360企业安全张聪：要对软件供应链攻击全面设防

　　中新网11月9日电 2017年11月8-9日，以“万物互联背景下反病毒的新挑战”为主题的2017国际反病毒大会在天津举行。360企业安全集团副总裁张聪参会并发表了题为《关注软件供应链：新型的攻击植入方式》的演讲，提出防御软件供应链攻击需全面设防。

　　　新型挑战多项事例详细介绍软件攻击植入方式

　　演讲开篇，张聪以乌克兰的勒索软件变种Petya为例，向大家详细介绍了何为软件供应链攻击。2017年6月27日，乌克兰爆发勒索软件变种Petya攻击，随后大家发现这只是伪装成勒索软件的破坏软件，攻击者通过黑掉乌克兰常用的一款会计软件M.E.Doc的升级服务器，将其转化成恶意代理，分发恶意软件和后门。此类通过利用合法软件进行攻击的方式，也就是微软所定义的软件供应链攻击。

　　随后，张聪列举了许多众所周知的披着合法软件外衣的攻击事件，如影响百万电脑的暗云Ⅲ恶意软件，隐藏在正规刷机软件中的异鬼II，以及被爆盗用国内某终端管理软件数字签名的Kuzzle恶意软件……很多我们充分信任的软件都沦陷过，软件供应链攻击影响范围广泛且造成的后果十分严重，如何抵御这类攻击成为当下难题。

　　　万物互联智能硬件也因软件安全问题遭到攻击

　　万物互联时代，被利用的不只是合法软件本身，智能硬件也可能因为开发制造阶段忽略软件安全问题，或者受到自身使用的开源系统影响，而成为黑客攻击的对象。

　　例如，作为智能家居的联网摄像头，本来用于远程看家护院，却可能因为设备存在漏洞让家人的室内活动毫无隐私可言，甚至被黑客控制成为变身DDoS打手。

　　2016年10月，大半个美国用户就遭遇了一次7小时的集体“断网”事件，事故原因是美国大型DNS服务提供商Dyn公司遭遇DDoS攻击，影响了Twitter、亚马逊、Paypal和其他多家知名网站，有报道称其“打瘫了大半个美国”，堪称遭遇“网络911”。而这次DDoS攻击选择的僵尸网络并不是PC或服务器，而是Mirai感染的智能摄像头。Mirai主要利用网络摄像设备的弱口令等安全漏洞实施入侵，在硬件Linux系统下生成随机用户，并植入恶意软件构建僵尸网络。该僵尸网络遍布全球160多个国家，实际受感染的设备IP数量超过60万个。

　　重点击破四项措施全面防御软件供应链攻击

　　针对软件供应链攻击，张聪表示，无论是免费软件、付费软件还是内部/外包的开发软件，在供应链的各个环节都可能被攻击者利用，因此，防御软件供应链攻击也需要全面设防。

　　在软件供应链上游，张聪呼吁共建安全生态圈：软件下载途径已成为攻击者利用的重要途径，因此，企业IT安全管理者有必要为员工构建安全可靠的软件下载平台。所谓术业有专攻，对于软件基础设施安全，建议交给更为专业的安全厂商，由安全厂商对应用、工具类软件进行安全把关，建立一个软件足够丰富的PC软件生态圈和下载平台，覆盖大多数企事业用户的个性化要求。

　　在软件供应链下游，张聪则建议用户侧重点布防：(1)把控软件升级通道，具备封堵软件更新的网络通道的能力，并部署安全设备进行强有力的管控；(2)掌控全网终端的软件分布情况，精准、实时、全面掌控软件资产信息，安全策略、安全基线才能有的放矢；(3)分析和感知互联网软件的网络通信行为，并具备进一步管控的能力；(4)具备安全应急响应能力，以便在软件供应链攻击事件发生时，第一时间封锁网络通信链路，避免进一步损失。

　　万物互联的背景下，任何一类安全问题都会牵一发而动全身。360企业安全集团副总裁张聪针对新型的软件植入方式——软件供应链攻击所提出的防范措施，旨在应对网络安全新挑战，推动技术革新，响应国家在网络安全、移动安全和反病毒领域的主张。