國家安全部今天發(fā)布安全提示文章��,國家網(wǎng)絡(luò)安全通報中心監(jiān)測發(fā)現(xiàn)�,近期集中爆發(fā)多起供應(yīng)鏈投毒攻擊事件�,涉及開源軟件倉庫和商用工具兩大核心供應(yīng)鏈場景。相關(guān)“供應(yīng)鏈投毒”事件呈現(xiàn)攻擊隱蔽性強(qiáng)�����、影響范圍廣、危害程度高和傳播速度快的共性特征���,可造成憑據(jù)遭竊取��、遠(yuǎn)程代碼執(zhí)行和敏感數(shù)據(jù)泄露等嚴(yán)重危害���。
攻擊來勢洶洶
軟件供應(yīng)鏈,是軟件從組件獲取�����、開發(fā)集成�����、版本分發(fā)�����,直至交付終端用戶使用的全流程鏈條����。與直接針對終端的網(wǎng)絡(luò)攻擊不同���,“供應(yīng)鏈投毒”是一種典型的“上游污染、下游傳導(dǎo)”模式�。攻擊者通過劫持開發(fā)者官方賬號、篡改開源代碼倉庫源碼��、污染軟件安裝包與發(fā)布版本等方式����,將惡意程序植入各類軟件中。隨著軟件的發(fā)布與更新����,這些潛伏的“毒瘤”便被源源不斷地輸送至海量終端設(shè)備���。
鏈條環(huán)環(huán)相扣
軟件“供應(yīng)鏈投毒”引發(fā)的并非單一節(jié)點(diǎn)的安全故障�,而是全域感染的系統(tǒng)性危機(jī)��。
——傳播范圍難以控制����。基礎(chǔ)組件被數(shù)以萬計(jì)的軟件所依賴。一旦某個核心組件被污染�����,使用它的軟件都會受到波及,風(fēng)險將隨著代碼依賴鏈不斷擴(kuò)散�����。
——賬號密鑰不再安全�。開發(fā)環(huán)境和服務(wù)器里往往保存著賬號密碼、API密鑰���、加密證書等重要憑證���。一旦這些“鑰匙”被竊取,可導(dǎo)致個人隱私�、工作敏感信息泄露。
——終端設(shè)備淪為傀儡����。被“投毒”的組件可能偷偷連接攻擊者服務(wù)器,接收遠(yuǎn)程指令�。攻擊者可借此竊取文件、數(shù)據(jù)���,甚至將被控設(shè)備用于對外攻擊���、非法“挖礦”�。
——安全修復(fù)周期漫長��。普通漏洞或許一個補(bǔ)丁就能解決��,但“供應(yīng)鏈投毒”往往要先查清上游組件問題�����,再逐一推動下游軟件更新����、測試與重新發(fā)布,處置成本較高�,周期較長���。
防護(hù)處處留心
從開發(fā)廠商到運(yùn)營平臺�����,再到億萬終端用戶�����,軟件供應(yīng)鏈的安全離不開鏈條上的每一個主體�����,需要多管齊下��、協(xié)同發(fā)力���,才能抵御侵襲�����。
——守好“入口關(guān)”���。軟件開發(fā)者要堅(jiān)持從官方網(wǎng)站獲取開源組件、插件和研發(fā)工具��,避免使用來源不明的網(wǎng)盤資源�����、破解版工具和第三方安裝包�����。在引入開源組件時,需依托國家級漏洞平臺核查組件漏洞與補(bǔ)丁信息��。
——管住“依賴鏈”���。研發(fā)管理部門要建立軟件物料清單管理機(jī)制����,全面掌握系統(tǒng)中開源組件�,第三方庫及插件工具的來源、維護(hù)�����、漏洞等情況���,對長期無人維護(hù)��、來源不清����、版本過舊����、權(quán)限過高的組件,應(yīng)及時替換或降權(quán)使用��。重點(diǎn)系統(tǒng)上線前����,應(yīng)開展代碼安全檢測、依賴項(xiàng)掃描和惡意代碼排查�����。
——看緊“運(yùn)行端”�。網(wǎng)絡(luò)運(yùn)維部門要加強(qiáng)開發(fā)環(huán)境、測試環(huán)境�、生產(chǎn)環(huán)境隔離,避免核心服務(wù)器����、代碼倉庫、構(gòu)建平臺直接暴露在公網(wǎng)���。對服務(wù)器異常外聯(lián)�、陌生進(jìn)程啟動���、異常賬號登錄����、流量突然升高等情況,要及時預(yù)警處置��。發(fā)現(xiàn)高風(fēng)險組件后�����,應(yīng)立即排查受影響系統(tǒng)��,及時升級安全版本����;暫時無法升級的,應(yīng)采取斷網(wǎng)隔離���、關(guān)閉相關(guān)功能���、回退安全版本等措施。
——厘清“責(zé)任方”�。單位用戶要明確軟件供應(yīng)鏈安全責(zé)任部門和責(zé)任人,將開源組件使用��、第三方軟件采購�、系統(tǒng)上線驗(yàn)收、安全更新處置納入日常管理�����。采購商業(yè)軟件�����、外包開發(fā)和技術(shù)服務(wù)時�����,應(yīng)在合同中明確安全檢測���、漏洞修復(fù)��、組件來源����、數(shù)據(jù)保護(hù)和應(yīng)急響應(yīng)責(zé)任�����,不能只重功能、不問安全�����。
——避開“非官方”�����。個人用戶盡量通過官方網(wǎng)站��、正規(guī)應(yīng)用商店下載軟件����,不隨意安裝破解版、綠色版以及來歷不明的插件����,不輕易運(yùn)行陌生腳本和命令。收到軟件更新提示時����,應(yīng)優(yōu)先核實(shí)來源,不點(diǎn)擊不明鏈接下載所謂“補(bǔ)丁包”“增強(qiáng)版”“內(nèi)部版”����。
?��。偱_央視記者 王莉)
(責(zé)編:
李雅妮
)
版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司�����。任何媒體轉(zhuǎn)載�、摘編�����、引用���,須注明來源中國西藏網(wǎng)和署著作者名��,否則將追究相關(guān)法律責(zé)任��。
