏忽或不适当的访问控制造成的，然而单靠培训并不能解决这些问题。随着攻击面的扩大，企业实施零信任框架。零信任假定不再有传统的网络边缘，而是采用更严格、连续和动态的用户身份验证方法，同时无缝执行此操作来避免影响用户体验。用户对资源的访问也将根据对其当前行为的实时风险评估进行动态控制，同时在每个企业网络和云应用程序入口点部署以用户为中心的安全控制，防止远程员工意外或故意违反安全策略。

第三方风险管理

第三方风险管理十分关键，因为使用第三方会直接或间接影响企业的网络安全。第三方增加了信息安全的复杂性，第三方通常不受企业的控制，无法完全了解他们的安全控制情况。一些供应商拥有强大的安全标准和良好的风险管理实践，但还有一些供应商的安全策略并不周密和完善。每个第三方都是数据泄露或网络攻击的潜在攻击媒介。如果供应商具有易受攻击的攻击面，企业使用的此类供应商越多，攻击面就越大，可能面临的潜在漏洞就越多。定期的第三方风险评估计划将在网络犯罪分子利用它们之前发现供应链安全风险。理想情况下，这些评估应该是完全可定制的，以适应每个供应商的独特风险状况。 

事件应急计划

企业应当具备计划和实施事件处理能力，以应对突发的安全事件。包括响应安全事件的技能、角色、程序、流程和工具。企业需要具备完善的事件响应计划，使企业能够尽可能快速有效地检测问题，当受到恶意攻击时，企业能够快速响应时间，并有效地确定原因，控制影响与损失继续扩大。 

参考链接：

https://techcrunch.com/2022/03/23/okta-breach-sykes-sitel/

https://www.crowdstrike.com/blog/new-supply-chain-attack-leverages-comm100-chat-installer/

https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/

https://jetpack.com/blog/backdoor-found-in-themes-and-plugins-from-accesspress-themes/

https://sansec.io/research/rekoobe-fishpig-magento

https://www.immuniweb.com/blog/5-biggest-supply-chain-attacks-in-2022-so-far.html