如何解决供应商插入或者遗留在设备中的后门？

责任编辑：editor004 |来源：企业网D1Net 2017-05-03 11:55:41 本文摘自：E安全

对于供应商/制造商已经在市场上售出的系统与软件，黑客可将恶意后门接入其中并引发巨大麻烦。

如果供应商自身在有意或者无意中将某些后门遗留在产品当中，后果无疑将更为严重。

根据HIS方面的预测，到2020年全球物联网设备总量将达到307亿台，到2025年将进一步增长至7540亿台。这意味着其中将存在相当一部分存在供应商后门的产品，并给企业客户带来巨大的安全风险。

对于CSO们(负责挖掘、缓解、解决安全问题的管理人员)而言，显然有必要着眼于供应商后门，了解其如何进入产品、应对易感染开放环节，最终解决由此给硬件、软件以及物联网方案带来的困境。

这些后门可能属于安全缺陷、已知的接入与控制相关组件或功能，或者是某些未知的入口点，无论如何，攻击者都有可能对其加以利用。

Kudelski Security公司首席技术官安德鲁-霍华德(Andrew Howard)指出，“相当一部分供应商会有意允许其产品接受远程访问，旨在借此实现补丁安装、管理、升级、指标收集以及bug修复。

对于后门的界定：

如果用户并不明确了解此类远程访问机制的存在，则将其归类为后门。相对的，如果用户了解这种供应商设置的远程访问功能并明确允许其存在，那么其则并不属于后门。”

鉴于斯诺登与维基解密曝光的一系列令人震惊的真相，大部分美国供应商对于后门的存在已经相当了解。根据ABI Research研究主管米切拉-门汀(Michela Menting)的介绍，亦有法律要求其刻意保留后门专供美国政府进行调查及其它执法工作。

设备和软件中的后门给政企单位带来什么挑战?

企业中的软件、应用程序以及设备数量极为庞大，因此对此类产品进行逐一检查并记录对应后门就成了一项极为艰难的任务。霍华德解释称，大多数企业都拥有一项基础性产品安全计划并配合第三方数据库发挥作用。例如美国政府下属的国家漏洞数据库(简称NVD)就负责发现其所使用产品中的各类潜在后门。NVD中包含供应商故意保留的后门，以及程序员们忘记撤销并可能为恶意人士所利用的非故意后门。

通过这种方式，在后门被网络犯罪分子实际利用之前，相关漏洞就会被保存在NVD的数据库当中，并由后者通知各企业客户以推行对软件及设备进行修复、沙箱保护或者删除。霍华德同时强调称，其它更为先进的企业则会将采购设备引入测试环境测试，确定无潜在后门问题后再加以使用。

一般来讲，发现后门确实非常困难，且大多数企业并没有能力将其发现或者进行修复。

另外，对于大多数企业而言，对产品进行深入测试的成本太过高昂。Trustwave公司SpiderLabs EMEA高级主管劳伦斯·穆罗(Lawrence Munro)指出，根据具体测试深度以及企业实际目标，产品测试的实际成本往往在3万美元到15万美元之间，而这还只是单一产品的审查支出。

如何缓解此类后门带来的潜在风险?

根据穆罗的介绍，为了缓解硬件设备与软件产品中的供应商后门问题，企业可以遵循以下四项基本步骤。

首先，认真考量该硬件或者软件产品是否有存在的必要。穆罗设问道：“比如，你真的需要物联网冰箱或者烤面包机吗?”

其次，甄别哪些供应商拥有出色的商业声誉并因此值得信任。确保这类厂商会主动开发产品并修复其中的各类bug。确保厂商拥有可观且稳定的运营规模，避免出现突然破产或者不再提供技术支持的情况。确保厂商拥有自己的Bug赏金或者Bug报告计划。另外，调查和特别关注相关厂商的安全违规行为与不良作法。

第三，培训SOC团队以检测企业网络中存在的转发通道与隐蔽通信; 帮助员工学习网络中的警报与事件处理方式，引导其掌握更强大的恶意流量识别能力。

第四，利用正确的软件与硬件工具来检测后门通信，包括SIEM工具、安全网关、防火墙、UTM以及其它网络监控解决方案。

如何应对已知供应商后门

当企业已经在现有生产环境中发现存在后门的产品时，尽可能将其隔离直到供应商解决相关漏洞或者在其周边部署理想的监控机制。

根据霍华德的说法，将硬件设备或软件隔离在其所在网段之内，确保其无法或者极少访问企业网络，这在一定程度上能够有效降低各类相关风险。虽然这可能会对设备产生不利影响，但此类应对策略将使得攻击者很难在企业网络中横向移动。