• <nav id="5jebs"></nav>
    <button id="5jebs"></button>

      2.  
        2. 
    
           
          
        • 智安全
        • 信服云
        • 信創適配
        • 行業
        • 試用中心
        • 技術與服務
        • 合作伙伴
        • 產業教育
        • 更多
         
         
         
         
         
         
        中文
            
         
         
         
           
              
           
           
           
          搜索
           
          搜索
           
           
           
           
           
           
           
           
           
          中文
                      
           
           
           
           
          新聞中心
           
           新聞中心??>??應戰正當時 | 記一次供應鏈攻擊實例分析,附企業長短期防范建議
           
          應戰正當時 | 記一次供應鏈攻擊實例分析,附企業長短期防范建議
           
          背景圖 2023-08-09 19:24:35
           
           
           
          2023實戰攻防演練今日正式開始,各企業單位是否已經做好了應戰準備?
          

          供應鏈攻擊作為近年來熱門且有效的攻擊手段,各位是否已經做好防范?
          

          

           
          

          有這么一個真實的案例:
          

          

          

          在某次大型攻防演練中,某負責國家關鍵信息基礎建設和數據管理運營的大型企業,在做好嚴密的安全防護前提下,紅隊攻擊者仍通過拿下供應鏈上某個供應商研發人員的測試機,從而成功拿到其重要信息系統管理員權限,獲取到該目標企業的大量敏感數據,且可以隨意增刪改。
          

           
          

          

          如果是真實的黑客攻擊,該企業將面臨著數據泄露、系統癱瘓、業務中斷、財產損失等嚴重后果!
          

          下面我們就從攻擊隊視角完整還原該事件,從中了解防范之道。
          

          

          

           
          

          

          01事件分析
          

          

          

          

          初步嘗試:內網防護嚴密,轉戰信息系統
          

          攻擊前,攻擊隊對該企業的外網資產進行了信息收集工作,發現該企業的防護十分嚴密,對外網暴露的業務系統很少,且都進行了多重安全設備防護。同時,該企業擁有完善的安全運維體系,一有風吹草動都會直接封禁攻擊者的IP,如果采用常規的、正面突破的攻擊手法,恐怕難以獲取到目標企業的內網權限。
          

          

          于是攻擊隊轉變思路,從原來的“外網突破-內網橫向-獲取目標權限”,轉變為針對該企業的目標信息系統進行相關信息收集,看看是否能找到新的突破口。
          

          

          

          

           
          

          鎖定供應鏈:招投標網站發現線索,確認供應商
          

          攻擊隊隨即搜索該目標信息系統名字,并將搜索結果限定在目標企業管理的域名內。
          

          

          

          

          搜索發現
          

          搜索發現,該系統名稱在某企業的招投標網站中出現,攻擊隊進一步檢索這次招投標的最終結果,在中標公示中,確認該系統為由某供應商開發提供。為保險起見,攻擊隊還找到了該供應商的官網,在其示例案例中也發現了目標企業的名字。
          

          

          

          搜索發現
          

          于是攻擊隊初步敲定通過攻擊該供應商,進一步獲取目標權限的策略。
          

           
          

          

          

          

          攻破供應鏈:控制供應商云主機控制臺權限
          

          

          攻擊隊對該供應商的外網資產進行信息收集,在信息收集的過程中,發現該供應商某個子域名下存在.git信息泄露漏洞。
          

          

          

          攻破供應鏈
          

          隨后,攻擊隊通過.git信息泄露漏洞利用工具獲取到了該站點的源碼。
          

          

          

          攻破供應鏈
          

          接著,攻擊隊對代碼進行審計,過程中發現了該代碼某處配置文件中,泄露了該供應商使用的某公有云OSS的AK、SK。
          

          

          

          攻破供應鏈
          

          通過公有云利用工具使用泄露的AK、SK登錄到某公有云后臺,發現該AK、SK可以控制歸屬該供應商的數臺云主機,并通過在公有云后臺下發執行命令后獲得了這些云主機的控制臺權限。
          

          

          

          

           
          

          供應鏈內網橫向:發現目標企業系統源碼
          

          

          在獲取到供應鏈部分云主機權限后,攻擊隊并沒有急于進行內網橫向,而是對這些云主機進行信息收集。經過信息收集后發現這些云主機掛載著該供應商多個業務系統,但是可惜并沒有找到該目標信息系統的源碼。
          

          但是,攻擊隊在這些系統的配置文件內發現該供應商的多個常用密碼,于是攻擊隊用對應的常用密碼字典,對供應商的多個C段網絡進行服務探測及密碼噴灑攻擊,最終發現外網有多臺主機使用了常用密碼。
          

          攻擊隊基于密碼噴灑的結果,一邊進行內網橫向,一邊進行收集,終于,他們發現內網其中一臺使用常用口令的主機為該供應商研發人員使用的測試機,里面包含該供應商開發的多套信息系統源碼,其中就有本次演練目標系統的源碼。
          

           
          

          

          

          

          獲取目標權限:遍歷爆破,成功登錄目標系統后臺
          

          

          既然已經拿到目標系統的源碼,攻擊隊馬上開始進行現場代碼審計,很快就發現了多個登錄前的SQL注入漏洞,并且都在該供應商的同套代碼的環境中測試成功。
          

          但是在對正式目標系統進行測試時,卻被安全設備攔截,并且payload在經過多次組合變異都無法繞過安全設備的攔截,看來特征明顯的攻擊方式無法繞過目標嚴密的防守。
          

          攻擊隊并沒有輕易放棄,從頭開始對整套源碼的鑒權邏輯進行了分析,發現該系統某接口使用的JWT方式進行鑒權,在通過JWT鑒權后就會賦予用戶對應的權限的session。并且,在源碼內的某個配置文件中發現了JWT的加密密鑰,只要知道用戶名和用戶id就可以構造出JWT token。
          

          通過代碼,攻擊隊也了解到用戶id是從1開始遞增,可以通過遍歷的方式進行爆破。于是攻擊隊開始通過對常用用戶名(如:admin、test、manager等)和1-100的id進行組合生成一批JWT token字典列表,并通過burpsuite使用該列表對接口進行了低頻爆破,最后成功爆破出admin用戶的用戶id為18,再利用該token賦予的session最終成功登錄目標系統后臺,并確認了admin用戶的權限為管理員。
          

           
          

          最終攻擊方可以通過該目標信息系統的管理員權限可以獲取到該目標企業的大量敏感數據,且可以隨意增刪改。
          

          

          

           
          

          

          02事件總結
          

          在整個攻擊事件中,不難看出該企業在安全防護上已經做得十分優秀,無論是信息收集階段的暴露面收斂、系統的安全設備防護,還是在系統源碼被拿到的情況下,利用SQL注入漏洞的攻擊,都進行了成功的防守。
          

          

          但網絡安全絲毫不容疏忽,由于供應商自身的安全疏漏,導致攻擊隊找到了跳板,最終在如此嚴密的布控下,該企業依然被拿下重要信息系統。
          

          

          

           
          

          

          03事件思考
          

          

          

          

          攻防演練中的軟件供應鏈攻擊
          

          在攻防演練中,常常會出現通過軟件供應鏈攻擊從而拿下目標的案例,攻擊隊為了在短時間內拿下目標,主要會采用以下3種手法對供應鏈進行攻擊
          

          

          

          1.獲取源碼
          

          

          收集目標站點的供應商信息,通過攻擊供應商或同源碼站點獲取目標系統源碼,進行代碼審計,最終獲取目標權限;
          

          

          2.獲取運維人員權限
          

          

          由于企業內網中有許多供應商提供的系統,當沒有供應商的駐場人員時,企業往往需要通過提供內網遠程接入方式給供應商進行運維。
          

          這時,攻擊者會通過提前信息收集,確認目標企業的重要內網系統供應商,通過攻擊供應商的運維人員,獲取目標企業的VPN賬號或跳板機權限,然后進一步進行內網橫向獲取目標權限;
          

          

          3. 升級包植入后門
          

          

          通過信息收集獲取目標系統托管在供應商的升級服務器地址,通過攻擊獲取升級服務器權限,并在升級包中植入后門定向推送到目標系統,進而獲取目標系統權限。
          

           
          

          

          

          

          企業防范之道
          

          

          隨著國家對網絡安全越來越重視,軟件供應鏈安全也成為了國家重點關注的安全領域之一。
          

          軟件供應鏈安全又包含了軟件開發周期和軟件運營周期,整個軟件供應鏈又與開發人員、環境、供應商、工具等因素密切相關。軟件供應鏈中擁有太多不穩定因素,所以,軟件在開發過程中很容易被攻擊者發現缺陷,最終被惡意利用導致安全事件的發生。
          

          在攻防演練中可以通過以下措施來減少軟件供應鏈所帶來的風險。
          

           
          

          

          

          供應鏈攻擊防范-實戰演練版
          

          

          

          

          

          

          

          

          ● 1、梳理提供給軟件供應商的賬號(如:VPN、零信任賬號、源碼倉庫賬號等),需要遵循最小權限范圍原則,啟用多重身份驗證,并使用強密碼;
          

          ● 2、梳理內網中的供應商系統,演練期間盡量使用離線更新包手動進行系統更新,不要開放外網自動更新機制;
          

          ● 3、對內外網系統進行全面排查,發現并整改存在高危漏洞的站點;
          

          ● 4、對企業內網權限進行收縮,不允許員工及供應商駐場人員同時訪問內外網;
          

          ● 5、重點系統需要通過WAF、AF、aES、XDR等安全設備加強防護,盡可能防御攻擊者通過0day進行攻擊;
          

          ● 6、對供應商人員及員工進行安全培訓,避免因為釣魚攻擊而被獲取內網權限。
          

          

           
          

          企業不僅在攻防演練的過程中需要做好以上的安全措施,從長期來看,企業還需要密切關注軟件從開發到運營的每個環節,并針對每個環節的潛在風險進行管控和消除。
          

          企業可以通過規劃以下長期的投入來盡可能減少軟件供應鏈風險。
          

          

          

           
          

          供應鏈攻擊防范-長期規劃版
          

          

          

          

          

          

          

          

          選擇供應商階段
          

          ● 1、結合企業的實際情況,構建軟件供應商評估模型,指定軟件供應商評估標準及安全框架;
          

          ● 2、根據指定的評估模型和相關標準,篩選出符合標準要求的供應商,并選出符合標準條件最多的供應商;
          

          ● 3、對通過標準審查的供應商進行安全風險評估,了解清楚軟件供應商潛在的安全風險、存在的暴露面及有可能被外部突破的安全風險;
          

          ● 4、對企業內網權限進行收縮,不允許員工及供應商駐場人員同時訪問內外網;
          

          ● 5、提供給軟件供應商的賬號(如:VPN、零信任賬號、源碼倉庫賬號等),需要遵循最小權限范圍原則,啟用多重身份驗證,并使用強密碼;
          

          ● 6、加強與軟件供應商的數據共享管理機制,確保敏感數據最小權限化,并且可對數據細粒度權限進行管控,當數據泄露時可以進行溯源。
          

           
          

          企業運維階段
          

          ● 1、軟件開發前,針對開發人員或軟件供應商做安全培訓,確保SDL流程能有效實施并落地,同時根據最新的攻防形態提升研發團隊的安全能力;
          

          ● 2、使用軟件組成分析(SCA)、靜態應用安全測試(SAST)和動態應用安全測試(DAST)等自動安全測試工具掃描企業內使用的源碼和組件;
          

          ● 3、定期審視代碼中使用的開源組件,不使用包含安全漏洞的開源組件版本;
          

          ● 4、針對企業中的源碼做檢視,確保代碼沒有被攻擊人員惡意篡改。
          

           
          

          軟件開發階段
          

          ● 1、針對企業內使用遠程辦公軟件的行為做限制,遠控軟件需啟用多重身份驗證和強密碼,并確保使用遠程辦公軟件的主機處于安全設備監控;
          

          ● 2、針對企業內的關鍵系統進行安全監控,避免關鍵系統受供應鏈后門影響;
          

          ● 3、定期掃描和修補易受攻擊的系統。
          

          

           
          

          軟件供應鏈安全是網絡安全的關鍵問題之一,對保障整個軟件生態的安全至關重要。企業需要對內和供應商強調軟件供應鏈安全的重要性,提高內部和供應商的安全意識,共同維護整個軟件生態的安全。
          

          祝各位不僅僅在本次實戰攻防演練中取得好成績,更是在日常中都能夠建立一個安全、可信、可持續的軟件供應鏈生態系統。
          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

           
           
          
              上一篇:
              
                構筑基于商密的零信任應用新范式——深信服出席2023商用密碼大會
              
           
           
          相關新聞
            查看更多新聞
          相關資料
            
          相關案例
            
           
           
           
           
            關于我們
             
          • 掃碼獲取一對一服務
             企業微信二維碼-官網
            •  
          • 關注我們
             
           
          智安全
          信服云
          資源中心
          如何購買
          售后支持
          公司
           
             
           
          熱門解決方案:
           
          DeepSeek承載創新方案
          云網端安全方案
          VMware替代方案
          一體化辦公安全方案
          友情鏈接:
           
          信銳技術
          口袋助理
          托管云官網
           
          ? 2025 深信服科技股份有限公司版權所有 
          粵ICP備08126214號 
          粵公網安備44030502002384號 
          合字B1.B2-20220041 
           
           
           
            
           
           
          
  
久久在精品线影院,久久视频这里只精品亚洲,99欧美精品含羞草,欧洲精品性爽视频