說到應(yīng)用程序和軟件，關(guān)鍵詞是“更多”。在數(shù)字經(jīng)濟(jì)需求的推動(dòng)下，從簡(jiǎn)化業(yè)務(wù)運(yùn)營(yíng)到創(chuàng)造創(chuàng)新的新收入機(jī)會(huì)，企業(yè)越來越依賴應(yīng)用程序。云本地應(yīng)用程序開發(fā)更是火上澆油。然而，情況是雙向的：這些應(yīng)用程序通常更復(fù)雜，使用的開放源代碼比以往任何時(shí)候都包含更多的漏洞。此外，威脅行為者正在創(chuàng)造和使用更多的攻擊方法和技術(shù)，通常是組合在一起的。

最終，我們得到了各種攻擊機(jī)會(huì)的大雜燴，威脅行為者知道這一點(diǎn)。事實(shí)上，Mend.io最近發(fā)布的關(guān)于軟件供應(yīng)鏈惡意軟件的報(bào)告顯示，從2021年到2022年，發(fā)布到NPM和RubyGems上的惡意包數(shù)量躍升了315%。這些攻擊通常會(huì)危及受信任的供應(yīng)商。

正是因?yàn)樗麄兝昧丝尚诺年P(guān)系，他們可能很難被發(fā)現(xiàn)和擊退。

那么，如何防御它們呢？

軟件供應(yīng)鏈攻擊是如何運(yùn)作的

軟件供應(yīng)鏈?zhǔn)菫閼?yīng)用程序提供軟件組件的供應(yīng)商和供應(yīng)商的網(wǎng)絡(luò)。敵手侵入第三方軟件以獲取對(duì)您的系統(tǒng)和代碼庫(kù)的訪問權(quán)限。然后，他們?cè)谀愕墓?yīng)鏈中橫向移動(dòng)，直到他們到達(dá)預(yù)期的目標(biāo)。

一般來說，軟件供應(yīng)鏈攻擊遵循一系列階段。

偵察

惡意行為者研究他們的目標(biāo)并識(shí)別供應(yīng)鏈中的漏洞。這涉及到收集關(guān)于供應(yīng)鏈中的供應(yīng)商、供應(yīng)商和合作伙伴的信息。

最初的妥協(xié)

第一次接觸到供應(yīng)鏈中的薄弱環(huán)節(jié)，如第三方供應(yīng)商或供應(yīng)商。它可能涉及網(wǎng)絡(luò)釣魚和其他社交工程，以誘騙員工提供訪問憑據(jù)。

橫向運(yùn)動(dòng)

一旦進(jìn)入供應(yīng)鏈，攻擊者就會(huì)試圖使用被盜的憑據(jù)或利用漏洞等手段訪問其他系統(tǒng)或數(shù)據(jù)。

特權(quán)升級(jí)

攻擊者試圖獲得對(duì)目標(biāo)企業(yè)內(nèi)的關(guān)鍵系統(tǒng)的管理訪問權(quán)限，如域控制器或其他保存敏感數(shù)據(jù)的服務(wù)器。

數(shù)據(jù)外泄

數(shù)據(jù)或知識(shí)產(chǎn)權(quán)被盜，或造成其他破壞。

通過了解這些階段，您可以采取措施在軟件供應(yīng)鏈攻擊造成重大破壞之前檢測(cè)、減輕和防止它們。

軟件供應(yīng)鏈安全漏洞的常見原因

代碼審查和測(cè)試不足，導(dǎo)致漏洞未被檢測(cè)到。企業(yè)應(yīng)實(shí)施全面的代碼審查和測(cè)試流程，以識(shí)別和緩解任何潛在的安全問題。

過時(shí)/未打補(bǔ)丁的軟件使系統(tǒng)容易受到攻擊者利用的已知安全漏洞的攻擊。

設(shè)計(jì)不佳的訪問控制和薄弱的身份驗(yàn)證允許攻擊者輕松獲得對(duì)敏感系統(tǒng)和數(shù)據(jù)的未經(jīng)授權(quán)訪問。

薄弱的加密和不安全的通信使數(shù)據(jù)泄露變得很容易。

如果企業(yè)沒有工具或?qū)I(yè)知識(shí)來有效地監(jiān)控和檢測(cè)威脅，缺乏對(duì)供應(yīng)鏈的可見性就會(huì)增加暴露在潛在問題中的風(fēng)險(xiǎn)。這是也構(gòu)成威脅的一些隱藏漏洞中的第一個(gè)。

其他包括：

隱藏的漏洞：

第三方依賴項(xiàng)：應(yīng)用程序通常依賴于第三方庫(kù)和組件，如果管理不當(dāng)，可能會(huì)引入漏洞。這些可能很難檢測(cè)到，特別是當(dāng)企業(yè)對(duì)源代碼的可見性很差的時(shí)候。

軟件供應(yīng)商缺乏多樣性：如果企業(yè)依賴于單一的軟件供應(yīng)商，并且無法了解其安全實(shí)踐，那么它就無法有效地檢測(cè)隱藏的漏洞。

針對(duì)開源軟件的攻擊之所以發(fā)生，是因?yàn)槠髽I(yè)大量使用開源軟件，以至于它是一個(gè)巨大的攻擊面。

如何評(píng)估供應(yīng)鏈安全？

確定軟件供應(yīng)商和合作伙伴

生成軟件材料清單(SBOM)-所有供應(yīng)商、承包商和其他合作伙伴的清單，檢查他們的安全策略和控制，以及他們是否符合法規(guī)。

進(jìn)行風(fēng)險(xiǎn)評(píng)估并制定補(bǔ)救計(jì)劃

包括可靠的軟件測(cè)試和增強(qiáng)安全意識(shí)。

審查并實(shí)施您的控制和策略

確保您的策略符合安全要求。檢查訪問控制和數(shù)據(jù)保護(hù)，以防止未經(jīng)授權(quán)的訪問、加強(qiáng)保密性、限制攻擊面并降低第三方風(fēng)險(xiǎn)。

增強(qiáng)加密和安全通信的能力

評(píng)估和重新設(shè)計(jì)供應(yīng)鏈架構(gòu)

以提高供應(yīng)鏈可見性，更好地識(shí)別和管理潛在問題、惡意活動(dòng)、第三方風(fēng)險(xiǎn)，并確保滿足合規(guī)和監(jiān)管要求。

構(gòu)建全面的安全方法

結(jié)合使用漏洞掃描儀、終端保護(hù)軟件、網(wǎng)絡(luò)安全工具、身份和訪問管理以及特定的軟件供應(yīng)鏈工具，以及員工培訓(xùn)和響應(yīng)規(guī)劃。

用于加強(qiáng)安全性的工具

在下一篇文章中，我將介紹如何成功地做到這一點(diǎn)，以及您應(yīng)該如何使用這些工具來加強(qiáng)軟件和應(yīng)用程序的安全性。

虹科推薦

虹科軟件組成分解決方案

虹科Mend是唯一一款旨在讓安全團(tuán)隊(duì)完全控制整個(gè)組織的開源使用情況的 SCA 工具。使用 Mend.io，您可以在所有開發(fā)人員和應(yīng)用程序中實(shí)施策略，以消除開源許可風(fēng)險(xiǎn)并更新易受攻擊的軟件包。

· 減少M(fèi)TTR：通過自動(dòng)拉取請(qǐng)求加速修復(fù)，以快速修復(fù)開源漏洞。

·停止惡意軟件包：檢測(cè)和消除現(xiàn)有代碼庫(kù)中的惡意軟件包，并阻止它們進(jìn)入新的應(yīng)用程序與Mend的360°惡意軟件包保護(hù)。

·消除誤報(bào)：確保您的開發(fā)人員關(guān)注真正的風(fēng)險(xiǎn)。Mend SCA檢測(cè)漏洞是否實(shí)際可訪問，指示非可利用漏洞，以便可以安全地忽略它們。

·大規(guī)模快速部署：在不到一個(gè)小時(shí)的時(shí)間內(nèi)，跨越所有開發(fā)中的應(yīng)用程序?yàn)閿?shù)千名開發(fā)人員實(shí)現(xiàn)SCA。

·確保完全采用：確保100%采用Mend SCA，并通過選擇在每次代碼提交后都要求掃描來提高整體風(fēng)險(xiǎn)的降低。

·持續(xù)監(jiān)控并確定優(yōu)先順序

訪問控制、風(fēng)險(xiǎn)管理和設(shè)計(jì)將限制已知漏洞的影響，但是如何確定沒有已知漏洞所存在的風(fēng)險(xiǎn)，自動(dòng)化依賴項(xiàng)更新十分重要。高級(jí)的依賴性更新產(chǎn)品將創(chuàng)建一個(gè)拉取請(qǐng)求，以便自動(dòng)合并更新。您的基礎(chǔ)設(shè)施、容器和應(yīng)用程序代碼也應(yīng)該自動(dòng)更新。自動(dòng)掃描是至關(guān)重要的，但它不能涵蓋所有內(nèi)容。SCA能夠做到不斷監(jiān)視漏洞并確定其優(yōu)先級(jí)，當(dāng)一些組件過時(shí)或有新的漏洞時(shí)將會(huì)被標(biāo)記。