為什麼必須防止供應鏈攻擊?

SolarWinds的攻擊持續在網路安全世界產生影響。在外行人眼中,這種形式的網路攻擊就像毒氣，逐漸傳播及其影響是巨大。

供應鏈攻擊保護

這次攻擊證明是一個巨大的警鐘，並引起企業對軟體供應鏈攻擊的廣泛關注。鑑於威脅行為者已迅速將這種相同的方法應用於其他供應鏈，這一點變得尤為重要。

事實上，他們似乎透過瞄準擁有強大網路系統的公司而找到訣竅。因此，2021年出現了一個關鍵的增長攻擊載體:“網路供應鏈攻擊”。

是什麼為供應鏈攻擊提供契機?

讓我們從源頭開始找尋，看看JavaScript在web上的主導地位。JavaScript是網路的“語言”。據估計，世界上97%的網站使用javascript——包括所有財富500強公司的網站。

20年前，網路主要由靜態網站組成，幾乎沒有任何功能，但這種情況很快就改變了。自從JavaScript開源社群在2009年開始維護自己的權利以來，我們見證了開源專案的爆炸式增長，社群釋出了數以百萬計的可重用程式碼塊(模組或包)，這些程式碼塊可以被不同的專案輕鬆共享。這個生態系統的後續發展提高了所有應用程式的開發速度——網路、移動和桌面。

在這樣一個炙手可熱的領域，公司尋求依靠同行評審的第三方模組來縮短產品開發時間，而不是在內部開發每一段程式碼。因此，使用第三方程式碼成為web開發的標準。

與此同時，網路變得越來越有價值和複雜。靜態的網站變成了動態的頁面，最終形成了今天成熟的數字服務，如網上銀行、電子商務和流媒體。市場營銷、使用者體驗和商業工具的數字服務供應鏈的增長也推動了這種快速轉變。這些公司沒有使用自己的聊天機器人、分析工具或CRM工具，而是從第三方購買了這些服務，並將它們直接整合到自己的網站上。

難怪，如今平均有超過三分之二的網站程式碼來自第三方。這就是安全問題出現的地方。在網站的上下文中，第三方程式碼的每一段都與內部開發的任何剩餘程式碼具有完全相同的許可權。因此，如果聊天機器人工具突然決定開始捕捉並洩露購物者的信用卡資訊到電子商務網站，沒有什麼可以阻止它。這是網路供應鏈攻擊的本質——破壞第三方服務提供商，將惡意程式碼注入到實際服務中，並因此將其傳播到每個使用它的網站。

公司不僅無法控制這一點，而且他們也無法實際瞭解這些攻擊。這就是為什麼像Magecart這樣的攻擊通常會連續數月保持活躍。

什麼是最好的防守?

在評估供應鏈安全和評估供應鏈管理實踐時，不同國家都實施了相關的法規，並加強在軟體供應鏈安全方面的關注。但處理 Web 供應鏈攻擊需要深入瞭解第三方程式碼的使用情況。

第三方程式碼將繼續存在。它嵌入在Web開發的核心結構中，並且仍然是競爭產品開發中最有價值的資產之一。但是，如果公司學會安全地整合外部原始碼，就有可能減輕外部原始碼內在的風險。

這將要求安全和開發團隊儘可能減少程式碼依賴性，並實施技術來為他們提供對其網站客戶端上執行的所有程式碼的行為的可見性和控制(即，在瀏覽器或終端上發生的一切) -使用者裝置)。

這將需要安全和開發團隊儘可能地減少程式碼依賴，同時透過SCA開源軟體成分分析工具及SAST 靜態程式碼檢測等程式碼安全檢測工具來提高程式碼的安全性，並控制所有在他們網站的客戶端上執行的程式碼的行為(例如，發生在瀏覽器或終端使用者裝置上的一切)。

如果公司要控制其網路供應鏈，為了最大限度地提高安全級別，公司需要在執行時持續監控每個使用者會話是否有惡意行為的跡象。

這也正是DevSecOps背後的想法，軟體行業的真正正規化轉變，旨在將安全性穩健地整合到現代應用程式開發和部署中。作為全球推動更安全供應鏈的一部分，DevSecOps可以在整個軟體開發生命週期中植入安全控制。這些做法當然可以幫助企業重新獲得我們已經提到的對其網站供應鏈的可見性和控制權。

SolarWinds 供應鏈攻擊無疑激怒了許多重要的企業。另一方面，它引起全球對軟體供應鏈的關注和重視。今天，我們正處於一個關鍵時刻，防止這些攻擊是觸手可及的，而不這樣做的代價太高，不容忽視。

參讀連結：

https://www.helpnetsecurity.com/2021/12/01/supply-chain-attacks-protection/