APT供应链攻击防护应对分析及意义

APT供应链攻击防护应对分析及意义

缑文琦 李明强 黄德衎

（中国信息通信研究院安全研究所，北京 100191）

摘要：随着数字化的高速发展，各项关键信息基础设施和重要资源对供应链越来越依赖，网络罪犯和黑客也已发现供应链里充满了可供利用的漏洞，不少国家政府已经表示对供应链的完整性和脆弱性越来越担忧。本文从APT供应链攻击的原理和检测难点进行分析，并借鉴各国政府、国外企业采取的措施着手，从政策、技术、安全意识培养等方面对我国APT供应链攻击防护和应对提出相关建议。

关键词：网络安全；供应链攻击；防护应对；安全框架

1 引言

近年来，信息通信技术（ICT）的广泛应用促进了相关产业的全球化进程，特别是随着互联网新技术的高速发展，ICT系统的运行对分布在全球的供应链生态系统越来越依赖，供应链安全也与社会经济生活产生了密不可分的联系，保障了人身和财产安全。不过，供应链中各种可供利用的漏洞也被网络罪犯和黑客所关注，供应链攻击作为APT攻击中常用的技术手段之一，往往比较容易被忽视、且难以检测。根据调查发现，APT组织采用供应链攻击主要是作为攻击目标的一种“曲线攻击”路径，即通过对目标相关的供应商或服务商攻击作为达到最终目标的方法。当前，不少国家已经表示对供应链的完整性和脆弱性越来越担忧。因此，APT供应链攻击的防护应对分析，对提升国家网络安全具有重要意义。

2 APT供应链攻击原理和检测难点

2.1 APT供应链攻击原理

APT攻击是网络罪犯或黑客以窃取核心资料为目的，针对目标客户所发动的网络攻击和侵袭行为，是一种集合了多种常见攻击方式的综合攻击。其中，供应链攻击作为APT攻击中的常用手段，其成因是APT组织利用客户对产品或服务的潜在信任而进行的攻击侵入，一旦供应链遭受攻击几乎很难被发现，且想要试图通过召回或升级产品阻止攻击的成本巨大，所需的周期较长。可以说，供应链攻击的优势并非在破坏力上，而在于侵入供应链的覆盖面积和组件的多样性上。目前，对供应链污染的不同环节进行分析比对，发现在开发工具、源代码、安装包下载、升级客户端时、厂商预留后门、物流链等环节上，攻击者容易通过这些组件进行侵入并植入病毒传播，甚至导致百万级用户信息数据泄露、流量劫持等重大危害。近年来，影响最重大的两起关于供应链攻击的事件，就造成了难以计数的损失：一是美国零售商巨头塔吉特百货的数据泄露，就是由于合作公司的登录凭证失窃所造成的，该事件直接造成7000万的用户个人信息和4000万的信用卡数据被盗，据估计损失甚至可能达到10亿美元；二是乌克兰的NotPetya勒索软件事件，起因是一款流行的会计软件M.E.Doc被名为NotPetya的勒索病毒感染而引起的。难以想象的是，NotPetya在全球快速扩散，甚至中断了马士基和TNT这种国际航运和物流公司关键IT系统，给每一家都造成了至少9位数的损失，并对全球供应链安全产生了深远影响。

2.2 供应链攻击检测难点

伴随着越来越多设备接入网络，使得供应链攻击愈发难以预防。供应链作为制造业的关键角色，一旦攻击形成甚至可能造成整体目标沦陷，大量设备不可控，促使网络安全风险不断提升。从目前来看，造成供应链攻击难以检测的原因主要有3个方面。

（1）组件供应商涉及面广。多数大型企业都拥有诸多关键数字资产、数字组件和支持系统，这些资产、组件以及支持系统所包含的供应商涉及面广，且没有统一的规范标准进行测试，以至于在检测时难度很大。

（2）供应商安全防护能力弱。在传统观念里，生产和传输过程往往是默认安全的，但不少供应链攻击恰恰发生在这些环节中，甚至终端防护也很少对这些环节进行检测，且供应商安全能力普遍较低，因此很难检测出攻击。

（3）开发人员或供应商安全意识低。由于开发人员或供应商在应对供应链攻击时安全意识低，造成就算出现供应链异常或可疑行为，但依然难以确定造成这些安全漏洞的出现是疏忽大意还是有意为之。

3 供应链攻击防护和应对实践

鉴于数字化时代各项关键信息基础设施和重要资源对供应链的依赖，近年来网络安全领域的重点研究方向逐步聚焦到ICT供应链的攻击防护和应对问题上。归结起来，各国政府、国外企业采取的应对供应链攻击措施主要有两个方面。

3.1 政府强化政策支持，制定供应链安全框架

伴随着供应链范围的扩大以及相关安全管理措施的落地，以美国、英国、欧盟等为代表的国家和地区开始将供应链安全视为至关重要的资产，并从供应链关键信息基础设施、开发设计、分发、运营、安全评估等方面制定出台了相关的政策法规，旨在加强供应链安全。

（1）通过禁止和限制使用通信技术和服务来确保供应链安全。2019年5月15日，美国政府正式签署《确保信息通信技术与服务供应链安全》行政令；2019年11月27日，发布了相关法规草案，该草案详细说明了就某些对美国关键信息基础设施或数字经济造成的网络安全风险，或对国家以及公民构成的风险以及信息通信技术和服务交易中所进行的识别、评估与解决风险程序，从而决定是否禁止交易，以此通过限制信息技术和服务进出口，来确保美国ICT关键信息基础设施供应链的安全。

（2）通过制定供应链安全评估方法和示例来进行监督和管理。英国作为网络强国，供应链攻击成为影响其国家安全领域的主要威胁之一。2018年，英国国家网络安全中心（NCSC）发布供应链安全指导文件，文件从供应链攻击、管理实践、安全性评估以及改进措施等4部分出发，总结出12条安全规则旨在帮助从网络、物理、人员安全层面建立对供应链的监管与控制。

（3）通过完善供应链体系来降低安全风险。从欧盟发布的《供应链完整性》报告可以看出，在数字经济下ICT供应链是否完整正成为各国经济发展的关键要素；报告中还分析了供应链中相关产品从开发设计、分发到运营过程中涉及的风险，并提出了应对建议和措施。美国也提出了构建全球供应链系统总框架，可更有效地根据威胁预警情况调整解决风险的优先次序，抢占应急处置先机。

3.2 企业缩小自身攻击面，自下向上实施抵御入侵

技术型主流企业Google在应对供应链攻击上建立了一套行之有效的方案，给自己设定的主要目标是“做好自己”，即在现有技术下尽可能地缩小供应链攻击面。此外，2017年Google与其他几家技术公司联合推出了名为“Grafeas”的开源计划，该计划的主要目的是为企业建立统一的安全审计方法，并对相应的软件供应链进行管控，帮助企业构建规模尺度上的安全和管理的综合模型，从关键信息基础设施开始，自下向上，逐步涵盖到硬件、软件、操作规范等各方面。

（1）从开源和自主研发软件出发进行安全审计和审控。将开源软件和自主研发软件同等对待，投入一定的资源寻找零日漏洞，并在安全开发流程中实施安全审计；同时，严格审控自有互联网数据中心的物理安全，要求使用的第三方互联网数据中心的物理安全措施对其完全可控。

（2）对监控基础设施和有权限的管理员进行规范。对基础设施的客户端设备进行实时监控操作，投入一定的资金保证操作系统能够及时、安全地更新到补丁，以此来限制软件安装；同时，鼓励自动化安全可控的方式来进行工作，包括双人审批机制、在排错时使用脱敏的应用程序接口等，并严密监控拥有基础设施管理权限的特殊员工，评估出一些特殊任务的最小权限，以此保证人员层面的安全可控。

（3）硬件安全上服务器主板、网络设备都自主设计。谨慎挑选供应链中组件的供应商或服务商，与供应商或服务商一起进行审计，精心挑选所需要的组件，并确认该组件符合所需要的安全属性等。

4 针对供应链攻击和防护的启示

在万物互联的数字经济时代，伴随着5G、云计算、物联网等新技术的崛起，各行各业都开始进行数字化、智能化转型，网络安全从传统的物理边界防护向零信任安全转变。同时，供应链作为全球物资和服务互相交错组成的复杂而又脆弱的网络，存在着地域跨度大、涉及环节众多、参与主体多样化等诸多特点，极易受到来自内部或者外部环境的安全威胁。针对供应链攻击特点，在革新安全理念、技术手段，建立全新的技术防护体系的同时也需要从政策、技术、安全意识培养3个方面入手，切实加强我国供应链攻击防护体系。

（1）制定专门的供应链安全框架，明确各方在供应链攻击防护中需要承担的责任和义务。在制定专门政策或标准时，借鉴美国、英国、欧盟等国家和地区增加对供应链安全管理的政策条款，通过对进出口许可管理、不可靠实体清单、负面清单等一系列制度的协调统筹，将国际认可的行业标准、操作指南及覆盖面更广的NIST网络安全框架（CSF）覆盖供应链管理的上下游，以此来尽可能保证供应链安全，帮助制造商评估和缓解其在信息及操作系统所面临的安全风险。

（2）将零信任等网络安全新理念列入需要“着力突破的网络安全关键技术”，打造无边界网络访问安全系统。在应对供应链攻击上，企业可以遵循“默认不信任，总是验证和授予最少权限”的原则，尽可能地缩小供应链的攻击面；在解决云时代边界防护问题上，为了让应用程序所有者能够对持有的公共云、私有云和内部数据进行保护，可将可信代理调解应用与用户进行连接，以此来保护供应链的安全性和完整性。

（3）持续提升开发人员或供应商的安全意识，为供应链安全态势带来积极影响。通过对开发人员或供应商进行安全培训，改善供应链中每一个环节的安全状况，包括提升供应链涉及人员的整体安全意识，并把安全性评估作为评审项中的必要过程覆盖在整个开发环节中，及时解决发现的最新问题。

参考文献

[1] 杨勇. 破阵对国内外网络供应链的思考[J]. 中国信息安全, 2018(11):67-70.

[2] 安全事故启示录：回看美国零售巨头塔吉特大规模数据泄露事件[EB/OL]. (2015-05-16)[2019-11-12]. https://www.freebuf.com/news/67464.html.

[3] 安全牛. 供应链攻击成最大网络威胁 解决之道关键在人[EB/OL]. (2018-05-28)[2019-11-12]. http://www.sohu.com/a/233145697_490113.

[4] 倪光南, 陈晓桦, 尚燕敏, 等. 国外ICT供应链安全管理研究及建议[J]. 中国工程科学, 2016(6):104-109.

[5] 实施NIST网络安全框架的5个步骤[EB/OL]. (2018-09-28)[2019-11-12]. https://blog.csdn.net/featherli2016/article/details/82882318.

[6] 张汉青. 零信任安全市场迎来爆发式增长[EB/OL]. 经济参考报, (2019-10-31) [2019-11-12].http://dz.jjckb.cn/www/pages/webpage2009/html/2019-10/31/content_58375.htm.

Analysis and significance of attack protection response in APT supply chain

GOU Wenqi, LI Mingqiang, HUANG Dekan

(China Academy of Information and Communications Technology, Beijing 100191, China)

Abstract: In recent years, with the rapid development of digital era, key infrastructure and important resources are increasingly dependent on the supply chain. Internet criminals and hackers have also found that the supply chain is filled with available vulnerabilities. Many governments have expressed their concern about the integrity and vulnerability of the supply chain. This paper analyzes the principles and detection difficulties of APT supply chain attacks, and draws on the measures taken by governments and foreign enterprises from various countries.

Key words: network security; supply chain attack; protective response; security framework

作者简介

缑文琦：中国信息通信研究院安全研究所助理工程师，主要从事网络安全政策研究、国际交流合作等方面

李明强：中国信息通信研究院安全研究所工程师，多年网络安全技术测试经验，主要从事技术测试工作

黄德衎：中国信息通信研究院安全研究所工程师，主要从事渗透测试技术工作、网络安全规划支撑工作

论文引用格式：

缑文琦，李明强，黄德衎. APT供应链攻击防护应对分析及意义[J]. 信息通信技术与政策, 2020(2):65-68.

本文刊于《信息通信技术与政策》2020年第2期

声明：本文来自信息通信技术与政策，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。