上中下游全線失守 如何防御安卓軟件供應(yīng)鏈攻擊？

在移動(dòng)端病毒總量下降的安全環(huán)境下，不法分子調(diào)整攻擊目標(biāo)，直接針對(duì)Android軟件供應(yīng)鏈環(huán)節(jié)發(fā)起的攻擊，正在給普通用戶(hù)、開(kāi)發(fā)者、手機(jī)廠商等主體帶來(lái)全新的安全難題。

騰訊安全反詐騙實(shí)驗(yàn)室在7月25日發(fā)布的《網(wǎng)絡(luò)安全新常態(tài)下Android應(yīng)用供應(yīng)鏈安全探秘》(下簡(jiǎn)稱(chēng)報(bào)告)中指出，供應(yīng)鏈的攻擊事件增多，攻擊的深度和廣度的延伸也給移動(dòng)安全廠商帶來(lái)了更大的挑戰(zhàn)。同時(shí)，傳統(tǒng)的防御手段在面對(duì)這種更具有針對(duì)性、隱蔽性的攻擊時(shí)，顯得捉襟見(jiàn)肘，極需一種新時(shí)代的安全體系來(lái)保護(hù)組織和用戶(hù)的安全。

供應(yīng)鏈攻擊成不法分子“新寵”：范圍廣、危害大、成本低

自2014年移動(dòng)端惡意軟件爆發(fā)時(shí)增長(zhǎng)以來(lái)，Google、手機(jī)廠商和移動(dòng)安全廠商都投入了巨大的精力，與惡意開(kāi)發(fā)者進(jìn)行了激烈的對(duì)抗。過(guò)去幾年，經(jīng)過(guò)各方的共同努力，普通Android惡意軟件的迅猛增長(zhǎng)趨勢(shì)已經(jīng)得到遏制。更高端的攻擊逐漸成為不法分子的“轉(zhuǎn)型”方向，在此其中，針對(duì)Android軟件供應(yīng)鏈的薄弱環(huán)節(jié)發(fā)起攻擊備受青睞。

根據(jù)報(bào)告披露的安全事件顯示，近年來(lái)供應(yīng)鏈的開(kāi)發(fā)、分發(fā)、使用等上中下游環(huán)節(jié)均出現(xiàn)重大安全事件，影響用戶(hù)量級(jí)從十萬(wàn)到百萬(wàn)甚至上千萬(wàn)不等。以2017年6月安全研究人員提交的俄羅斯最大社交網(wǎng)站VK.com的FFmpeg的遠(yuǎn)程任意文件讀取漏洞為例，由于主流的視頻應(yīng)用幾乎都采用了FFmpeg這一開(kāi)源框架，意味著一旦該漏洞被不法黑客利用，影響無(wú)法估量。

(Android軟件供應(yīng)鏈各環(huán)節(jié)均爆重大安全事件)

報(bào)告還指出，針對(duì)供應(yīng)鏈下游(分發(fā)環(huán)節(jié))攻擊的安全事件占據(jù)了供應(yīng)鏈攻擊的大頭，受影響用戶(hù)數(shù)多在百萬(wàn)級(jí)別，且層出不窮。類(lèi)似于Xcode Ghost這類(lèi)污染開(kāi)發(fā)工具針對(duì)軟件供應(yīng)鏈上游(開(kāi)發(fā)環(huán)境)進(jìn)行攻擊的安全事件較少，但攻擊一旦成功，卻可能影響上億用戶(hù)。

除此之外，針對(duì)供應(yīng)鏈各環(huán)節(jié)被揭露出來(lái)的攻擊在近幾年都呈上升趨勢(shì)，在趨于更加復(fù)雜化的互聯(lián)網(wǎng)環(huán)境下，軟件供應(yīng)鏈所暴露給攻擊者的攻擊面越來(lái)越多，并且越來(lái)越多的攻擊者也發(fā)現(xiàn)針對(duì)供應(yīng)鏈的攻擊相對(duì)針對(duì)應(yīng)用本身或系統(tǒng)的漏洞攻擊可能更加容易，成本更低。

下一代防御手段迫在眉睫 騰訊TRP-AI防病毒引擎或提供解決之道

如何防御日益增多的供應(yīng)鏈攻擊成為包括手機(jī)廠商、應(yīng)用開(kāi)發(fā)者、應(yīng)用市場(chǎng)、安全廠商、普通用戶(hù)等各主體都迫切解決的問(wèn)題。

尤其對(duì)于安全廠商而言，它們面對(duì)的是對(duì)抗能力更強(qiáng)的新對(duì)手。報(bào)告指出，無(wú)論是基于特征碼查殺、啟發(fā)式殺毒這類(lèi)以靜態(tài)特征對(duì)抗靜態(tài)代碼的第一代安全技術(shù)，還是以云查殺和機(jī)器學(xué)習(xí)對(duì)抗樣本變種、使用白名單和“非白即黑”的限制策略等主動(dòng)防御手段為主的第二代安全技術(shù)，在面對(duì)更具有針對(duì)性、隱蔽性的攻擊時(shí)，都顯得捉襟見(jiàn)肘。

報(bào)告認(rèn)為，應(yīng)用開(kāi)發(fā)、交付、使用等環(huán)節(jié)都存在巨大的安全威脅，其導(dǎo)致的危害并不低于安全漏洞所導(dǎo)致的情況，因此僅關(guān)注軟件及操作系統(tǒng)本身的安全威脅遠(yuǎn)遠(yuǎn)不夠。安全廠商需要從完整的軟件供應(yīng)鏈角度形成全景的安全視野，才能解決更多縱深的安全風(fēng)險(xiǎn)。建議安全廠商加強(qiáng)提升發(fā)現(xiàn)安全問(wèn)題的能力及提供創(chuàng)新型的產(chǎn)品和服務(wù)。

為應(yīng)對(duì)未來(lái)嚴(yán)峻的安全挑戰(zhàn)，騰訊安全立足終端安全，推出自研AI反病毒引擎——騰訊TRP-AI反病毒引擎，通過(guò)對(duì)系統(tǒng)層的敏感行為進(jìn)行監(jiān)控，配合能力成熟的AI技術(shù)能有效識(shí)別惡意應(yīng)用的風(fēng)險(xiǎn)行為，為用戶(hù)提供更高智能的實(shí)時(shí)終端安全防護(hù)。同時(shí)針對(duì)惡意軟件開(kāi)發(fā)者和黑產(chǎn)從業(yè)人員，騰訊安全反詐騙實(shí)驗(yàn)室基于海量數(shù)據(jù)建立了神羊情報(bào)系統(tǒng)，可以溯源追蹤惡意攻擊的攻擊鏈條、使用的技術(shù)手段、背后的開(kāi)發(fā)團(tuán)隊(duì)/者，從而提供詳細(xì)的威脅情報(bào)，予以精確打擊，保護(hù)廠商和廣大用戶(hù)免受惡意軟件侵害。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。