COVID-19爆發之後,人們都發現了實體供應鏈對整體戰略規劃的重要性。如今軟體業也開始注意這件事。
當代的攻擊面(Attack Surfaces)數量呈指數增長,資安問題變得越來越複雜、越來越棘手。光是輸入一個「import」就可以啟動第三方程式,其他商業夥伴甚至不會知道發生了什麼事。此外,實體倉庫裡的貨物不會快速變化,程式庫裡面的東西在你上次檢查過之後卻很可能不同,這讓很多問題都更為麻煩。而且成功的IT業者總希望掌握全球各地的客戶,而每個客戶需要的不同程式,會遇到的資安問題也各不相同。
美國政府最近才開始發現這種架構的安全漏洞。它在2020年12月承認,財政部和商務部在更新SolarWinds開發的Orion網路監控軟體之後,遭到惡意攻擊。這起SolarWinds事件,最後至少傷害了全球各地200個組織,其中包括許多重要的政府部門與關鍵IT資產。至今還不確定駭客為何要發起攻擊,但病毒發動之後好幾個月才被查出,有心人士在這麼長的時間中什麼都做得到。
如今在2018年之後,SolarWinds依然讓人記憶猶新,美國終於準備更新資安戰略。美國的戰略規劃可能會進一步實施近年來網路安全相當重視的「零信任」(Zero Trust)原則。「零信任」這個名字,乍聽之下會讓人想到完全不計成本,把每個程式都當賊;但它其實並不是要禁止所有內建的第三方服務,而是要用各種方法保證當一個資安漏洞被攻破之後,不會連累網路的其他電腦。
軟體供應鏈的漏洞
整場SolarWinds攻擊事件的源頭,是駭客潛入SolarWinds的軟體建構系統,讓系統出現漏洞。SolarWinds的電子郵件程式是由Microsoft 365提供的,前人攻擊Microsoft 365的方式可能成為了駭客的線索。在進入系統後,攻擊者使用SolarWinds的客戶送出幾個惡意更新。它通常刻意不去啟動惡意程式,這麼一來系統就毫無異狀,很難發現。直到成功找到重要目標,就開始對「聯合身分管理系統」(Federated identity management, FIM)下手。
所謂的「聯合身分管理系統」,是為了解決密碼多如繁星而開發出來的方案。我們每個人都有一大堆帳號密碼,不但很難記住,更可能淪為入侵破口,因為我們往往會把好幾個網站的密碼設成同一個,駭客攻破一個就等於攻破全部。但「聯合身分管理系統」可以整合所有帳密,使用者只要記住一個密碼,IT部門只需要登記一個帳號,就可以登入除了組織內部網路以外的所有系統。谷歌或臉書就是用類似的方式,讓我們用谷歌或臉書的帳號,登入各種其他平台。
「聯合身分管理系統」會在系統中儲存使用者的憑證。之後使用者要登入外部服務,例如亞馬遜雲端運算(Amazon Web Services, AWS)的時候,就可以直接跟管理系統要求憑證,轉交給第三方,證明自己是合法使用者。 (相關報導: 唐鳳專欄:短網址政府服務 ,便民又安全 | 更多文章 )
駭客在SolarWinds攻擊中就是利用這種機制,它使用一個「黃金SAML」(Security Assertion Markup Language,安全聲明標記語言)繞過使用者的同意,直接向第三方「證明」自己的身分。他用Orion軟體連結雲端服務,偽裝成所有想要偽裝的身分,甚至是企業的執行長和IT管理員。因為它沒有聯絡「聯合身分管理系統」,該系統從頭到尾都不知道自己被繞過了。
