說到應(yīng)用程序和軟件，關(guān)鍵詞是“更多”。在數(shù)字經(jīng)濟(jì)需求的推動下，從簡化業(yè)務(wù)運(yùn)營到創(chuàng)造創(chuàng)新的新收入機(jī)會，企業(yè)越來越依賴應(yīng)用程序。云本地應(yīng)用程序開發(fā)更是火上澆油。然而，情況是雙向的：這些應(yīng)用程序通常更復(fù)雜，使用的開放源代碼比以往任何時候都包含更多的漏洞。此外，威脅行為者正在創(chuàng)造和使用更多的攻擊方法和技術(shù)，通常是組合在一起的。

最終，我們得到了各種攻擊機(jī)會的大雜燴，威脅行為者知道這一點(diǎn)。事實(shí)上，Mend.io最近發(fā)布的關(guān)于軟件供應(yīng)鏈惡意軟件的報告顯示，從2021年到2022年，發(fā)布到NPM和RubyGems上的惡意包數(shù)量躍升了315%。這些攻擊通常會危及受信任的供應(yīng)商。

正是因?yàn)樗麄兝昧丝尚诺年P(guān)系，他們可能很難被發(fā)現(xiàn)和擊退。

那么，如何防御它們呢？

軟件供應(yīng)鏈攻擊是如何運(yùn)作的

軟件供應(yīng)鏈?zhǔn)菫閼?yīng)用程序提供軟件組件的供應(yīng)商和供應(yīng)商的網(wǎng)絡(luò)。敵手侵入第三方軟件以獲取對您的系統(tǒng)和代碼庫的訪問權(quán)限。然后，他們在你的供應(yīng)鏈中橫向移動，直到他們到達(dá)預(yù)期的目標(biāo)。

一般來說，軟件供應(yīng)鏈攻擊遵循一系列階段。

偵察

惡意行為者研究他們的目標(biāo)并識別供應(yīng)鏈中的漏洞。這涉及到收集關(guān)于供應(yīng)鏈中的供應(yīng)商、供應(yīng)商和合作伙伴的信息。

最初的妥協(xié)

第一次接觸到供應(yīng)鏈中的薄弱環(huán)節(jié)，如第三方供應(yīng)商或供應(yīng)商。它可能涉及網(wǎng)絡(luò)釣魚和其他社交工程，以誘騙員工提供訪問憑據(jù)。

橫向運(yùn)動

一旦進(jìn)入供應(yīng)鏈，攻擊者就會試圖使用被盜的憑據(jù)或利用漏洞等手段訪問其他系統(tǒng)或數(shù)據(jù)。

特權(quán)升級

攻擊者試圖獲得對目標(biāo)企業(yè)內(nèi)的關(guān)鍵系統(tǒng)的管理訪問權(quán)限，如域控制器或其他保存敏感數(shù)據(jù)的服務(wù)器。

數(shù)據(jù)外泄

數(shù)據(jù)或知識產(chǎn)權(quán)被盜，或造成其他破壞。

通過了解這些階段，您可以采取措施在軟件供應(yīng)鏈攻擊造成重大破壞之前檢測、減輕和防止它們。

軟件供應(yīng)鏈安全漏洞的常見原因

代碼審查和測試不足，導(dǎo)致漏洞未被檢測到。企業(yè)應(yīng)實(shí)施全面的代碼審查和測試流程，以識別和緩解任何潛在的安全問題。

過時/未打補(bǔ)丁的軟件使系統(tǒng)容易受到攻擊者利用的已知安全漏洞的攻擊。

設(shè)計不佳的訪問控制和薄弱的身份驗(yàn)證允許攻擊者輕松獲得對敏感系統(tǒng)和數(shù)據(jù)的未經(jīng)授權(quán)訪問。

薄弱的加密和不安全的通信使數(shù)據(jù)泄露變得很容易。

如果企業(yè)沒有工具或?qū)I(yè)知識來有效地監(jiān)控和檢測威脅，缺乏對供應(yīng)鏈的可見性就會增加暴露在潛在問題中的風(fēng)險。這是也構(gòu)成威脅的一些隱藏漏洞中的第一個。

其他包括：

隱藏的漏洞：

第三方依賴項(xiàng)：應(yīng)用程序通常依賴于第三方庫和組件，如果管理不當(dāng)，可能會引入漏洞。這些可能很難檢測到，特別是當(dāng)企業(yè)對源代碼的可見性很差的時候。

軟件供應(yīng)商缺乏多樣性：如果企業(yè)依賴于單一的軟件供應(yīng)商，并且無法了解其安全實(shí)踐，那么它就無法有效地檢測隱藏的漏洞。

針對開源軟件的攻擊之所以發(fā)生，是因?yàn)槠髽I(yè)大量使用開源軟件，以至于它是一個巨大的攻擊面。

如何評估供應(yīng)鏈安全？

確定軟件供應(yīng)商和合作伙伴

生成軟件材料清單(SBOM)-所有供應(yīng)商、承包商和其他合作伙伴的清單，檢查他們的安全策略和控制，以及他們是否符合法規(guī)。

進(jìn)行風(fēng)險評估并制定補(bǔ)救計劃

包括可靠的軟件測試和增強(qiáng)安全意識。

審查并實(shí)施您的控制和策略

確保您的策略符合安全要求。檢查訪問控制和數(shù)據(jù)保護(hù)，以防止未經(jīng)授權(quán)的訪問、加強(qiáng)保密性、限制攻擊面并降低第三方風(fēng)險。

增強(qiáng)加密和安全通信的能力

評估和重新設(shè)計供應(yīng)鏈架構(gòu)

以提高供應(yīng)鏈可見性，更好地識別和管理潛在問題、惡意活動、第三方風(fēng)險，并確保滿足合規(guī)和監(jiān)管要求。

構(gòu)建全面的安全方法

結(jié)合使用漏洞掃描儀、終端保護(hù)軟件、網(wǎng)絡(luò)安全工具、身份和訪問管理以及特定的軟件供應(yīng)鏈工具，以及員工培訓(xùn)和響應(yīng)規(guī)劃。

用于加強(qiáng)安全性的工具

在下一篇文章中，我將介紹如何成功地做到這一點(diǎn)，以及您應(yīng)該如何使用這些工具來加強(qiáng)軟件和應(yīng)用程序的安全性。

虹科推薦

虹科軟件組成分解決方案

虹科Mend是唯一一款旨在讓安全團(tuán)隊(duì)完全控制整個組織的開源使用情況的 SCA 工具。使用 Mend.io，您可以在所有開發(fā)人員和應(yīng)用程序中實(shí)施策略，以消除開源許可風(fēng)險并更新易受攻擊的軟件包。

· 減少M(fèi)TTR：通過自動拉取請求加速修復(fù)，以快速修復(fù)開源漏洞。

·停止惡意軟件包：檢測和消除現(xiàn)有代碼庫中的惡意軟件包，并阻止它們進(jìn)入新的應(yīng)用程序與Mend的360°惡意軟件包保護(hù)。

·消除誤報：確保您的開發(fā)人員關(guān)注真正的風(fēng)險。Mend SCA檢測漏洞是否實(shí)際可訪問，指示非可利用漏洞，以便可以安全地忽略它們。

·大規(guī)模快速部署：在不到一個小時的時間內(nèi)，跨越所有開發(fā)中的應(yīng)用程序?yàn)閿?shù)千名開發(fā)人員實(shí)現(xiàn)SCA。

·確保完全采用：確保100%采用Mend SCA，并通過選擇在每次代碼提交后都要求掃描來提高整體風(fēng)險的降低。

·持續(xù)監(jiān)控并確定優(yōu)先順序

訪問控制、風(fēng)險管理和設(shè)計將限制已知漏洞的影響，但是如何確定沒有已知漏洞所存在的風(fēng)險，自動化依賴項(xiàng)更新十分重要。高級的依賴性更新產(chǎn)品將創(chuàng)建一個拉取請求，以便自動合并更新。您的基礎(chǔ)設(shè)施、容器和應(yīng)用程序代碼也應(yīng)該自動更新。自動掃描是至關(guān)重要的，但它不能涵蓋所有內(nèi)容。SCA能夠做到不斷監(jiān)視漏洞并確定其優(yōu)先級，當(dāng)一些組件過時或有新的漏洞時將會被標(biāo)記。