360-中国政企软件供应链攻击现状分析报告安全-2017.9-27页（29页）.pdf

1、 中国政企软件供应链攻击 现状分析报告 360 天擎团队 360 威胁情报中心 360 安全监测与响应中心 2017 年 9 月 报告摘要 软件供应链攻击能够成功的关键在于它充分利用了软件供应商自身存在的监管不严、 不 自律、漏洞等问题，在合法软件下载安装、更新维护、信息推送的过程中，利用用户与 软件供应商之间的信任关系，成功绕开传统安全产品的围追堵截。 合法软件包括安全杀毒、休闲娱乐、搜索下载、办公软件、行业软件、股票网银、定制 软件、图形图像等多种类型。这些软件中，既包含付费软件，也包含免费软件。政企机 构中的免费软件，大多是员工通过互联网渠道自行下载安装的。 政企机构中， 办公软件的安装

2、量最高， 占比为 30.1%； 其次是休闲娱乐软件， 占比为 14.6%； 行业软件（特定行业使用的专用软件）排名第三，占 14.4%。 政企机构中， 安全软件的覆盖率最高， 高达 95.2%； 其次是休闲娱乐软件， 占比为 45.2%； 搜索下载软件排名第三，占比为 37.7%。 在政企机构使用量最多的 400 款软件中，免费软件的安装量高达 60.2%，付费软件的安 装量则为 39.8%；免费软件的覆盖率为 79.5%，付费软件的覆盖率则高达 95.2%。 根据不同行业中各类软件的实际使用情况， 建议政府单位特别关注办公软件、 定制软件 的安全问题，建议金融单位特别关注行业软件、搜索下载软

3、件的安全问题，建议能源单 位特别关注办公软件、 行业软件的安全问题， 建议大型企业特别关注休闲娱乐软件的安 全问题，建议互联网公司关注所有软件类型的安全问题。 要想规避软件供应链攻击引发的风险， 建议政企机构掌控全网终端的软件分布情况， 选 择安全软件下载渠道， 把控软件升级通道， 加强分析和感知互联网软件的网络通信行为 的能力，并提升对软件供应链攻击事件的应急响应能力。 关键词：关键词： 软件供应链攻击 软件安装量 软件覆盖率 2 目 录 报告摘要报告摘要 . 1 研究背景研究背景 . 1 第一章第一章 软件供应链攻击事件分析软件供应链攻击事件分析 . 2 一、 攻击定义 . 2 二、 典型

4、事件 . 2 三、 共性分析 . 10 第二章第二章 政企机构软件应用现状分析政企机构软件应用现状分析 . 14 一、 软件应用情况整体分析 . 14 二、 重点行业软件应用情况分析 . 16 第三章第三章 软件供应链攻击防范建议软件供应链攻击防范建议 . 18 一、 防范思路 . 18 二、 360 软件供应链攻击解决方案 . 19 三、 写在最后 . 22 附录附录 1 相关定义相关定义 . 23 一、 关于软件供应链攻击 . 23 二、 关于软件分类 . 23 三、 关于软件付费形式 . 23 附录附录 2 研究团队研究团队 . 24 一、 360 天擎团队 . 24 二、 360 安全

5、监测与响应中心 . 24 三、 360 威胁情报中心 . 24 1 研究背景 Fireball、暗云 III、Petya、异鬼 II、Kuzzle、XShellGhost最近三个月以来，通过合 法软件传播的恶意软件越来越多， 正在全球范围内迅速蔓延开来， 微软将其称之为 “Software Supply Chain Attack” ，即“软件供应链攻击” 。 这类攻击最大的特点就是获得了“合法软件”的保护，因此很容易绕开传统安全产品的 围追堵截，进行大范围的传播和攻击。 它们更青睐哪些类型的“合法软件”？又是如何借用“合法软件”身份的？ 这些“合法软件”在政企机构中的应用情况如何？哪些行业是高

6、危群体？ 防范这类攻击的要点是什么？政企机构该如何规避风险？ 中国政企软件供应链攻击现状分析报告将为您一一解答。 2 第一章 软件供应链攻击事件分析 严格说， 软件供应链攻击并不是一种全新的攻击类型， 过去几年这类攻击事件时有发生， 只是 2017 年开始呈现爆发态势。 为此， 我们选取了近年来 12 个比较有代表性的事件进行分 析，希望能够从中找出一些共性内容，作为攻击防范的参考。 一、 攻击定义 软件供应链攻击是指利用软件供应商与最终用户之间的信任关系， 在合法软件正常传播 和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过 传统安全产品检查达到非法目的的攻击