晴時多雲

自由共和國》闕志克/供應鏈資安問題的對策

去年底爆發的太陽風(SolarWinds)駭客攻擊事件對美國政府造成史上最深最廣的傷害。(圖︰彭博檔案照)

闕志克/工研院資通所所長

去年十二月十三日爆發的太陽風(SolarWinds)駭客攻擊事件對美國政府機構造成有史以來範圍最廣程度最深的傷害,受害單位包括財政部、能源部、國土安全部、司法部、國家安全局等。假如此次攻擊真是俄國國外情報局所為,則不幸中的大幸是從目前存在的證據來看,它似乎沒有對十一月三日的美國總統大選產生足以動搖結果的影響。太陽風攻擊事件充分曝顯了供應鏈攻擊(supply chain attack)的嚴重性:駭客先分析攻擊目標單位所使用的軟體,找出這些軟體產品的供應商中資安防護較差的,入侵他們的軟體更新遞送設施,將惡意程式植入其最新軟體版本,再藉由軟體更新機制送入攻擊目標單位。

其實台灣也不乏供應鏈攻擊的本土案例。二○一八年六月到十一月間,華碩的軟體更新伺服器遭駭客利用將藏有惡意程式且有華碩數位簽章的新版軟體散佈到至少數以萬計的華碩筆電上。今年一月七日,刑事局表示,約九.四萬支台灣大哥大自有品牌Amazing A32手機在出廠前被駭客於韌體記憶區植入惡意程式,所以即使重啟或重置手機也無法移除此惡意程式。經此事件後台灣大哥大清查所有Amazing牌手機機種,發現只有Amazing A32是委託中國廠商代工,其他非中廠代工的機種都沒有類似的資安問題。

仔細分析過往軟體供應鏈攻擊的案例,可以歸納以下四類攻擊模式。第一類,軟體供應商本身就是攻擊者。舉例而言,花一億美元買下一家擁有成千上萬企業客戶的軟體公司,以利用它的軟體產品作為運送惡意程式的特洛伊木馬,這與辛辛苦苦開發網絡攻擊然後試圖逐一侵入個別企業相比,似乎是相對便宜可行的攻擊方式。第二類,軟體供應商被攻擊者所駭,其軟體產品因而遭埋入惡意程式,太陽風攻擊屬於此類。第三類,軟體供應商的產品使用含惡意程式的第三方軟體如開源軟體。第四類,軟體供應商的產品使用含易遭駭的程式漏洞的第三方軟體如開源軟體。因為當代軟體產品使用大量開源軟體套件而開源軟體的版本管理機制相對鬆散,所以駭客有較多機會將惡意程式或程式漏洞植入常用的開源軟體套件。

美國國務院於二○二○年四月所倡議的「乾淨網路計畫」(Clean Network program)要求參加的電信營運商不要使用含中國軟體的電信設備(如華為),這種堅壁清野、先發制人的措施意在預防第一類供應鏈攻擊。

台積電除了加強自身的資安防護,也開始要求其供應商建立起碼的資安規範並將其列入例行稽核項目之中,這種確保每個產業生態圈成員都建置適當的資安自衛力量,應能有效對付第二類供應鏈攻擊。

要抵禦第三及第四類供應鏈攻擊,需每個生產內含軟體的設備的開發廠商為其設備上的軟體建立軟體元件清單(SBOM or Software Bill of Materials),此清單應明列所有使用的開源軟體套件,和每個套件的已知漏洞、主力開發者及其所屬公司組織。因為台灣許多電子機械網通設備公司在未來都將需為其產品建立SBOM,由公部門建立一個能符合溯源要求、持續追蹤更新的開源軟體資料庫讓廠商共享,可以大幅降低國內產業製作SBOM的成本。

除此之外,要更有效處理這兩類供應鏈攻擊,另需可以掃描開源軟體原始碼,進而指認出其中可能惡意軟體或漏洞所在的程式分析工具,可惜這樣的工具還不完全成熟需要進一步研發。

不用抽 不用搶 現在用APP看新聞 保證天天中獎  點我下載APP  按我看活動辦法

《自由共和國》強力徵稿

《自由共和國》來稿請附:真實姓名、身分證字號、職業、通訊地址及戶籍地址(包括區里鄰)、夜間聯絡電話、銀行帳號(註明分行行名)及E-mail帳號。

刊出後次月,稿費將直接匯入作者銀行帳戶,並以E-mail通知。
文長1200字以內為宜,本報有刪改權,不願刪改者請註明;請自留底稿,不退稿;若不用,恕不另行通知;請勿一稿多投。

《自由共和國》所刊文章、漫畫,將於 「自由電子報」選用,不另外奉酬。
Email:republic@libertytimes.com.tw

已經加好友了,謝謝
歡迎加入【自由評論網】
按個讚 心情好
已經按讚了,謝謝。

編輯精選