如何解決供應商插入或者遺留在設備中的後門？

E安全5月3日文對於供應商/製造商已經在市場上售出的系統與軟體，黑客可將惡意後門接入其中並引發巨大麻煩。

如果供應商自身在有意或者無意中將某些後門遺留在產品當中，後果無疑將更為嚴重。

根據HIS方面的預測，到2020年全球物聯網設備總量將達到307億台，到2025年將進一步增長至7540億台。這意味著其中將存在相當一部分存在供應商後門的產品，並給企業客戶帶來巨大的安全風險。

對於CSO們（負責挖掘、緩解、解決安全問題的管理人員）而言，顯然有必要著眼於供應商後門，了解其如何進入產品、應對易感染開放環節，最終解決由此給硬體、軟體以及物聯網方案帶來的困境。

這些後門可能屬於安全缺陷、已知的接入與控制相關組件或功能，或者是某些未知的入口點，無論如何，攻擊者都有可能對其加以利用。

本文源自E安全官網

Kudelski Security公司首席技術官安德魯-霍華德（Andrew Howard）指出，「相當一部分供應商會有意允許其產品接受遠程訪問，旨在藉此實現補丁安裝、管理、升級、指標收集以及bug修復。

對於後門的界定：

如果用戶並不明確了解此類遠程訪問機制的存在，則將其歸類為後門。相對的，如果用戶了解這種供應商設置的遠程訪問功能並明確允許其存在，那麼其則並不屬於後門。」

鑒於斯諾登與維基解密曝光的一系列令人震驚的真相，大部分美國供應商對於後門的存在已經相當了解。根據ABI Research研究主管米切拉-門汀（Michela Menting）的介紹，亦有法律要求其刻意保留後門專供美國政府進行調查及其它執法工作。

設備和軟體中的後門給政企單位帶來什麼挑戰？

企業中的軟體、應用程序以及設備數量極為龐大，因此對此類產品進行逐一檢查並記錄對應後門就成了一項極為艱難的任務。霍華德解釋稱，大多數企業都擁有一項基礎性產品安全計劃並配合第三方資料庫發揮作用。例如美國政府下屬的國家漏洞資料庫（簡稱NVD）就負責發現其所使用產品中的各類潛在後門。NVD中包含供應商故意保留的後門，以及程序員們忘記撤銷並可能為惡意人士所利用的非故意後門。

通過這種方式，在後門被網路犯罪分子實際利用之前，相關漏洞就會被保存在NVD的資料庫當中，並由後者通知各企業客戶以推行對軟體及設備進行修復、沙箱保護或者刪除。霍華德同時強調稱，其它更為先進的企業則會將採購設備引入測試環境測試，確定無潛在後門問題後再加以使用。

一般來講，發現後門確實非常困難，且大多數企業並沒有能力將其發現或者進行修復。

另外，對於大多數企業而言，對產品進行深入測試的成本太過高昂。Trustwave公司SpiderLabs
EMEA高級主管勞倫斯·穆羅（Lawrence
Munro）指出，根據具體測試深度以及企業實際目標，產品測試的實際成本往往在3萬美元到15萬美元之間，而這還只是單一產品的審查支出。

如何緩解此類後門帶來的潛在風險？

根據穆羅的介紹，為了緩解硬體設備與軟體產品中的供應商後門問題，企業可以遵循以下四項基本步驟。

首先，認真考量該硬體或者軟體產品是否有存在的必要。穆羅設問道：「比如，你真的需要物聯網冰箱或者烤麵包機嗎？」

其次，甄別哪些供應商擁有出色的商業聲譽並因此值得信任。確保這類廠商會主動開發產品並修復其中的各類bug。確保廠商擁有可觀且穩定的運營規模，避免出現突然破產或者不再提供技術支持的情況。確保廠商擁有自己的Bug賞金或者Bug報告計劃。另外，調查和特別關注相關廠商的安全違規行為與不良作法。

第三，培訓SOC團隊以檢測企業網路中存在的轉發通道與隱蔽通信; 幫助員工學習網路中的警報與事件處理方式，引導其掌握更強大的惡意流量識別能力。

第四，利用正確的軟體與硬體工具來檢測後門通信，包括SIEM工具、安全網關、防火牆、UTM以及其它網路監控解決方案。

如何應對已知供應商後門

當企業已經在現有生產環境中發現存在後門的產品時，儘可能將其隔離直到供應商解決相關漏洞或者在其周邊部署理想的監控機制。

根據霍華德的說法，將硬體設備或軟體隔離在其所在網段之內，確保其無法或者極少訪問企業網路，這在一定程度上能夠有效降低各類相關風險。雖然這可能會對設備產生不利影響，但此類應對策略將使得攻擊者很難在企業網路中橫向移動。

如果企業發現後門程序並正確進行上報，而供應商並沒有提供對應修復方案，則企業方應在可能的情況下修改硬體固件以解決問題。不過這種作法將導致供應商不再為設備提供技術支持。穆羅並不推薦這種作法，除非企業擁有一支技術水平極高的團隊且確保此種作法不會引發單點故障。

本文源自E安全官網

物聯網後門

廠商在設計物聯網設備時，大多不會將安全考量納入其中。物聯網的聯網方式意味著供應商往往需要在設備上市後再對其進行升級或者調整，因此物聯網產品中的供應商後門相當常見。

為了處理物聯網設備中潛在的後門，企業必須首先確定由誰負責相關管理工作。在此之後，企業需要發現後門並確保由業務及安全負責人合力修復。此類風險處理工作通常需要召開會議，例如停機時間與潛在能力損失，這顯然需要由業務及安全相關人員協同進行。

根據霍華德的介紹，企業可以選擇多種物聯網後門處理方式，包括刪除、修復、監控對應設備，或者將其隔離於獨立網段當中。

在物聯網製造商真正意識到安全性的重要意義之前（即將其視為產品差異化競爭優勢或者必要前提），企業必須假設幾乎一切物聯網設備皆存在安全缺陷，無論是表現為後門抑或是其它形式。這種方式能夠確保企業採取更具風險意識的部署策略，以盡量降低潛在風險水平。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。