在移动端病毒总量下降的安全环境下,不法分子调整攻击目标,直接针对Android软件供应链环节发起的攻击,正在给普通用户、开发者、手机厂商等主体带来全新的安全难题。 腾讯安全反诈骗实验室在7月25日发布的《网络安全新常态下Android应用供应链安全探秘》(下简称报告)中指出,供应链的攻击事件增多,攻击的深度和广度的延伸也给移动安全厂商带来了更大的挑战。同时,传统的防御手段在面对这种更具有针对性、隐蔽性的攻击时,显得捉襟见肘,极需一种新时代的安全体系来保护组织和用户的安全。 供应链攻击成不法分子“新宠”:范围广、危害大、成本低 自2014年移动端恶意软件爆发时增长以来,Google、手机厂商和移动安全厂商都投入了巨大的精力,与恶意开发者进行了激烈的对抗。过去几年,经过各方的共同努力,普通Android恶意软件的迅猛增长趋势已经得到遏制。更高端的攻击逐渐成为不法分子的“转型”方向,在此其中,针对Android软件供应链的薄弱环节发起攻击备受青睐。 根据报告披露的安全事件显示,近年来供应链的开发、分发、使用等上中下游环节均出现重大安全事件,影响用户量级从十万到百万甚至上千万不等。以2017年6月安全研究人员提交的俄罗斯最大社交网站VK.com的FFmpeg的远程任意文件读取漏洞为例,由于主流的视频应用几乎都采用了FFmpeg这一开源框架,意味着一旦该漏洞被不法黑客利用,影响无法估量。 (Android软件供应链各环节均爆重大安全事件) 报告还指出,针对供应链下游(分发环节)攻击的安全事件占据了供应链攻击的大头,受影响用户数多在百万级别,且层出不穷。类似于Xcode Ghost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,但攻击一旦成功,却可能影响上亿用户。 除此之外,针对供应链各环节被揭露出来的攻击在近几年都呈上升趋势,在趋于更加复杂化的互联网环境下,软件供应链所暴露给攻击者的攻击面越来越多,并且越来越多的攻击者也发现针对供应链的攻击相对针对应用本身或系统的漏洞攻击可能更加容易,成本更低。 下一代防御手段迫在眉睫 腾讯TRP-AI防病毒引擎或提供解决之道 如何防御日益增多的供应链攻击成为包括手机厂商、应用开发者、应用市场、安全厂商、普通用户等各主体都迫切解决的问题。 尤其对于安全厂商而言,它们面对的是对抗能力更强的新对手。报告指出,无论是基于特征码查杀、启发式杀毒这类以静态特征对抗静态代码的第一代安全技术,还是以云查杀和机器学习对抗样本变种、使用白名单和“非白即黑”的限制策略等主动防御手段为主的第二代安全技术,在面对更具有针对性、隐蔽性的攻击时,都显得捉襟见肘。 报告认为,应用开发、交付、使用等环节都存在巨大的安全威胁,其导致的危害并不低于安全漏洞所导致的情况,因此仅关注软件及操作系统本身的安全威胁远远不够。安全厂商需要从完整的软件供应链角度形成全景的安全视野,才能解决更多纵深的安全风险。建议安全厂商加强提升发现安全问题的能力及提供创新型的产品和服务。 为应对未来严峻的安全挑战,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP-AI反病毒引擎,通过对系统层的敏感行为进行监控,配合能力成熟的AI技术能有效识别恶意应用的风险行为,为用户提供更高智能的实时终端安全防护。同时针对恶意软件开发者和黑产从业人员,腾讯安全反诈骗实验室基于海量数据建立了神羊情报系统,可以溯源追踪恶意攻击的攻击链条、使用的技术手段、背后的开发团队/者,从而提供详细的威胁情报,予以精确打击,保护厂商和广大用户免受恶意软件侵害。
|