2020年網(wǎng)絡(luò)安全威脅回顧與展望

時間： 2021年01月07日來源：安天CERT

1、導(dǎo)語

在每年冬訓(xùn)營上發(fā)布年報的預(yù)發(fā)布版，征求參會專家的意見建議，是安天多年堅持的傳統(tǒng)。

在今年的年報中，安天總結(jié)了APT、勒索軟件、數(shù)據(jù)泄露、供應(yīng)鏈安全、威脅泛化等方向的思考與觀點：

關(guān)于APT：

2020年APT攻擊組織的攻擊行動持續(xù)活躍，與之前活動多以經(jīng)濟、軍事、政治等為目的相比，增加了利用新冠疫情話題傳播和入侵事件，以及針對新冠疫苗研究機構(gòu)為目標(biāo)的攻擊活動。

美國政府影響美方安全廠商對APT活動的細節(jié)披露，全球范圍內(nèi)的APT披露可能進入不披露技術(shù)證據(jù)的外交及司法行動時期。

云平臺、基礎(chǔ)設(shè)施管理平臺網(wǎng)絡(luò)空間高級威脅攻防對抗強度將會加劇，2020年已經(jīng)發(fā)生了多起利用云平臺以及基礎(chǔ)設(shè)施管理平臺的APT活動的案例。

突破物理隔離已經(jīng)成為高級威脅組織的普遍能力，基于文件流轉(zhuǎn)的新信道，將涉密數(shù)據(jù)追加在非涉密文件上的做法既不會創(chuàng)建文件也不會損壞文件，也不依賴網(wǎng)絡(luò)，大大提高了重要情報被成功從隔離網(wǎng)絡(luò)竊走的可能性。從實際的運維管控局限，到入侵、信道建立手段的相對可行，隔離網(wǎng)絡(luò)同樣面臨網(wǎng)空威脅，不能因“隔離”而忽略建設(shè)安全監(jiān)測與防護體系。

警惕利用社工手段的無載荷APT竊密攻擊方式，此類形式的釣魚攻擊不依賴載荷文件即可實現(xiàn)竊密活動，僅利用社會工程學(xué)進行騙取，相對投放載荷運行雖然較被動且成功率低，但可以在一定程度規(guī)避安全產(chǎn)品的檢測，不需開發(fā)代碼、維護基礎(chǔ)設(shè)施，對攻擊組織的能力和成本要求很低，很可能會被一些一般能力及以下的攻擊組織采用。面對當(dāng)下攻擊組織手段的不斷變換，安全工作者應(yīng)提高警惕，安全運營不能局限于告警事件，還應(yīng)不斷提升安全產(chǎn)品的檢測能力，不能固守IoCs和情報檢測，應(yīng)積極探索基于異常活動、行為分析的威脅檢測能力，及時發(fā)現(xiàn)阻斷此類無載荷攻擊事件。

基于應(yīng)用軟件的攻擊再次警示供應(yīng)鏈安全不容忽視：一是設(shè)備本身的安全問題，二是下游軟件模塊驗證機制問題。供應(yīng)鏈任何一個上下游都可能存在被入侵的可能，每一個節(jié)點都可能引發(fā)安全問題，一切皆不可信，每個處于網(wǎng)絡(luò)空間中的節(jié)點都應(yīng)該具備審核校驗和防護能力以確保自身的安全。

關(guān)于勒索軟件：

隨著勒索軟件的興起，勒索攻擊不斷演進進化，截止到2020年，已經(jīng)形成了一個龐大的黑色產(chǎn)業(yè)鏈。隨著RaaS（勒索軟件即服務(wù)）的出現(xiàn)，2019年安天CERT預(yù)測：非針對性勒索軟件主要威脅中低級防護，攻擊者能力兩極分化嚴重。在2020年可以看到，現(xiàn)今勒索軟件攻擊能力不斷提高，已接近“APT”水平。

從安天CERT提出的針對勒索軟件的幾個防護階段看，早期提升個人安全意識，避免執(zhí)行陌生郵件文件即可防御利用郵件傳播的勒索軟件；中期加強安全運營，避免弱口令和及時安裝補丁即可防御利用口令和漏洞入侵的勒索軟件；隨后以安天智甲終端防護系統(tǒng)為代表的，具備有效防護勒索軟件加密磁盤文件的終端防護產(chǎn)品可以防止大部分勒索軟件，但現(xiàn)今勒索軟件攻擊能力不斷提高，已接近“APT”水平，防護勒索軟件的成本也隨之提高，需要建設(shè)相對全面的防御體系才可能防止今后的勒索軟件攻擊。

關(guān)于數(shù)據(jù)泄露：

企業(yè)與相關(guān)機構(gòu)應(yīng)重視信息保護，制定完善的安全保護策略防止用戶信息在存儲、傳輸和使用過程中泄露。可以通過增加技術(shù)投入、建立合理的流程以及加大人員安全培訓(xùn)等方式減少和預(yù)防數(shù)據(jù)泄露事件的發(fā)生。

關(guān)于供應(yīng)鏈：

安天CERT已經(jīng)連續(xù)5年對供應(yīng)鏈安全進行年度性回顧與預(yù)測告警。安天從2015年網(wǎng)絡(luò)安全年報^[12]開始，對供應(yīng)鏈安全領(lǐng)域給予了高度關(guān)注，預(yù)測“‘上游廠商’將遭受更多的攻擊，導(dǎo)致整個供應(yīng)鏈、工具鏈的脆弱性增加。攻擊者會將目光轉(zhuǎn)向防護能力稍弱的第三方供應(yīng)商，以其受信任的身份為跳板，攻擊防護能力較強的企業(yè)，從而帶來更大面積的影響”。

供應(yīng)鏈的安全防護是一項系統(tǒng)性、綜合性的工作，需要各方共同參與和努力，需要建立清晰的架構(gòu)和標(biāo)準(zhǔn)體系，以推動各環(huán)節(jié)增加有效安全考量；對供應(yīng)商加強安全生產(chǎn)和開發(fā)要求，推動供應(yīng)鏈透明化；對供應(yīng)鏈環(huán)節(jié)進行有效標(biāo)注，厘清技術(shù)來源，定位和說明關(guān)聯(lián)風(fēng)險，掌握開源利用和第三方模塊的風(fēng)險流動；各方加強與安全廠商的合作，提高整體系統(tǒng)的安全性和對威脅的態(tài)勢感知能力，使安全能力得到最大程度的覆蓋。

關(guān)于威脅泛化：

威脅泛化使需要網(wǎng)絡(luò)防護的敞口擴大。傳統(tǒng)制造產(chǎn)業(yè)正在經(jīng)歷工業(yè)互聯(lián)網(wǎng)加持下的智能化升級，隨著物聯(lián)網(wǎng)和行業(yè)緊密結(jié)合，萬物互聯(lián)也將導(dǎo)致安全風(fēng)險的加劇。傳統(tǒng)企業(yè)的安全加固相對成熟，而物聯(lián)網(wǎng)終端種類的多樣性和脆弱性給攻擊者開辟了更多的攻擊入口。所以，企業(yè)在建設(shè)安全防護能力和體系時，應(yīng)考慮到需要網(wǎng)絡(luò)防護的敞口擴大的情況。

2、APT

2020年，主要的APT攻擊組織持續(xù)活躍，今年席卷全球的疫情，使得新冠病毒研究機構(gòu)及疫苗研究機構(gòu)成為攻擊目標(biāo)。在傳播方式方面，也相應(yīng)地增加了疫情主題，這與以往多以經(jīng)濟、軍事、政治等為目的的攻擊活動相比，是一個值得關(guān)注的變化，利用新冠疫情話題發(fā)起APT攻擊活動的組織主要來自于南亞、東南亞、美方、中東、東北亞等地區(qū)，特別是針對新冠疫苗研究機構(gòu)為目標(biāo)的攻擊活動在下半年愈加增多。從披露的攻擊組織和行動上看，以往活躍的攻擊組織繼續(xù)活躍，以美國為首的攻擊行動雖少被披露，但因其攻擊技術(shù)、組織及框架等多方位優(yōu)勢，其攻擊行動的披露往往較為滯后；從披露的受害組織、地區(qū)和國家上看，無人能獨善其身，超級網(wǎng)空大國的IT公司也遭遇到了嚴重的網(wǎng)絡(luò)攻擊（SolarWinds供應(yīng)鏈攻擊^[1]）事件。縱觀全球網(wǎng)絡(luò)，美國依然是超級網(wǎng)空大國，其攻擊行動極難被發(fā)現(xiàn)、被攻擊后的應(yīng)急響應(yīng)能力和發(fā)現(xiàn)披露能力等方面遠超他國。2020年，針對我國及俄羅斯、朝鮮和伊朗等國家的無直接披露證據(jù)的司法訴訟已經(jīng)成為其網(wǎng)絡(luò)戰(zhàn)術(shù)的一部分——指責(zé)性操作。全球范圍內(nèi)仍需警惕美國的攻擊能力、行動和組織，防止國家、軍事、經(jīng)濟、科研及人員等遭受損失。

2020年，我國依舊是東北亞、東南亞、南亞、歐美等某些國家或地區(qū)背景的APT攻擊組織重要的攻擊目標(biāo)。我國新冠肺炎疫情防控取得了重大戰(zhàn)略成果，特別是在疫苗的研究中，更是創(chuàng)造了多個“全球率先”的標(biāo)志性成果，而針對疫情防控到疫苗研究的各個環(huán)節(jié)取得的進展和成果均成為境外APT攻擊組織迫切希望竊取的重要資料。與此同時，可能還存在尚未發(fā)現(xiàn)的攻擊行動，因此，我國仍面臨著巨大的網(wǎng)絡(luò)安全防護考驗。

安天CERT梳理了2020年全球APT組織及行動的分布和活躍情況，制作了“2020年全球APT攻擊行動、組織歸屬地理位置分布（活躍）圖”：

圖 1 2020年全球主要APT攻擊行動、組織歸屬地理位置分布（活躍）圖

2.1 利用新冠疫情熱點關(guān)鍵字的APT攻擊活動頻繁

新冠疫情爆發(fā)以來，APT組織的攻擊活動并沒有因疫情減緩，反而利用疫情相關(guān)事件進行趁火打劫。這其中的投機者如“海蓮花”、“苦象”^[2]等組織選擇與疫情相關(guān)主題的魚叉式網(wǎng)絡(luò)釣魚發(fā)起針對性的網(wǎng)絡(luò)攻擊活動。而其他一些如“Lazarus”、“APT29”等組織更是直接針對COVID-19疫苗研究機構(gòu)發(fā)起攻擊，目標(biāo)直接瞄準(zhǔn)COVID-19疫苗開發(fā)進度與成果。我國外交部發(fā)言人趙立堅14日曾表示，從以往記錄看，美國在全球范圍實施了最大規(guī)模網(wǎng)絡(luò)竊密行動。“中國在抗擊新冠肺炎疫情斗爭中已取得重大戰(zhàn)略成果，在新冠疫苗研究和治療方面也走在世界前列。因此，中方更有理由擔(dān)心遭到網(wǎng)絡(luò)竊密。”

2020年因新冠疫情可能會成為人類歷史上的一個新變局，面對疫情給全球經(jīng)濟和人們生活帶來的沖擊，以及日趨復(fù)雜的國際政治形勢，當(dāng)前世界格局可能正在經(jīng)歷百年未有之大變局。新冠疫情裹挾生物安全及其產(chǎn)生的影響沖擊著全球的政治、經(jīng)濟、文化活動。人們利用手機APP、郵件等服務(wù)獲取大多數(shù)與新冠疫情有關(guān)信息，社會運行對信息系統(tǒng)運行的依賴程度提升，網(wǎng)絡(luò)空間的安全態(tài)勢在疫情時期的重要性不言而喻。縱觀2020年關(guān)于已知APT組織活動的TTP（戰(zhàn)術(shù)、技術(shù)、過程）并無明顯變化，更多未知的APT行動則是暗流涌動，雖然疫情目前對網(wǎng)絡(luò)空間高級威脅活動產(chǎn)生的影響未知，全世界的人們更在乎生物安全，但網(wǎng)絡(luò)安全如影隨形亦愈發(fā)重要。

2.2 安全廠商披露APT活動或?qū)⑹艿较拗疲瑖艺畬⒅鲗?dǎo)APT活動的歸因溯源

2020年9月16日，美國司法部起訴五名中國公民^[3]（FireEye公司公開報道所謂“APT41組織成員”），指其涉嫌通過網(wǎng)絡(luò)攻擊活動入侵全球超過100家公司。但美國司法部此次的起訴書缺少相關(guān)的溯源證據(jù)，并且絕大部分細節(jié)與早期FireEye披露APT41的內(nèi)容，包括惡意代碼、技術(shù)手法、以及溯源到的人員均毫無關(guān)聯(lián)。2020年10月19日，美國司法部起訴六名俄羅斯黑客，指其涉嫌參與烏克蘭停電事件以及針對法國大選、韓國平昌冬奧會等網(wǎng)絡(luò)攻擊行動，報告內(nèi)容并沒有提供直接證據(jù)，而是直接將起訴人作為故事的連接點，講述起訴人與不同網(wǎng)絡(luò)攻擊活動事件的關(guān)聯(lián)。

回看2020年2月10日美國司法部長正式起訴四名與Equifax數(shù)據(jù)泄露事件有關(guān)中國軍人的內(nèi)容，同樣遵循直接將起訴人作為主語。與以往美國司法部的起訴書報告中包含著攻擊組織使用的戰(zhàn)術(shù)、技術(shù)以及實施的過程相比較，美國司法部在2020年的報告則表現(xiàn)出直接將起訴人作為主語的范式。

美國司法部關(guān)于APT組織成員的起訴書內(nèi)容不再提供證據(jù)的原因可能是美國司法部有證據(jù)但不方便透露，或者擁有少量證據(jù)，證據(jù)鏈不全，甚至有可能是無證據(jù)的威脅恐嚇。美國司法部不再提供證據(jù)的做法也將影響提供材料的美方安全廠商，后者也無法在官方博客中詳細披露有關(guān)APT活動的溯源證據(jù)。美國司法部開了這樣的先例，其他國家或許會紛紛效仿，其結(jié)果將導(dǎo)致安全廠商與所屬國家政府在針對網(wǎng)絡(luò)攻擊溯源方面的合作相互配合，安全廠商披露APT活動或?qū)⑹艿较拗疲瑖艺畬⒅鲗?dǎo)APT活動的歸因溯源。美國政府影響美方安全廠商對APT活動的細節(jié)披露，全球范圍內(nèi)的APT披露可能進入不披露技術(shù)證據(jù)的外交及司法行動時期。

2.3 云平臺、基礎(chǔ)設(shè)施管理平臺網(wǎng)絡(luò)空間高級威脅攻防對抗強度將會加劇

由于2020年新冠疫情帶來的影響，IT組織陸續(xù)將更多工作負載遷移到云中，遠程辦公之后這種趨勢愈發(fā)明顯。在疫情發(fā)生之前，從本地遷移到云和混合IT環(huán)境的工作已經(jīng)開始，而疫情進一步加速了這一進程。

云平臺曝出的漏洞越來越多，在國外發(fā)生了多起利用云平臺以及基礎(chǔ)設(shè)施管理平臺的APT活動的案例。例如，2020年11月4日，美國網(wǎng)絡(luò)安全廠商FireEye披露Solaris中的嚴重關(guān)鍵緩沖區(qū)溢出漏洞可能允許遠程接管[4]，未知的攻擊組織利用該漏洞入侵了云托管服務(wù)商駐留了519天；2020年12月7日，美國國家安全局（NSA）發(fā)布報告稱，具有俄羅斯背景的黑客組織正在利用虛擬化平臺VMware的產(chǎn)品漏洞實施網(wǎng)絡(luò)入侵活動^[5]。

現(xiàn)有云平臺的安全能力可以通過確保租戶之間的有效隔離，或者實現(xiàn)用戶層面和云平臺之間的有效隔離來解決大部分常規(guī)威脅。但一些手段如常見的弱口令實現(xiàn)租戶之間的橫向入侵、利用漏洞實現(xiàn)用戶層面與云平臺之間的縱向破壞、甚至用更高級且復(fù)雜的供應(yīng)鏈攻擊完成對云平臺或者基礎(chǔ)設(shè)施管理平臺的入侵活動。

與傳統(tǒng)PC相比，云平臺和基礎(chǔ)設(shè)施管理平臺架構(gòu)在針對常見的網(wǎng)絡(luò)威脅方面已有建樹，面對更高階的威脅如供應(yīng)鏈攻擊、APT活動等缺少對應(yīng)的案例支撐，也不具備相應(yīng)的對抗經(jīng)驗，因此云平臺、基礎(chǔ)設(shè)施管理平臺的網(wǎng)絡(luò)空間攻防對抗強度將會加劇。

2.4 突破物理隔離已經(jīng)成為高級威脅組織的普遍能力

網(wǎng)絡(luò)隔離，一般指以物理隔離為基礎(chǔ)，定義相關(guān)約束規(guī)則控制訪問以保障網(wǎng)絡(luò)安全強度的技術(shù)。近年來多個高級威脅組織都對隔離網(wǎng)絡(luò)做了攻擊嘗試，對隔離網(wǎng)絡(luò)的安全性關(guān)注度越來越高，僅今年發(fā)現(xiàn)的此類滲透木馬就達5種以上，突破網(wǎng)絡(luò)隔離成為高級威脅組織的普遍能力。

2020年4月，安天捕獲了一組手段高超的內(nèi)網(wǎng)滲透木馬，并在5月22日詳細曝光了DarkHotel組織^[3]在2019年至2020年間為突破隔離網(wǎng)絡(luò)而設(shè)計的高級木馬組件Ramsay ^[6]。該組件通過感染內(nèi)網(wǎng)共享目錄和本機非系統(tǒng)盤中的正常軟件程序?qū)崿F(xiàn)傳播，將打包采集到的數(shù)據(jù)進行多重加密后附加在正常Word文件的末尾，寄希望于受害者將竊密數(shù)據(jù)攜出隔離網(wǎng)，攻擊者可等候在外部已淪陷節(jié)點將其搜尋讀取。此外木馬還搜尋U盤攜入的新感染W(wǎng)ord文件，讀取附有的指令和載荷并執(zhí)行。整個過程基于文件流轉(zhuǎn)的新信道，將涉密數(shù)據(jù)追加在非涉密文件上的做法既不會創(chuàng)建文件也不會損壞文件，也不依賴網(wǎng)絡(luò)，大大提高了重要情報被成功從隔離網(wǎng)絡(luò)竊走的可能性。

圖 2 Ramsay木馬滲透隔離網(wǎng)絡(luò)流程圖

2020年1月15日，安天發(fā)布威脅分析報告《“折紙”行動：針對南亞多國軍政機構(gòu)的網(wǎng)絡(luò)攻擊》^[7]，首次曝光了一個在南亞地區(qū)活躍時長超兩年的新高級威脅組織：“幼象”，該組織旗下的PackagePD木馬也是為突破隔離網(wǎng)絡(luò)而設(shè)計，該木馬依賴誘餌偽裝欺騙點擊，能深度采集信息并釋放誘餌至新傳播設(shè)備，形成一定的內(nèi)網(wǎng)竊密（重要文件）和內(nèi)網(wǎng)測繪（系統(tǒng)信息、網(wǎng)絡(luò)信息、登錄憑證）效果。但該木馬的實際傳播效果很有限，開發(fā)水平相比Ramsay遜色得多，猜測尚處于試驗階段。

圖 3 PackagePD木馬滲透隔離網(wǎng)絡(luò)流程圖

2020年新增了幾個針對隔離網(wǎng)絡(luò)的高水平木馬家族，如：USBCulprit、USBferry、USBWorm。突破隔離網(wǎng)絡(luò)的一般流程為：侵入—>信道建立—>數(shù)據(jù)滲出&命令控制。攻擊者在隔離網(wǎng)的搭建維護過程中便可能通過供應(yīng)鏈侵入，如2018年8月臺積電感染W(wǎng)annaCry變種事件，直接原因是新采購的存在問題設(shè)備未經(jīng)過檢查便直接進入了生產(chǎn)網(wǎng)絡(luò)，最終導(dǎo)致三處廠區(qū)的機器遭到勒索加密。此外類似NSA的攻擊者實際在本世紀(jì)的第一個十年已經(jīng)基本上結(jié)合原有的IT接口場景具備了隔離網(wǎng)突破能力，并且該能力已在類似“震網(wǎng)”等攻擊中獲得了實戰(zhàn)檢驗。

從實際的運維管控局限，到入侵、信道建立手段的相對可行，隔離網(wǎng)絡(luò)同樣面臨網(wǎng)空威脅，不能因“隔離”而忽略建設(shè)安全監(jiān)測與防護體系。

2.5 警惕利用社工手段的無載荷APT竊密攻擊方式

隨著安全廠商在安全檢測和攔截惡意軟件方面的能力提升，攻擊組織也不斷開發(fā)新技術(shù)來逃避檢測。當(dāng)前存在一些僅利用社會工程學(xué)完成最終竊密攻擊的事件，這些事件可稱之為無載荷攻擊。此類攻擊利用前期獲取到的郵箱賬戶進行社會工程學(xué)的誘騙獲取敏感文件，可以規(guī)避流量側(cè)的異常連接訪問發(fā)現(xiàn)和端點側(cè)的惡意載荷檢測。不同于“無文件”（fileless）攻擊技術(shù)雖然不向磁盤寫入可執(zhí)行文件，但或多或少會通過注冊表、內(nèi)存或其他介質(zhì)中留下痕跡，該手法是一種真正的無文件載荷的攻擊方式，不會在端點側(cè)留存任何數(shù)據(jù)。

2020年8月，安天捕獲一批針對高校、科研院所等機構(gòu)的攻擊活動。攻擊者先對目標(biāo)單位發(fā)送一批釣魚郵件，重點攻擊各單位的科技處、科工院等官方郵箱。若成功攻陷，則充分利用此類官方郵箱的工作職能，通過往來郵件進一步誘騙更多攻擊目標(biāo)向這個攻陷郵箱發(fā)送科研工作成果信息。攻擊者還會回復(fù)有疑慮的受害者回復(fù)的疑問郵件，進一步博取對方的信任達成竊取科研成果的目的。整個攻擊過程中沒有任何載荷文件，可以說完整規(guī)避的安全軟件的防護。

圖 4 某攻擊事件過程簡圖

此類形式的釣魚攻擊不依賴載荷文件即可實現(xiàn)竊密活動，僅利用社會工程學(xué)進行騙取，相對投放載荷運行雖然較被動且成功率低，但可以在一定程度規(guī)避安全產(chǎn)品的檢測，不需開發(fā)代碼、維護基礎(chǔ)設(shè)施，對攻擊組織的能力和成本要求很低，很可能會被一些一般能力及以下的攻擊組織采用。面對當(dāng)下攻擊組織手段的不斷變換，安全工作者應(yīng)提高警惕，安全運營不能局限于告警事件，還應(yīng)不斷提升安全產(chǎn)品的檢測能力，不能固守IoCs和情報檢測，應(yīng)積極探索基于異常活動、行為分析的威脅檢測能力，及時發(fā)現(xiàn)阻斷此類無載荷攻擊事件。

2.6 基于應(yīng)用軟件的攻擊再次警示供應(yīng)鏈安全不容忽視

2020年新冠疫情爆發(fā)以來，我國政府采取了嚴格的疫情管控措施，減少人員聚集，大力推行遠程辦公方式。而VPN網(wǎng)絡(luò)則是各政府部門和駐外機構(gòu)、中資企業(yè)等推行遠程辦公不可或缺的“通信橋梁”。大規(guī)模的遠程辦公需求導(dǎo)致了VPN網(wǎng)絡(luò)應(yīng)用上升，VPN終端用戶數(shù)與網(wǎng)絡(luò)流量同步增長，很多重要敏感數(shù)據(jù)都會在VPN網(wǎng)絡(luò)上傳輸，這對于長期覬覦我國政府機構(gòu)的一些境外APT組織來說暴露了更多的邊界設(shè)備目標(biāo)。

由于疫情原因需求大增且使用急迫，廠商可能對部分設(shè)備的安全防護沒有做到位。2020年4月6日，深信服官方發(fā)布文章“關(guān)于境外非法組織利用深信服SSL VPN設(shè)備下發(fā)惡意文件并發(fā)起APT攻擊活動的說明”，公開境外APT組織通過其VPN設(shè)備對我國相關(guān)單位進行攻擊的事件，并將相關(guān)情況及當(dāng)前處置進展公開。經(jīng)各家安全廠商分析與驗證，相關(guān)攻擊事件確已發(fā)生且已存在被攻陷主機。通過對相關(guān)公開資料梳理和樣本文件分析，這是一起利用SSL VPN設(shè)備漏洞和客戶端升級模塊簽名驗證機制的缺陷發(fā)起的APT攻擊事件。攻擊者通過漏洞或弱口令或其他手段首先獲取了SSL VPN設(shè)備的權(quán)限，利用管理權(quán)限向客戶端下發(fā)仿冒的升級文件，由于客戶端升級模塊未能完整校驗文件的合法性，導(dǎo)致仿冒的升級文件在客戶端主機執(zhí)行。

圖 5 深信服VPN被利用攻擊事件流程圖

無獨有偶，2020年12月13日，美國網(wǎng)絡(luò)安全公司FireEye發(fā)布分析報告稱，SolarWinds旗下的Orion基礎(chǔ)設(shè)施管理平臺的發(fā)布流程遭到黑客組織入侵，黑客對文件的源碼進行篡改添加了后門代碼，該文件具有合法數(shù)字簽名會伴隨軟件更新下發(fā)。后門代碼偽裝成Orion OIP協(xié)議的流量進行通信，將其惡意行為融合到SolarWinds合法行為中。FireEye稱已在全球多個地區(qū)檢測到攻擊活動，包括北美、歐洲、亞洲和中東的一些政府、咨詢、技術(shù)公司。美國政府相關(guān)人士受訪表示受害者包含大量美國政府和企業(yè)，該事件有可能成為近三年來最為嚴重的利用供應(yīng)鏈發(fā)動的網(wǎng)絡(luò)攻擊事件。

圖 6 SolarWinds供應(yīng)鏈入侵事件

以上兩個事件之所以發(fā)生主要有兩個根本原因：一是設(shè)備本身的安全問題。近些年來，相關(guān)方面披露或曝光了大量針對各類網(wǎng)絡(luò)設(shè)備的攻擊裝備，其中不乏大量針對防火墻、VPN設(shè)備、路由器的攻擊武器，這些武器正是類似發(fā)起這類攻擊的最初突破口。以斯諾登曝光的ANT攻擊裝備為例，其中名為“JETPLOW”的武器——一個針對思科PIX系列和ASA防火墻的植入程序，是一個“永久的后門”（PDB，Persistent Backdoor），能夠?qū)构碳壊⒅С诌h程控制，它還能植入“BANANAGLEE”武器，一個功能更豐富的持久化后門，該武器在“方程式組織”攻擊SWIFT服務(wù)提供商的行動中真實使用過，被作為突破物理邊界設(shè)備的關(guān)鍵武器。二是下游軟件模塊驗證機制問題。供應(yīng)鏈任何一個上下游都可能存在被入侵的可能，每一個節(jié)點都可能引發(fā)安全問題，一切皆不可信，每個處于網(wǎng)絡(luò)空間中的節(jié)點都應(yīng)該具備審核校驗和防護能力以確保自身的安全。因此，供應(yīng)鏈的安全防護是一項系統(tǒng)性、綜合性的工作，需要各方共同參與和努力，需要建立清晰的架構(gòu)和標(biāo)準(zhǔn)體系，以推動各環(huán)節(jié)增加有效安全考量；對供應(yīng)商加強安全生產(chǎn)和開發(fā)要求，推動供應(yīng)鏈透明化；對供應(yīng)鏈環(huán)節(jié)進行有效標(biāo)注，厘清技術(shù)來源，定位和說明關(guān)聯(lián)風(fēng)險，掌握開源利用和第三方模塊的風(fēng)險流動；各方加強與安全廠商的合作，提高整體系統(tǒng)的安全性和對威脅的態(tài)勢感知能力，使安全能力得到最大程度的覆蓋。

3、定向勒索攻擊能力接近“APT”水平，企業(yè)防護能力需要對應(yīng)加強

隨著勒索軟件的興起，勒索攻擊不斷演進進化，截止到2020年，已經(jīng)形成了一個龐大的黑色產(chǎn)業(yè)鏈，為攻擊者創(chuàng)造了巨額利潤，越來越多的攻擊者開始利用勒索軟件。隨著RaaS（勒索軟件即服務(wù)）的出現(xiàn)，更加印證了我們在去年的預(yù)測，非針對性勒索軟件主要威脅中低級防護系統(tǒng)，攻擊者能力兩極分化嚴重。2020年由于疫情的出現(xiàn)，越來越多的企業(yè)、政府、運營商等開始遠程辦公，隨之而來的是網(wǎng)絡(luò)威脅持續(xù)攀升，勒索攻擊事件作為網(wǎng)絡(luò)威脅的一個分支，在2020年已然成為網(wǎng)絡(luò)安全最活躍的威脅之一。根據(jù)統(tǒng)計，勒索軟件攻擊者主要的攻擊方式有口令破解、釣魚郵件、Flash Player漏洞、Pulse VPN的漏洞、Windows VBScript Engine遠程代碼執(zhí)行漏洞、Oracle WebLogic漏洞、Flash UAF漏洞以及利用其他惡意軟件如Emotet或TrickBot等銀行木馬進行傳播等。在過去一年里，全球知名企業(yè)相繼遭到了勒索軟件的攻擊，如克羅地亞最大的石油公司、全球最大的鋼鐵制造和采礦公司之一EVRAZ、歐洲最大的私立醫(yī)院集團費森尤斯（Fresenius）和阿根廷最大的互聯(lián)網(wǎng)服務(wù)提供商之一阿根廷電信（Telecom Argentina）等。在逐漸成熟的勒索軟件行業(yè)，勒索軟件攻擊者攻擊能力不斷提高，已經(jīng)不滿足中小型企業(yè)的攻擊，逐漸開始尋找大型有價值攻擊目標(biāo)，攻擊者為了形成有效勒索，逐漸開始形成“定向勒索+竊密+曝光+售賣”的方式，通過泄露數(shù)據(jù)逼迫受害者支付贖金，部分受害者可能會為了息事寧人、避免曝光等非數(shù)據(jù)恢復(fù)需求的原因而支付贖金。

3.1 勒索軟件攻擊能力不斷提高，接近“APT”水平

勒索軟件從2013年開始出現(xiàn)，當(dāng)時主要為廣泛無目的傳播，而且傳播范圍局限性很大。自2017年開始，商業(yè)軍火的泄露導(dǎo)致WannaCry開啟大規(guī)模自動化傳播。2018至2019年，勒索攻擊開始從大規(guī)模廣撒網(wǎng)逐步演變到通過釣魚郵件、RDP暴力破解等進行傳播。2020年，隨著勒索軟件行業(yè)兩極分化嚴重，高水平的勒索攻擊團隊借助商業(yè)軍火以及竊密工具進行定制化攻擊，找準(zhǔn)目標(biāo)精確打擊，攻擊能力已經(jīng)接近“APT”水平。他們通過前期的漏洞掃描找到目標(biāo)的脆弱性，使用口令爆破、釣魚郵件、漏洞利用工具包等進入到目標(biāo)的網(wǎng)絡(luò)中，再通過添加注冊表自啟動項或添加自啟動文件夾等持久化長期留存在目標(biāo)系統(tǒng)中，之后開始在目標(biāo)系統(tǒng)中利用一些滲透工具如Cobalt Strike、Mimikatz、PsExec、Process Hacker、NLBrute等進行提權(quán)、憑證訪問、內(nèi)網(wǎng)掃描、橫向移動、收集重要信息等活動，逐步滲透到整個系統(tǒng)的網(wǎng)絡(luò)中，竊密后投放勒索軟件進行勒索。整套流程如果從威脅框架視角進行分析，所有戰(zhàn)術(shù)均有涉及。我們推測攻擊者采取廣撒網(wǎng)的攻擊方式無法攻破有一定防護基礎(chǔ)能力的企業(yè)，針對大型企業(yè)放棄簡單的自動化攻擊，轉(zhuǎn)而利用商業(yè)軍火和竊密工具等進行攻擊，已經(jīng)達到接近“APT”攻擊的水平。

3.2 勒索軟件對有價值的攻擊目標(biāo)進行定向勒索

勒索軟件制作者開始關(guān)注攻擊成本和攻擊效率，勒索軟件的攻擊方式從最初的廣撒網(wǎng)尋找目標(biāo)逐漸地變成對有價值的攻擊目標(biāo)進行定向勒索。2020年11月29日，全球最大的電子產(chǎn)品制造公司富士康受到了勒索攻擊，其文件在DoppelPaymer勒索軟件泄露數(shù)據(jù)網(wǎng)站上被發(fā)布，攻擊者索要3400萬美元的贖金^[8]。關(guān)于富士康服務(wù)器上的勒索信也被報道出來，一般的勒索信不會標(biāo)注受害者的廠商名，但此次攻擊勒索信中開頭標(biāo)注有富士康字樣，而且內(nèi)容用意明顯，攻擊者聲稱支付贖金才能解密數(shù)據(jù)以及避免數(shù)據(jù)被泄露。從2020年開始，我們能夠看到越來越多的勒索軟件攻擊團隊開始有計劃的瞄準(zhǔn)較為脆弱的大型企業(yè)，雖攻擊成本較高，一旦成功，可能收到的回報遠遠高于廣撒網(wǎng)式勒索。

3.3 勒索攻擊流程鏈條化

在2019年底，Maze勒索軟件家族引領(lǐng)一波竊密風(fēng)潮，聲稱如果受害者不按期進行支付，則將竊取的信息發(fā)布到網(wǎng)上^[9]。實現(xiàn)先竊密，后勒索，如果攻擊者拒絕支付贖金，再曝光竊密的數(shù)據(jù)。這種“恐嚇”式勒索在2020年開始成為主流，越來越多的勒索軟件攻擊者開始效仿Maze勒索軟件家族。這也印證了我們在2019年對勒索軟件未來攻擊手段的預(yù)測，部分勒索軟件不單單只是加密勒索，還夾帶著竊密和挖礦等惡意行為。

隨著勒索軟件攻擊的方向越來越廣泛和受害者數(shù)量的增加，攻擊者創(chuàng)建了可以讓受害者查看對應(yīng)勒索數(shù)據(jù)和支付贖金頁面的交互式網(wǎng)站，從而實現(xiàn)支付贖金流程自動化。如若受害者在規(guī)定時間內(nèi)沒有支付贖金，被竊取的數(shù)據(jù)則會被售賣。

2020年，勒索軟件攻擊已然不僅僅是加密數(shù)據(jù)、索要贖金那么簡單，更多的是先竊密、后勒索、再曝光，這樣的攻擊方式不僅提高了受害者的風(fēng)險，也增加了攻擊者在曝光數(shù)據(jù)后對受害者造成的損失和影響。

3.4 勒索軟件中間商

在勒索軟件層出不窮的近幾年中，各類機構(gòu)、行業(yè)乃至政府部門都遭受過攻擊，與此同時也涌現(xiàn)出了為數(shù)不少的“數(shù)據(jù)恢復(fù)公司”。

2020年在江蘇南通有一起勒索軟件攻擊事件，由于勒索金額較大，受害者聯(lián)系到一家“數(shù)據(jù)恢復(fù)公司”支付低于贖金的價格對數(shù)據(jù)進行了恢復(fù)。通過技術(shù)人員判斷，該勒索軟件在未得到攻擊者的解密工具之前是無法進行解密的，經(jīng)過警方調(diào)查后，這個“數(shù)據(jù)恢復(fù)公司”的負責(zé)人交代了實情，他們以低于贖金的價格從攻擊者那里獲得了解密工具，從而完成了解密恢復(fù)工作，實質(zhì)上是從中賺取差價^[10]。

成立這種中間商類型的“數(shù)據(jù)恢復(fù)公司”成本不高，僅需幾人就可以完成對應(yīng)工作。此前也有過受害者支付贖金卻沒有得到解密工具的案例，故不推薦與公司背景不明確的數(shù)據(jù)恢復(fù)公司和勒索軟件攻擊者進行聯(lián)系。

2021年預(yù)測勒索軟件攻擊仍然保持廣撒網(wǎng)與定向攻擊并存的趨勢。隨著經(jīng)濟利益的驅(qū)動，勒索軟件的變現(xiàn)能力越來越強，攻擊者可以獲取極大的直接收益。在技術(shù)層面上來看，攻擊者普遍采用對稱加密算法加密受害者文件，得到一個密鑰，再使用非對稱加密算法將這個密鑰進行非對稱加密。根據(jù)目前的計算能力，破解非對稱加密密鑰至少需要幾十年的時間，導(dǎo)致無效解密。由于暗網(wǎng)的匿名性，導(dǎo)致很難對攻擊者進行追蹤溯源。目前，勒索軟件通常采用比特幣作為支付贖金的方式，暗網(wǎng)作為不可追蹤的支付鏈路，結(jié)合強加密算法，形成了勒索軟件所依賴的“鐵三角”。因此，勒索軟件在短時間內(nèi)很難消亡。

定向勒索和非定向勒索的攻擊面將擴大，非定向勒索攻擊者會繼續(xù)使用RaaS（勒索軟件即服務(wù)）模式以及通過僵尸網(wǎng)絡(luò)進行分發(fā)，預(yù)測仍將采用大面積廣撒網(wǎng)的方式進行傳播；定向勒索攻擊者多針對大型有價值目標(biāo)，進行定制化攻擊，提高攻擊成功率的同時盡最大可能獲利。

當(dāng)前大部分政企機構(gòu)依然固守依靠網(wǎng)絡(luò)一道邊界防護來御敵于城門之外的思想。防火墻等安全網(wǎng)關(guān)設(shè)備當(dāng)然是安全的必備環(huán)節(jié)，且部署成本低，易于維護，但其也極容易被穿透。如果單點依賴安全網(wǎng)關(guān)，一旦載荷進入到端點側(cè)，就幾乎處于無檢測管控的狀態(tài)，可以恣意滲透，橫掃全網(wǎng)。因而，端點側(cè)需要選擇EPP+EDR組合能力產(chǎn)品，既能提升第一時間阻斷成功率，又能有效支撐集中運營響應(yīng)。同樣針對性免殺幾乎必然出現(xiàn)在定向攻擊中，因此，基于動態(tài)沙箱的分析設(shè)備也已經(jīng)成為安全的必選項目^[11]。

定向勒索攻擊組織的攻擊能力接近“APT”水平，企業(yè)防護能力需要對應(yīng)加強： 從安天CERT提出的針對勒索軟件的幾個防護階段看，早期提升個人安全意識，避免執(zhí)行陌生郵件文件即可防御利用郵件傳播的勒索軟件；中期加強安全運營，避免弱口令和及時安裝補丁即可防御利用口令和漏洞入侵的勒索軟件；隨后以安天智甲終端防護系統(tǒng)為代表的，具備有效防護勒索軟件加密磁盤文件的終端防護產(chǎn)品可以防止大部分勒索軟件，但現(xiàn)今勒索軟件攻擊能力不斷提高，已接近“APT”水平，防護勒索軟件的成本也隨之提高，需要建設(shè)相對全面的防御體系才可能防止今后的勒索軟件攻擊。

4、數(shù)據(jù)泄露愈發(fā)嚴重，保護用戶隱私成為重中之重

圖 7 2020年影響力較大的數(shù)據(jù)泄露事件

近年來，數(shù)據(jù)泄露最嚴重的一年始終是下一年。2020年全球泄露數(shù)據(jù)總量激增，達到300多億條數(shù)據(jù)，創(chuàng)造了有數(shù)據(jù)泄露記錄以來的新峰值。

2020年3月，有暗網(wǎng)用戶發(fā)布了一則名為“5.38億微博用戶綁定手機號數(shù)據(jù)，其中1.72億有賬號基本信息”的交易信息，售價1388美元。這是因新浪微博的用戶查詢接口被惡意調(diào)用而導(dǎo)致的App數(shù)據(jù)泄露，數(shù)據(jù)包括用戶ID、手機號、昵稱、頭像、粉絲數(shù)、所在地等信息。此次數(shù)據(jù)泄露可以追溯到2018年底，有用戶在微博接口通過批量上傳通訊錄，匹配出幾百萬個賬號昵稱，用戶數(shù)據(jù)被大規(guī)模收集匹配，這也說明這批數(shù)據(jù)被黑產(chǎn)使用了兩年之久。企業(yè)與相關(guān)機構(gòu)應(yīng)重視信息保護，制定完善的安全保護策略防止用戶信息在存儲、傳輸和使用過程中泄露。

新冠疫情的爆發(fā)，大量線下消費轉(zhuǎn)向線上，線上經(jīng)濟快速發(fā)展，個人信息網(wǎng)絡(luò)數(shù)據(jù)大增，相關(guān)數(shù)據(jù)泄漏事件多次發(fā)生。與此同時，疫情防控期間各地采用出入登記表等紙質(zhì)或健康碼方法記錄相關(guān)信息，產(chǎn)生海量數(shù)據(jù)，由于種種原因，也出現(xiàn)了相關(guān)數(shù)據(jù)泄漏事件。2020年4月，青島膠州中心醫(yī)院出入人員名單信息泄漏，泄漏涉及6000余人的姓名、住址、聯(lián)系方式、身份證號碼等個人身份信息，造成了不良社會影響。為保護疫情期間登記的個人信息，一方面需要提高相關(guān)工作人員對個人信息尤其是涉及個人隱私信息的重視，明確規(guī)范使用及保護措施；另一方面需要敦促健康碼開發(fā)、存儲和使用的互聯(lián)網(wǎng)企業(yè)重視個人信息保護，采取有效措施，防止個人信息泄漏。

數(shù)據(jù)泄露主要因網(wǎng)絡(luò)攻擊、系統(tǒng)故障和人為錯誤引發(fā)。據(jù)統(tǒng)計，52％的數(shù)據(jù)泄露是由惡意外部人員造成的，攻擊者利用基礎(chǔ)設(shè)施層、網(wǎng)絡(luò)層和應(yīng)用層等在技術(shù)實現(xiàn)上存在的安全漏洞或者安全配置缺陷對系統(tǒng)進行遠程入侵、未授權(quán)訪問、查看和下載數(shù)據(jù)；25％是由系統(tǒng)故障造成的，在數(shù)據(jù)處理和數(shù)據(jù)交換等應(yīng)用場景中，由于權(quán)限控制、未加密存儲與傳輸、數(shù)據(jù)脫敏等安全防護機制不健全，導(dǎo)致用戶隱私、企業(yè)和組織的機密數(shù)據(jù)違規(guī)泄露；還有23％是人為錯誤造成的，內(nèi)部員工因?qū)M織不滿或者在利益驅(qū)動下，利用工作之便，在日常對業(yè)務(wù)系統(tǒng)的操作運維過程中越權(quán)查看、違規(guī)下載數(shù)據(jù)、云服務(wù)配置不當(dāng)?shù)仍驅(qū)е聰?shù)據(jù)泄露。客戶的個人身份信息占所有數(shù)據(jù)泄露的80％，是最經(jīng)常丟失或被盜的數(shù)據(jù)類型。企業(yè)可以通過增加技術(shù)投入、建立合理的流程以及加大人員安全培訓(xùn)等方式減少和預(yù)防數(shù)據(jù)泄露事件的發(fā)生。

數(shù)據(jù)安全是一場需要精益求精的攻堅戰(zhàn)，隱患往往存在于隱秘的角落，而絕對的安全是不存在的。首先，企業(yè)要認知自身的風(fēng)險，應(yīng)該根據(jù)業(yè)務(wù)特點進行較為全面風(fēng)險評估，哪些是合規(guī)風(fēng)險，哪些是內(nèi)控風(fēng)險，哪些業(yè)務(wù)是自身風(fēng)險。對業(yè)務(wù)有一個全面的風(fēng)險認知；其次是抓大放小，數(shù)據(jù)安全建設(shè)工作是一個龐大的工程概念，每個階段企業(yè)發(fā)展目標(biāo)、資源分配也會有差異，應(yīng)當(dāng)根據(jù)公司實際情況考慮，找出亟需解決的主要風(fēng)險。數(shù)據(jù)安全事故大多數(shù)都和人有關(guān)系，企業(yè)可適當(dāng)?shù)亻_展數(shù)據(jù)安全事故案例分享，使大家認識到數(shù)據(jù)安全的重要性；普及數(shù)據(jù)安全相關(guān)法律法規(guī)，使員工意識到違反數(shù)據(jù)安全的后果；進行安全知識培訓(xùn)，使大家具備基本的數(shù)據(jù)安全知識，能夠避免一些常見錯誤操作；最后，就是堅持。任何意識的培養(yǎng)和增強，都是一個長期的過程。

由于近年來數(shù)據(jù)泄露事件日益頻發(fā)，隱私保護備受重視，為規(guī)范數(shù)據(jù)應(yīng)用并保障數(shù)據(jù)和隱私安全，世界各國掀起數(shù)據(jù)保護和隱私法規(guī)的立法熱潮。日漸加強的數(shù)據(jù)安全監(jiān)管措施和飛速發(fā)展的數(shù)據(jù)產(chǎn)業(yè)為提高社會公眾安全意識、推動數(shù)據(jù)安全合規(guī)發(fā)展提供了良好的契機。隨著新技術(shù)的不斷成熟與其在數(shù)據(jù)安全領(lǐng)域的應(yīng)用深入，隱私保護與數(shù)據(jù)可用之間的矛盾或可逐步改善。

5、供應(yīng)鏈安全

遠行不忘來時路，朝花夕拾多益助。安天從2015年網(wǎng)絡(luò)安全年報^[12]開始，對供應(yīng)鏈安全領(lǐng)域給予了高度關(guān)注，預(yù)測‘上游廠商’將遭受更多的攻擊，導(dǎo)致整個供應(yīng)鏈、工具鏈的脆弱性增加。攻擊者會將目光轉(zhuǎn)向防護能力稍弱的第三方供應(yīng)商，以其受信任的身份為跳板，攻擊防護能力較強的企業(yè)，從而帶來更大面積的影響”。安天CERT已經(jīng)連續(xù)5年對供應(yīng)鏈安全進行年度性回顧與預(yù)測告警。

從“供應(yīng)鏈主戰(zhàn)場的戰(zhàn)爭序幕正在拉開^[13]”到“供應(yīng)鏈主戰(zhàn)場的戰(zhàn)爭已經(jīng)打響^[14]”，安天于2016年明確地提醒公眾圍繞供應(yīng)鏈的網(wǎng)空戰(zhàn)爭正在拉開序幕，同時指出“供應(yīng)鏈從來就不只是網(wǎng)絡(luò)對抗中的外圍陣地，而是更為核心和致命的主戰(zhàn)場”；2017年以軟件供應(yīng)鏈為典型，依據(jù)構(gòu)建的軟件供應(yīng)鏈安全環(huán)節(jié)示意圖詳細闡述了軟件供應(yīng)鏈上游、信息流和運輸流、軟件供應(yīng)鏈下游的安全隱患；2018年“供應(yīng)鏈環(huán)節(jié)成網(wǎng)絡(luò)攻擊中關(guān)鍵載體^[14]”和2019年“供應(yīng)鏈環(huán)節(jié)面臨的安全威脅持續(xù)上升，安全事件增長1.7倍^[15]進一步跟蹤供應(yīng)鏈攻擊事件及其發(fā)展態(tài)勢，并指出“供應(yīng)鏈上游環(huán)節(jié)安全事件呈上升趨勢”。

在此過程中，安天始終認為不能把供應(yīng)鏈攻擊僅僅理解成一種“曲線”進入核心IT場景的外圍攻擊手段，并確信供應(yīng)鏈從來就不只是網(wǎng)絡(luò)對抗中的外圍陣地，而是更為核心和致命的主戰(zhàn)場。

5.1 網(wǎng)空威脅行為體傾向于將攻擊成本更多地投入到供應(yīng)鏈上游環(huán)節(jié)

以供應(yīng)鏈為載體的攻擊活動保持主攻供應(yīng)鏈上游環(huán)節(jié)的大趨勢下，繼續(xù)以利用組織間信任關(guān)系為核心。縱觀近幾年不斷曝出的供應(yīng)鏈攻擊相關(guān)事件及其數(shù)據(jù)，以供應(yīng)鏈為載體的攻擊因其“突破一點，傷及一片”和“低成本，高回報”等特點，已然成為網(wǎng)空威脅行為體的作惡首選，體現(xiàn)為供應(yīng)鏈攻擊活動大幅激增、在所有網(wǎng)絡(luò)攻擊中占比逐年遞增；與此同時，隨著供應(yīng)鏈信息流、傳輸流和下游環(huán)節(jié)的驗證、審查機制逐步強化和完善，網(wǎng)空威脅行為體傾向于將攻擊成本更多地投入到供應(yīng)鏈上游環(huán)節(jié)，不僅開展攻擊活動的隱蔽性更高，而且造成的“鏈條”影響范圍更長，便于使其攻擊收益最大化，如同貼著上游根部剪斷一條懸于滾燙熔巖之上的鐵鏈，可以造成該鐵鏈最大程度上的熔毀。

在此基礎(chǔ)上，以供應(yīng)鏈為載體的攻擊活動利用致力于打破默認信任的網(wǎng)絡(luò)安全防護理念“零信任”尚未完全實現(xiàn)的空檔，繼續(xù)以利用組織間信任關(guān)系為核心，以求在供應(yīng)鏈上游某個環(huán)節(jié)施加的威脅影響最遠距離地傳導(dǎo)至供應(yīng)鏈下游多個環(huán)節(jié)，甚至是將整個鏈條上的所有參與者團滅。

5.2 更多行業(yè)領(lǐng)域供應(yīng)鏈及其用戶卷入供應(yīng)鏈戰(zhàn)爭

網(wǎng)空威脅行為體以電力、石油和天然氣、制造業(yè)、冷庫服務(wù)業(yè)、電子商務(wù)業(yè)、金融業(yè)、軟件等多個行業(yè)領(lǐng)域的供應(yīng)鏈作為目標(biāo)，利用其中安全防御相對薄弱的環(huán)節(jié)作為入口點，對該行業(yè)領(lǐng)域供應(yīng)鏈構(gòu)成威脅或?qū)崿F(xiàn)破鏈，致使越來越多的行業(yè)領(lǐng)域供應(yīng)鏈被裹挾著卷入這場供應(yīng)鏈戰(zhàn)爭。例如，2020年11月世界冷庫巨頭Americold遭受網(wǎng)絡(luò)攻擊，導(dǎo)致其電話系統(tǒng)、電子郵件、庫存管理和訂單履行受到影響，迫使該企業(yè)關(guān)閉計算機系統(tǒng)以防止攻擊蔓延，但同時也造成客戶無法訪問倉庫、無法提取庫存以進行交貨，其業(yè)務(wù)涵蓋范圍內(nèi)的供應(yīng)鏈運輸流慘遭中斷。

與此同時，軟件供應(yīng)鏈遭受的攻擊更是趨于白熱化。2020年5月，惡意軟件Octopus Scanner通過GitHub上的NetBeans項目（不少于26個）開源供應(yīng)鏈實施傳播攻擊，基于多平臺運行并下載遠程訪問木馬（RAT）、污染JAR文件。2020年12月，SolarWinds 旗下的Orion基礎(chǔ)設(shè)施管理平臺的發(fā)布環(huán)境遭到入侵，攻擊者將其惡意行為融合到SolarWinds合法行為中，致使其位于全球多個地區(qū)（北美、歐洲、亞洲和中東等）的用戶遭受網(wǎng)絡(luò)攻擊。因此，我們可以看出，用戶群體廣泛的軟件無疑成為了攻擊者眼中的靶標(biāo)，而自身具有監(jiān)控性質(zhì)的軟件更是靶標(biāo)的中心。

5.3 利用新冠疫情瞄準(zhǔn)供應(yīng)鏈?zhǔn)录l發(fā)

在全球艱難對抗新冠肺炎疫情的情況下，網(wǎng)空威脅行為體開展以供應(yīng)鏈為載體的攻擊活動，將其魔爪伸向醫(yī)療抗疫活動。2020年3月，德國政府招募了幾家跨國公司幫助其獲得用于治療COVID-19患者的個人防護設(shè)備(PPE)，但是，其中一家公司已成為網(wǎng)絡(luò)釣魚活動的目標(biāo)，攻擊者意圖染指其從全球尤其是中國采購口罩和醫(yī)療裝備等新冠肺炎抗疫物資的采購鏈和供應(yīng)鏈而從中獲利。2020年9月，作為CCEOP（冷鏈設(shè)備最佳化平臺）專案供應(yīng)商的中國青島海爾生物醫(yī)療股份有限公司（Haier Biomedical）遭受網(wǎng)空威脅行為體身份冒用，攻擊者偽裝成該企業(yè)主管向德國、意大利、韓國、捷克、歐洲與中國臺灣地區(qū)企業(yè)發(fā)送釣魚郵件以獲取相關(guān)憑證，進而破壞全球新冠肺炎疫苗冷鏈供應(yīng)鏈的正常運行。

5.4 供應(yīng)鏈安全問題思考

在各個行業(yè)領(lǐng)域供應(yīng)鏈之中的每個參與者都在獨自尋找解決方案、沒有形成有效合力的背景下，各自為戰(zhàn)形成的防御終將會被網(wǎng)空威脅行為體逐個擊破，體現(xiàn)為供應(yīng)鏈安全領(lǐng)域攻擊形勢將在現(xiàn)有已成為攻擊目標(biāo)的多個行業(yè)中繼續(xù)惡化的同時，進一步蔓延至其他更多行業(yè)，從而在一定程度上破壞眾多受影響組織之間建立已久、維系不易的信任關(guān)系，甚至動搖多個行業(yè)領(lǐng)域內(nèi)資源供應(yīng)和消費的信任基石。因此，各個行業(yè)內(nèi)部、關(guān)聯(lián)行業(yè)間參與者在信任機制革新、安全驗證強化與合作等方面做出的努力，以及該行業(yè)供應(yīng)鏈整體在與專業(yè)化網(wǎng)絡(luò)安全企業(yè)合作中獲得的賦能，顯得尤為重要；雖不能一蹴而就，但畢竟不積跬步，無以至千里，不積小流，無以成江海。

而已經(jīng)淪為攻擊與防御對抗的修羅場的軟件供應(yīng)鏈，其多個環(huán)節(jié)中的軟件代碼安全性將逐漸得到重視并產(chǎn)生一系列的影響，包括但不限于：消費者對其購買和定制軟件的代碼性將提出更明確和更高的要求；商業(yè)軟件制造商將采取切實有效的措施加強對其研發(fā)軟件的代碼保密性的保障；開源軟件代碼編制及其分發(fā)過程安全性的保障措施將得到重視和有益嘗試，逐漸為開源的長久健康發(fā)展奠定必要基礎(chǔ)；加速催生代碼審計崗位及其配套認證體系的產(chǎn)生和推廣。

6、威脅泛化

在2013年，安天用惡意代碼泛化（Malware/萬物互聯(lián)時代有效提高人們的幸福感。當(dāng)物聯(lián)網(wǎng)在家中，可以操控洗碗機來洗碗，操控機器人打掃，遠程操控浴缸放水，通過智能攝像頭來隨時關(guān)注家里情況，體驗愜意且智能生活。但當(dāng)這些設(shè)備受攻擊者控制時，場景可能是這樣的：攻擊者通過遠程操控智能馬桶來反復(fù)沖水，操控智能燈泡來反復(fù)熄滅、亮起，對咖啡機實施勒索，觸發(fā)咖啡機的加熱、出水、顯示贖金信息，獲取智能保險箱的密碼、遠程打開智能門鎖，利用智能音響竊取音頻，通過攝像頭來截獲家居畫面，遠程針對智能電表進行拉閘操作……以上場景不是危言聳聽，均為真實已發(fā)生案例。智能家居設(shè)備一旦出現(xiàn)安全問題，將會面臨隱私泄露以及更嚴重的風(fēng)險。萬物互聯(lián)是把雙刃劍。

關(guān)乎民眾飲水和農(nóng)作物種植安全的關(guān)鍵基礎(chǔ)設(shè)施也面臨著巨大的網(wǎng)絡(luò)安全威脅，暴露出逐漸滑向網(wǎng)空威脅行為體攻擊范圍靶心的風(fēng)險。例如：2020年4月，以色列供水系統(tǒng)遭遇網(wǎng)絡(luò)攻擊，攻擊者試圖改變水氯含量（水氯含量影響飲水民眾的生命健康）。同時，以色列國家網(wǎng)絡(luò)管理局也宣布收到有關(guān)針對廢水處理廠、泵站和污水處理設(shè)施的監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)進行網(wǎng)絡(luò)攻擊的報告；6月，攻擊者通過網(wǎng)絡(luò)襲擊了加利利河上游的農(nóng)業(yè)用水泵、中部省份馬蒂耶胡達的水泵。所幸上述攻擊并未成功，未造成實際影響。2020年9月，超過100套未設(shè)任何密碼的由摩托羅拉公司設(shè)計且已經(jīng)在世界范圍內(nèi)廣泛部署的ICC PRO智能灌溉系統(tǒng)在互聯(lián)網(wǎng)上被檢出，意味著任何人都可通過網(wǎng)絡(luò)訪問并篡改其中的農(nóng)作物、樹木、城市及建筑群灌溉程序，攻擊者只需要輸入默認的管理員用戶名并按下回車鍵，即可直接訪問智能灌溉控制面板，進而可以暫停或終止灌溉操作，更改設(shè)置、控制泵送水量及壓力，甚至刪除用戶以鎖定灌溉系統(tǒng)。

正像安天去年網(wǎng)絡(luò)安全年報所說的：傳統(tǒng)制造產(chǎn)業(yè)正在經(jīng)歷工業(yè)互聯(lián)網(wǎng)加持下的智能化升級，隨著物聯(lián)網(wǎng)和行業(yè)緊密結(jié)合，萬物互聯(lián)也將導(dǎo)致安全風(fēng)險的加劇。傳統(tǒng)企業(yè)的安全加固相對成熟，而物聯(lián)網(wǎng)終端種類的多樣性和脆弱性給攻擊者開辟了更多的攻擊入口。例如，現(xiàn)在企業(yè)配置更多的智能電視、智能照明、智能打印機、溫度傳感器、安全攝像頭等智能互聯(lián)設(shè)備，而這些物聯(lián)網(wǎng)設(shè)備的安全架構(gòu)通常不一致，存在更多的安全“黑匣子”風(fēng)險，針對任意一個脆弱的物聯(lián)網(wǎng)設(shè)備進行攻擊，都有可能導(dǎo)致企業(yè)安全受到威脅。

另外，正如我們前幾年提到，物聯(lián)網(wǎng)的威脅隱患是面向真實世界的，它切切實實地環(huán)繞在我們周圍，風(fēng)險也潛伏在我們周圍，伺機而動，影響的是物理實體世界的安全。