對於剛入行的工程師來說,聽到一家專門做資安產品的公司被駭,可能會覺得很不可思議。但事實上,資安公司因為掌握大量威脅情資產,往往是駭客眼中最高價值的目標。最近 Trellix 公司確認其 Source Code Repository(原始碼儲存庫,也就是存放所有程式碼的中央倉庫)遭到未經授權的存取,導致部分原始碼外洩。這件事對我們開發者來說,是一個非常典型的供應鏈安全教材。
首先我們要理解為什麼原始碼外洩如此嚴重。原始碼就像是產品的設計圖,如果駭客拿到了原始碼,他們可以進行靜態分析,也就是在不執行程式的情況下,仔細研究程式碼的邏輯。這讓攻擊者能更輕鬆地尋找 Zero-day Vulnerability(零日漏洞,指尚未被開發者發現且沒有補丁的漏洞)。一旦發現漏洞,駭客就能開發出精準的攻擊工具,繞過該產品的防禦機制。
在這次事件中,Trellix 提到了一個關鍵點:他們目前沒有證據顯示 Source Code Release or Distribution Process(原始碼發佈或分發流程)受到影響。這是一個非常重要的區分。如果駭客僅僅是讀取了程式碼,那屬於資訊外洩;但如果駭客能進入分發流程,將惡意程式碼植入到正式更新包中,那就演變成了 Supply Chain Attack(供應鏈攻擊)。後者最可怕的地方在於,使用者下載的是官方簽名的更新,系統會完全信任,導致成千上萬的客戶在不知不覺中被植入後門。
面對這種情況,企業通常會啟動 Incident Response(事件響應)流程。Trellix 目前採取的是標準動作:聘請 Forensic Experts(數位鑑識專家,專門追蹤駭客入侵路徑與行為的專家)來釐清受影響的範圍,並通知執法機關。對於工程師而言,這提醒我們在設計系統時,必須實行最小權限原則,且對於存取原始碼儲存庫的權限管理要極其嚴格。
總結這次事件給我們的啟示,是不要過度依賴單一的防禦層。即便是一家頂尖的資安公司,也可能在權限管理或存取控制上出現漏洞。我們在開發時,應假設系統可能被入侵,並在程式碼中實作深度防禦,避免單一漏洞就導致整個系統崩潰。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。