軟體供應鏈安全
越來越多的威脅行為者將供應鏈攻擊視為進入企業網路的切入點。
2017年,攻擊者破壞了Avast的一個軟體構建系統,並使用該公司的CCleaner軟體傳播惡意軟體。
2019年,一個名為“鋇”的威脅參與者闖入了硬體製造商華碩的一個自動軟體更新系統,並利用該訪問渠道向華碩系統的客戶傳播惡意軟體。這個惡意軟體——作為shadowwhammer操作的一部分發布,最終在超過40萬個系統上執行。
雖然這些攻擊引起了相當大的關注,但是SolarWinds披露的漏洞及Kaseya供應鏈攻擊事件才逐漸真正引起人們對供應鏈安全問題的高度關注。
2020年SolarWinds 網路管理公司遭到網路攻擊,攻擊者發動針對該公司客戶的供應鏈攻擊活動,客戶群體包括美國財富500強公司中的至少425家企業、美國十大通訊公司、美國陸軍所有分支、五角大樓、NASA、NSA、郵政服務、司法部以及美國總統辦公室。
2021年7月,軟體製造商 Kaseya VSA的基礎設施遭到勒索軟體破壞。據稱至少有1000家企業受到影響,使這次事件成為歷史上最大的勒索軟體攻擊之一。
什麼是供應鏈攻擊?
供應鏈攻擊是一種面向軟體開發人員和供應商的新興威脅。目標是透過感染合法應用分發惡意軟體來訪問原始碼、構建過程或更新機制。在軟體供應鏈中,上游的安全問題會傳遞到下游並被放大。值得注意的是在供應鏈攻擊中受到攻擊的是上游廠商,受到威脅的則是上下游廠商。
在供應鏈攻擊中,攻擊者主要搜尋存在漏洞的軟體、不安全的網路協議、未受保護的伺服器基礎結構和不安全的程式碼。它們在生成和更新過程中會中斷、更改原始碼並隱藏惡意軟體。
由於軟體由受信任的供應商生成和釋出,因此這些應用和更新已經過簽名和認證。在軟體供應鏈攻擊中,但供應商並不知道他們的應用程式或更新在公開發布時受到惡意程式碼感染,因此惡意程式碼以與應用相同的信任和許可權執行。
軟體供應鏈目前情況
Sonatype釋出《2021年軟體供應鏈狀況報告》中資料顯示,供應鏈攻擊呈指數級增長,2021世界上軟體供應鏈攻擊增加了650%。開源漏洞在流行專案中最為普遍,29%的流行專案至少包含一個已知的安全漏洞。開源元件的使用增加,其安全性已經成為影響軟體供應鏈安全的重要一環。
不安全的程式碼或元件為軟體安全帶來潛在風險。2021年6月,谷歌釋出了新框架SLSA應對供應鏈攻擊。谷歌表示,這是一套驗證程式碼來源並實現程式碼標識的審計工具,以確定部署的產品軟體是否經過了適當的審查和授權。
“供應鏈各級軟體神器”(SLSA),是端到端框架,旨在確保軟體開發和部署流水線即,原始碼➞構建➞釋出工作流程,並減輕了在鏈條的每個環節上篡改原始碼、構建平臺和工件儲存庫所產生的威脅。
軟體供應鏈安全相關法規
近年來,我國先後頒佈的《中華人民共和國網路安全法》《網路安全審查辦法》《關鍵資訊基礎設施安全保護條例》等政策法規強調加強軟體供應鏈安全保障。
2021年5月12日,美國發布了《關於改善國家網路安全》的第14028號行政命令(EO),明確要求美國聯邦政府加強軟體供應鏈安全管控,迅速提高軟體供應鏈的安全性和完整性。今年5月,美國國家標準與技術研究院 (NIST)更新瞭解決軟體供應鏈風險的網路安全指南,該指南幫助組織將網路安全供應鏈風險考慮因素和要求納入其採購流程,並強調監控風險的重要性。
保護軟體供應鏈安全
保護軟體安全的出發點是對組織架構的全面瞭解。透過清楚軟體供應鏈中的關鍵內容,瞭解軟體中都有什麼來更準確地做出相關防禦。另一個需要注意的是,CISO和DevSecOps團隊需要關注軟體中的程式碼安全及在開發過程中對開源元件的依賴。
面對軟體供應商:
是否進行了軟體檢測?
供應商如何評估其軟體的安全性?
供應商如何檢查其軟體產品中的漏洞?
供應商如何保護其網路和裝置?
SaaS供應商是否符合企業安全合規?
面對開原始碼:
1. 建立和維護軟體物料清單
2. 確定程式碼建立位置的安全級別
3.加強軟體程式碼安全檢測,包括開源元件程式碼及自研程式碼
採用制定的戰略方法來管理供應鏈的網路安全和更第三方開源元件存在的安全及合規等問題,這樣可以透過網路評估提高對供應鏈的信心,降低網路風險。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2894877/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Kubernetes 時代的安全軟體供應鏈
- 解決軟體供應鏈安全問題
- 再談“開源軟體供應鏈安全”
- 中國信通院首屆3SCON軟體供應鏈安全會議成功召開 聚焦軟體供應鏈全鏈路安全
- 軟體供應鏈安全如何受到駭客的威脅
- NSA 和 CISA分享保護軟體供應鏈安全指南
- 網路安全行政命令:保護軟體供應鏈
- 影響軟體供應鏈安全的10大風險因素
- 軟體供應鏈中斷時代
- 數字生態系統安全演進:軟體供應鏈中的API安全API
- 解決軟體供應鏈安全問題需要關注哪些問題
- 軟體供應鏈風險評估:實現安全 SDLC有哪些步驟
- RSA創新沙盒盤點 | Cycode——軟體供應鏈安全完整解決方案
- 2023年軟體供應鏈風險管理指南
- 京東為openKylin新增SBOM利器,保障軟體供應鏈安全和可追溯性!
- 安勢資訊加入Linux基金會OpenChain專案,助力軟體供應鏈安全LinuxAI
- 評估軟體供應鏈安全可關注這5個關鍵問題
- Sonatype:2020年軟體供應鏈狀況報告
- 【供應鏈】供應鏈的底牌
- 醫療裝置製造商如何在軟體供應鏈中提高網路安全
- CNCERT:2021年開源軟體供應鏈安全風險研究報告(附下載)
- 火遍全球的小程式技術,軟體供應鏈安全也能幫得上忙?
- 聚合供應鏈電商系統開發軟體流程
- 簡析《美國白宮<利用安全的軟體開發實踐增強軟體供應鏈的安全性>備忘錄》
- 華為雲CodeArts 12大安全防護機制,端到端全面保障軟體供應鏈安全!
- 火熱報名中|OSCS 軟體供應鏈安全技術論壇議程搶先看
- 速來領取!《軟體供應鏈安全治理與運營白皮書(2022)》正式釋出
- 突破供應鏈管理瓶頸,SCM供應鏈協同系統提升冷鏈物流行業整體供應鏈協同效率行業
- 貿易公司軟體管理系統可以管理供應鏈麼?
- 守護軟體供應鏈安全,DevSecOps頭部廠商「懸鏡安全」完成B輪數億元融資dev
- 供應商管理軟體有哪些 好用的供應商管理軟體推薦
- 倒數計時 | 2021 OWASP中國軟體開發與供應鏈安全技術論壇
- 安全知識圖譜 | 繪製軟體供應鏈知識圖譜,強化風險分析
- 讓企業數字化砸鍋和IT主管背鍋的軟體供應鏈安全風險
- DevSecOps 如何解決供應鏈安全問題dev
- 供應鏈高效管理供應商
- 紡織服裝行業智慧供應鏈管理系統完善供應鏈體系,加速企業智慧供應鏈轉型行業
- 供應商管理軟體如何選型 好用的供應商管理軟體推薦