当像2023年的MOVEit黑客攻击这样的网络攻击成为全球新闻头条时，人们往往关注受影响的组织名称或受影响的人数。虽然这种关注是可以理解的，但对类似MOVEit攻击中发生的事情进行适当分析对于制定具体的网络安全措施以防止类似事件发生是有用的。

本文概述了MOVEit黑客攻击，并旨在为您的业务提供一些重要的可操作性结论。

什么是MOVEit黑客攻击？

2023年6月6日，臭名昭著的与俄罗斯有关的勒索软件组织Clop声称对进步软件公司的MOVEit传输工具发动了攻击，对此负有责任。

这个企业文件共享解决方案在美国拥有广泛的客户群。组织使用MOVEit进行安全文件传输，它实际上是一种更加专业化的、经过改进的版本，类似于流行的文件共享工具Dropbox。

在2023年5月，Clop的网络犯罪分子发现了MOVEit中一个之前未知的漏洞，并开始利用它。当MOVEit中的漏洞使Clop黑客能够访问130个组织的IT环境并窃取敏感数据时，这些组织遭受了下游的影响。

MOVEit黑客攻击与Clop等组织最初臭名昭著的经典勒索软件攻击并不相同。几乎没有证据表明系统被威胁行为者安装的.clop勒索软件文件锁定并变得无法访问。

相反，这次攻击进一步展示了当今黑客对数据的重视，大约有1600万人的个人信息被泄露并从系统中被窃取。

Clop黑客可以利用这些数据或从中获利的方式有很多种。最明显的方式是勒索软件团伙近年来转向的勒索策略。

与其锁定系统并要求赎金，黑客窃取敏感数据并威胁将其在网上公开，如果公司不支付赎金的话。他们还可以在不法的暗网市场上出售这些数据，其他网络犯罪分子可以利用它进行欺诈和诈骗活动。

这次攻击是如何发生的呢？

进一步探究MOVEit攻击可以揭示一些关于战术和原因的额外有用信息。首先，这是公司面临的日益增长的软件供应链安全风险的明显案例。

许多企业依赖第三方提供有用的软件和代码作为其自身服务或应用程序供应链的组成部分，但这种依赖也意味着通过软件供应链中的漏洞可能会访问其网络上的数据和其他资源。

还有一个需要考虑的重要方面是，Clop在MOVEit软件中利用的漏洞是一个零日漏洞。网络犯罪团伙非常重视这些漏洞，因为供应商还没有时间（零天）来修复它们。

从MOVEit事件后的新兴数字取证分析表明，黑客早在2021年就已经知道MOVEit的零日漏洞，并进行了秘密测试，以了解他们可以获得多少访问权限。

该漏洞与SQL注入有关，这是应用程序中常见的入口点。这类软件代码弱点可以实现数据操纵或数据库访问。MOVEit攻击通过手动测试SQL注入漏洞，以自动化的方式利用该漏洞攻击大量组织。

实际的攻击是通过利用SQL漏洞在MOVEit中安装后门，从而方便从使用该文件传输解决方案的组织中下载数据。然后，Clop团伙成员设定了截止日期为6月14日，如果企业希望避免其盗取的客户或员工的个人信息在网上被公开发布，就需要支付赎金。

MOVEit攻击的影响

除了数百万人的个人数据被泄露，其中许多人是受影响组织的员工，观察受此供应链事件影响的一些公司，可以看出现代高级网络攻击活动的影响范围之广。

Zellis

作为许多大型公司使用的热门工资支付服务提供商，Zellis通过MOVEit漏洞被攻破的事实意味着这一供应链事件蔓延到了一些Zellis的客户。这显示了软件供应链漏洞的连锁影响。

BBC

当英国的国家广播公司成为受害者之一时，全球媒体迅速关注到MOVEit黑客攻击。BBC似乎是因为Zellis受到攻击而遭受损失的组织之一。制药公司Boots和航空公司英国航空也受到了攻击。

Norton LifeLock

作为备受赞誉的身份盗窃保护解决方案和防病毒工具提供商，诺顿遭受了这次攻击导致的数据丢失，这有些具有讽刺意味。随后有声明称，员工数据被从内部系统中盗取。

预防类似未来事件的提示：

绘制供应链地图

通过绘制软件供应链地图，您可以更好地了解软件的来源、使用的组件以及供应商是谁。这与物理供应链类似的概念，因为依赖开源项目和第三方库、框架和应用程序的普遍性，需要进行全面的透明度和可见性。这样可以帮助您识别和了解供应链中潜在的薄弱环节（例如很少更新的开源项目），这些环节可能被攻击者利用。

加强第三方风险管理

对第三方风险管理（TPRM）战略进行战略性改进，将为保护网络免受供应链攻击带来益处。考虑加强您对为您的业务提供代码或应用程序的相关方的要求。对开源项目进行更严格的尽职调查，要求供应商遵守网络安全框架，并可能要求在同意第三方软件供应商访问您的网络环境之前，看到至少一次年度渗透测试的证据。

朝着零信任模式迈进

零信任架构是一种安全模型，它规定在网络的安全边界内，没有用户、系统或服务会自动被信任。相反，身份验证必须基于上下文和风险因素进行持续验证。零信任模型的几个原则可以增强对供应链攻击的弹性：

• 零信任架构默认实施最小特权访问。如果黑客通过漏洞的第三方代码或应用程序访问您的环境，最小特权访问模型将限制他们可以执行的操作。
• 在零信任模型中，将网络划分为较小的、隔离的分段（也称为微分段）是至关重要的。当黑客利用一个存在漏洞的软件组件时，他们很可能只能访问该特定的网络微分段。
• 在零信任架构中，对身份和权限进行持续验证是必要的。任何异常行为，例如应用程序试图访问通常不需要的资源，都会触发警报并自动触发保护性响应。这种响应可以限制软件供应链攻击的爆炸半径。

尽管没有系统可以完全防止软件供应链攻击，但实施零信任架构可以大大减少攻击造成的潜在影响，通过限制攻击者的访问和能力。

渗透测试应用程序

在利用零日漏洞攻击100多家公司后，出现了更多证据证明MOVEIt代码中存在着不同的、无关的弱点，这为其他潜在的攻击路径开辟了可能性。

MOVEit的IT和开发团队在防止这起事件发生时可能忽视了最重要的一点，那就是彻底进行代码渗透测试的价值。在渗透测试中，熟练的道德黑客会仔细搜寻和探索正是Clop所发现和利用的SQL注入弱点。

选择持续渗透测试

零星或不经常进行的渗透测试无法确保您的网络或应用程序免受像MOVEit黑客攻击这样的事件的影响。

现代的开发实践，如DevOps，要求定期向应用程序添加新功能，这可能会引入安全漏洞。网络犯罪分子不断探索Web应用程序，以寻找突破的新途径。

传统上，组织通常将渗透测试视为一次性的活动。

问题在于，无论是Web应用程序还是威胁环境的变化速度都很快，使得这些测试结果很快过时。此外，组织往往将渗透测试视为一项符合性要求，而不是一项持续进行的工作。

作为一项服务，渗透测试（PTaaS）将公司从过时的测试模式转向实时自动扫描和更加定期的手动测试的结合。

Outpost24的SWAT是一种创新的PTaaS解决方案，可通过SaaS门户提供。通过SWAT，您可以持续监控面向互联网的Web应用程序，以更快地检测和修复新的软件漏洞，并且实现零误报。

除了持续的自动化测试外，SWAT还为您提供了一支由高技能和经验丰富的渗透测试人员组成的团队，可以根据任何定制的频率或其他需求进行手动测试。

多管齐下的方法

应对像MOVEit攻击这样的高级黑客攻击需要采取多管齐下的方法，并需要重新思考您的网络安全策略的某些要素。

朝着零信任的方向发展，努力增加对供应链的可见性，并选择连续的渗透测试，以比传统的手动方法更快地捕捉代码漏洞。

Outpost24的SWAT PTaaS平台可以帮助您发现现代Web应用程序生态系统中的所有潜在弱点，包括底层代码、第三方库和API缺陷。