上中下游全線失守 如何防御安卓軟件供應(yīng)鏈攻擊？

在移動端病毒總量下降的安全環(huán)境下，不法分子調(diào)整攻擊目標(biāo)，直接針對Android軟件供應(yīng)鏈環(huán)節(jié)發(fā)起的攻擊，正在給普通用戶、開發(fā)者、手機(jī)廠商等主體帶來全新的安全難題。

騰訊安全反詐騙實驗室在7月25日發(fā)布的《網(wǎng)絡(luò)安全新常態(tài)下Android應(yīng)用供應(yīng)鏈安全探秘》(下簡稱報告)中指出，供應(yīng)鏈的攻擊事件增多，攻擊的深度和廣度的延伸也給移動安全廠商帶來了更大的挑戰(zhàn)。同時，傳統(tǒng)的防御手段在面對這種更具有針對性、隱蔽性的攻擊時，顯得捉襟見肘，極需一種新時代的安全體系來保護(hù)組織和用戶的安全。

供應(yīng)鏈攻擊成不法分子“新寵”：范圍廣、危害大、成本低

自2014年移動端惡意軟件爆發(fā)時增長以來，Google、手機(jī)廠商和移動安全廠商都投入了巨大的精力，與惡意開發(fā)者進(jìn)行了激烈的對抗。過去幾年，經(jīng)過各方的共同努力，普通Android惡意軟件的迅猛增長趨勢已經(jīng)得到遏制。更高端的攻擊逐漸成為不法分子的“轉(zhuǎn)型”方向，在此其中，針對Android軟件供應(yīng)鏈的薄弱環(huán)節(jié)發(fā)起攻擊備受青睞。

根據(jù)報告披露的安全事件顯示，近年來供應(yīng)鏈的開發(fā)、分發(fā)、使用等上中下游環(huán)節(jié)均出現(xiàn)重大安全事件，影響用戶量級從十萬到百萬甚至上千萬不等。以2017年6月安全研究人員提交的俄羅斯最大社交網(wǎng)站VK.com的FFmpeg的遠(yuǎn)程任意文件讀取漏洞為例，由于主流的視頻應(yīng)用幾乎都采用了FFmpeg這一開源框架，意味著一旦該漏洞被不法黑客利用，影響無法估量。

(Android軟件供應(yīng)鏈各環(huán)節(jié)均爆重大安全事件)

報告還指出，針對供應(yīng)鏈下游(分發(fā)環(huán)節(jié))攻擊的安全事件占據(jù)了供應(yīng)鏈攻擊的大頭，受影響用戶數(shù)多在百萬級別，且層出不窮。類似于Xcode Ghost這類污染開發(fā)工具針對軟件供應(yīng)鏈上游(開發(fā)環(huán)境)進(jìn)行攻擊的安全事件較少，但攻擊一旦成功，卻可能影響上億用戶。

除此之外，針對供應(yīng)鏈各環(huán)節(jié)被揭露出來的攻擊在近幾年都呈上升趨勢，在趨于更加復(fù)雜化的互聯(lián)網(wǎng)環(huán)境下，軟件供應(yīng)鏈所暴露給攻擊者的攻擊面越來越多，并且越來越多的攻擊者也發(fā)現(xiàn)針對供應(yīng)鏈的攻擊相對針對應(yīng)用本身或系統(tǒng)的漏洞攻擊可能更加容易，成本更低。

下一代防御手段迫在眉睫 騰訊TRP-AI防病毒引擎或提供解決之道

如何防御日益增多的供應(yīng)鏈攻擊成為包括手機(jī)廠商、應(yīng)用開發(fā)者、應(yīng)用市場、安全廠商、普通用戶等各主體都迫切解決的問題。

尤其對于安全廠商而言，它們面對的是對抗能力更強(qiáng)的新對手。報告指出，無論是基于特征碼查殺、啟發(fā)式殺毒這類以靜態(tài)特征對抗靜態(tài)代碼的第一代安全技術(shù)，還是以云查殺和機(jī)器學(xué)習(xí)對抗樣本變種、使用白名單和“非白即黑”的限制策略等主動防御手段為主的第二代安全技術(shù)，在面對更具有針對性、隱蔽性的攻擊時，都顯得捉襟見肘。

報告認(rèn)為，應(yīng)用開發(fā)、交付、使用等環(huán)節(jié)都存在巨大的安全威脅，其導(dǎo)致的危害并不低于安全漏洞所導(dǎo)致的情況，因此僅關(guān)注軟件及操作系統(tǒng)本身的安全威脅遠(yuǎn)遠(yuǎn)不夠。安全廠商需要從完整的軟件供應(yīng)鏈角度形成全景的安全視野，才能解決更多縱深的安全風(fēng)險。建議安全廠商加強(qiáng)提升發(fā)現(xiàn)安全問題的能力及提供創(chuàng)新型的產(chǎn)品和服務(wù)。

為應(yīng)對未來嚴(yán)峻的安全挑戰(zhàn)，騰訊安全立足終端安全，推出自研AI反病毒引擎——騰訊TRP-AI反病毒引擎，通過對系統(tǒng)層的敏感行為進(jìn)行監(jiān)控，配合能力成熟的AI技術(shù)能有效識別惡意應(yīng)用的風(fēng)險行為，為用戶提供更高智能的實時終端安全防護(hù)。同時針對惡意軟件開發(fā)者和黑產(chǎn)從業(yè)人員，騰訊安全反詐騙實驗室基于海量數(shù)據(jù)建立了神羊情報系統(tǒng)，可以溯源追蹤惡意攻擊的攻擊鏈條、使用的技術(shù)手段、背后的開發(fā)團(tuán)隊/者，從而提供詳細(xì)的威脅情報，予以精確打擊，保護(hù)廠商和廣大用戶免受惡意軟件侵害。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。