据《央视新闻》报道,中国国家网络安全机构发布报告,揭露了美国国家安全局(NSA)利用一种代号为“水腹蛇”(COTTONMOUTH)的窃密装置,对中国以及其他国家的关键网络基础设施进行秘密入侵,一旦攻击成功,将对国民生计和国家安全造成严重危害,这揭示了软件供应链安全攻击日益白热化,其治理紧迫性与要求或进一步抬升。
COTTONMOUTH设备的曝光凸显了当前供应链安全的重要性,尤其是在硬件和软件层面可能受到的威胁。COTTONMOUTH最早出现在NSA Playset的2008年-2009年的工具清单中,随着斯诺登事件的曝光,更多技术细节被披露。2014年,民间硬件安全研究人员复制了类似的设备,成本不到20美元,而NSA官方的COTTONMOUTH I售价约为2万美元。相较之下,COTTONMOUTH II和III价格稍低,但仍然非常昂贵。尽管官方设备价格高昂,技术上的复制却相对简单,凸显了供应链中硬件设备伪装、植入的风险。
从供应链安全的角度看,COTTONMOUTH设备的核心威胁在于其利用USB设备伪装进行攻击。该设备具备两个主要功能:一是向接入的主机系统植入恶意代码或软件,二是通过RF射频模块进行数据窃取和传输。这些功能的结合允许设备即使在物理网络隔离或“空隙网”(Air-Gapped)环境中依然能窃取和传输敏感数据。
这类攻击利用了供应链中的弱点,尤其是USB设备和固件可编程的特性。例如,BadUSB攻击就是利用USB设备的固件将设备伪装成外围设备(如键盘),从而通过模拟键盘输入进行攻击。COTTONMOUTH将此技术与RF射频模块结合,使其在隔离网络中也能进行远程数据传输,显著提升了威胁的广泛性。RF射频模块价格低廉,通常不超过30元人民币,但通信距离有限,通常受到天线、功率、频率以及环境的影响。例如,常见的315MHz和433MHz频段下,低功率情况下通信距离不超过100米。然而,即便通信距离有限,这种手段对高度保密的系统依然具备威胁性。
从软件供应链的角度,这揭示了多个潜在风险。首先是硬件与软件之间的结合:一个看似普通的USB设备可能通过隐蔽途径被攻击者植入恶意代码,并通过射频等手段进行数据外泄。其次是供应链中不同厂商之间的协作:如果供应商提供的硬件或软件存在安全漏洞,攻击者可以利用这些漏洞进行供应链攻击。这也说明了对供应链中每个环节进行严格审查和验证的重要性,特别是针对供应链中来自第三方的组件、固件或软件。
因此,供应链安全不仅仅是关注硬件部分,还要涵盖软件层面,尤其是对输入输出设备、通信模块、系统应用等的安全审查。对于企业来说,重要的不仅是软件安全设计,还应当对采购的设备进行严格的安全验证,以防止攻击者通过隐蔽手段植入恶意功能。通过提高供应链的透明度,进行严格的安全评估和监控,企业能够有效减轻类似COTTONMOUTH的设备对整体安全的影响。
作为国内软件供应链安全的排头兵,开源网安持续关注全球网络安全态势,在各地网信办、工信局、政数局等指导与支持下,在全国10余家城市建立了软件供应链安全检测中心,形成了成熟的 “政策与标准规范合规检测”、“代码检测评估”、“供应链评估体系”、“开源治理平台体系”、“人才认证体系”、“软件资产管理”、“安全态势感知”等7大核心能力,构建了“开源软件合规、软件供应链可信”供应链保障的坚实底座。目前,开源网安软件供应链安全一体化解决方案已全面支持各类业务场景,覆盖政府、央国企、金融、能源、通信、科技、汽车、物联网、医疗等各行业领域。
同时,开源网安既是国家软件供应链安全相关法规标准的建设者,也是软件供应链安全的早期布局者和实践者,一直积极响应国家要求,深度参与了《软件供应链安全要求》、《软件产品开源代码安全评价方法》、《网络安全从业人员能力基本要求》等国家标准的编写,推动软件供应链安全的发展。
面对严峻的网络安全国际态势,未来,公司将秉承初心,积极响应国家政策,瞄准国家重大需求、行业技术难题与用户“急、难、愁、盼”问题, 帮助各行业区域建立可信的软件供应链安全体系,让业务开展无忧前行。