360企业安全张聪：要对软件供应链攻击全面设防

本篇文章1587字，读完约4分钟

新华网北京11月9日电2017年11月8日至9日，主题为“物联网背景下反病毒的新挑战”的2017国际反病毒大会在天津召开。360企业安全集团副总裁张聪出席会议并发表了题为《聚焦软件供应链:一种新的攻击植入方法》的演讲，提出软件供应链攻击需要全面防御。

照片:360企业安全集团副总裁张聪

一些新挑战的例子详细介绍了软件攻击植入的方式

演讲一开始，张聪以乌克兰ransomware变体petya为例，详细介绍了什么是软件供应链攻击。2017年6月27日，一次ransomware变体petya攻击在乌克兰爆发。后来，人们发现这只是一个伪装成软件的破坏性软件。攻击者入侵了乌克兰常用的会计软件m.e.doc的升级服务器，将它变成了一个恶意代理，分发恶意软件和走后门。这种使用合法软件的攻击是微软定义的软件供应链攻击。

随后，张聪列举了许多以合法软件为幌子的众所周知的攻击，如影响数百万台计算机的“乌云iiI”恶意软件、隐藏在常规刷软件中的“异形IIi”恶意软件以及被引爆并盗用国内一款终端管理软件数字签名的kuzzle恶意软件...许多我们完全信任的软件已经倒下，软件供应链攻击具有广泛的影响和严重的后果。如何抵御这种攻击已经成为当前的一个问题。

图片:360企业安全集团副总裁张聪:软件供应链防御攻击需要全面加强

物联网的智能硬件也因软件安全问题而受到攻击

在物联网时代，不仅使用合法软件本身，而且智能硬件也可能成为黑客攻击的目标，因为它忽略了开发和制造阶段的软件安全问题，或者受其自身开源系统的影响。

例如，作为智能家居的网络摄像头，它原本是用于远程疗养院的，但由于设备存在漏洞，它可能会使家庭的室内活动没有隐私，甚至被黑客控制成为ddos的打手。

2016年10月，大多数美国用户遭遇了7小时的集体“断线”事件。达因，一家事故原因的大型dns服务提供商，遭受了ddos攻击，这影响了twitter，亚马逊，贝宝和许多其他知名网站。据报道，它“瘫痪了美国的大部分地区”，这被称为“互联网911”。这次ddos攻击选择的僵尸网络不是个人电脑或服务器，而是被mirai感染的智能相机。Mirai未来组合主要利用网络摄像头设备的弱密码等安全漏洞实施入侵，在硬件linux系统下生成随机用户，植入恶意软件构建僵尸网络。这个僵尸网络覆盖了全世界160多个国家，被感染的设备入侵防御系统的实际数量超过了60万。

重点突破四项措施，全面防御软件供应链攻击

针对软件供应链攻击，张聪表示，自由软件、付费软件和内部/外包开发软件在供应链的每个环节都可能被攻击者利用，因此有必要全面防范软件供应链攻击。

在软件供应链的上游，张聪呼吁建立一个安全生态系统:软件下载已经成为攻击者使用的重要方式。因此，企业it安全管理者有必要为员工搭建一个安全可靠的软件下载平台。在所谓的工业中有专业化。对于软件基础设施的安全性，建议将它交给更专业的安全供应商，他们将检查应用和工具软件的安全性，并建立一个pc软件生态系统和下载平台，提供足够的软件来满足大多数企业和用户的个性化需求。

在软件供应链的下游，张聪建议用户应重点防御:(1)控制软件升级渠道，具备阻断软件更新网络渠道的能力，并部署安全设备进行强有力的控制；(2)控制整个网络终端的软件分布，准确、实时、全面地控制软件资产信息，安全策略和安全基线具有针对性；(3)分析和感知互联网软件的网络传播行为，并具有进一步控制的能力；(4)具备应急响应能力，在发生软件供应链攻击时，能够在第一时间阻断网络通信链路，避免进一步损失。

在物联网的背景下，任何一种安全问题都会影响到整个身体。360企业安全集团副总裁张聪提出了防范软件供应链攻击的措施，这是一种新的软件植入方式，旨在应对网络安全的新挑战，推动技术创新，回应国家在网络安全、移动安全和反病毒领域的诉求。