該提升軟件更新服務層級 從開發到更新的流程
對此,賽門鐵克首席顧問張士龍更指出3個重點面向:第一點是這次供應鏈***所設涉及的部分,包括更新程序的安全管理,負責發布更新的主機安全防護,以及憑證的管理等;第二點是檔案派送方面一致性的檢測;第三個則是部署流程方面的各環節,也要有相對應的檢查與流程控管。而其中所有流程的安全控管,更是他所強調的部份。另外,近年在許多安全議題都提及的白名單機制,也能套用在這些開發相關的服務器,以及更新服務器上,協助做到較嚴格的管控。當然,這些安全管控不算新的概念,大型企業也應該都有實施信息安全管理制度,因此是否能夠落實將是關鍵,或是企業根本沒有顧及這些方面,那麽現在就應該要有所重視。而從這次華碩的更新檔案被加料,以及數字簽名憑證遭濫用來看,對於其他提供更新下載服務的企業而言,同樣也該有所警惕。
正視軟件供應鏈***的威脅,總共有5大***面向必須要註意
深入探究下去,對於這次華碩更新主機遭駭的事件,其實許多資安專家也都提到了幾個需要註意面向,包括是在軟件開發的過程,以及發布與部署的環節,甚至後續的維運管理。畢竟,關於更新檔案被***植入惡意代碼,是有可能發生在某一環節。其中,關於安全軟件開發生命周期(SSDLC)的重要性,近年各界已經不斷在呼籲,目的就是要避免***借道軟件漏洞著手破壞或加料,然而最後的部署維運階段,以及發布到自動更新服務這一部分,過往並未特別受到重視,如今卻可能成為被忽略的一個環節。更進一步來看,企業若要全面掌握可能發生問題的環節、盤點防護面向,設法認識***者下手方向,就是最好的方式。
根據美國國家反情報與安全中心(NCSC)的研究,他們在2017年10月公布了相關數據,多起軟件供應鏈***案例之中,我們可將***下手的環節歸納為5個方面,包括軟件工具(開發工具、軟件開發工具包)、內賊(開發者)、程序代碼、Updates/Patch更新主機與下載主機。而在MITRE提出的ATT&CK知識庫中,也針對軟件供應鏈***手法而提出說明,這裏面提到,***能在供應鏈的任何階段***,不只是操縱開發工具、開發環境、原始碼鏈接庫,以及***更新、部署機制,也會藉由感染映像檔,修改版本替換,以及從分銷管道下手。圖片來源:http://www.cafes.org.tw/info.asp
更要註意的是,這些手法已不是概念是想象,而是真實的活動,有多家資安業者都在2019年的預測中,認為軟件供應鏈***是相當顯著的威脅態勢,而在賽門鐵克最新的網絡安全威脅報告(ISTR),更是指出2018 年的***較往年增加了78%。而***者之所以會選擇劫持軟件更新,就是一次能感染龐大的目標,是相當有效率的***手法。無論如何,類似這樣的事件一定會繼續發生,已經成為軟件開發商與企業、一般消費者必須正視的問題,也是不得不面對的重大挑戰,因為既有信任的管道早已被打破,這也將是所有企業與資安界同樣要面對的難題。
該提升軟件更新服務層級 從開發到更新的流程