軟體供應鏈安全

越來越多的威脅行為者將供應鏈攻擊視為進入企業網路的切入點。

2017年，攻擊者破壞了Avast的一個軟體構建系統，並使用該公司的CCleaner軟體傳播惡意軟體。

2019年，一個名為“鋇”的威脅參與者闖入了硬體製造商華碩的一個自動軟體更新系統，並利用該訪問渠道向華碩系統的客戶傳播惡意軟體。這個惡意軟體——作為shadowwhammer操作的一部分發布，最終在超過40萬個系統上執行。

雖然這些攻擊引起了相當大的關注，但是SolarWinds披露的漏洞及Kaseya供應鏈攻擊事件才逐漸真正引起人們對供應鏈安全問題的高度關注。

2020年SolarWinds 網路管理公司遭到網路攻擊，攻擊者發動針對該公司客戶的供應鏈攻擊活動，客戶群體包括美國財富500強公司中的至少425家企業、美國十大通訊公司、美國陸軍所有分支、五角大樓、NASA、NSA、郵政服務、司法部以及美國總統辦公室。

2021年7月，軟體製造商 Kaseya VSA的基礎設施遭到勒索軟體破壞。據稱至少有1000家企業受到影響，使這次事件成為歷史上最大的勒索軟體攻擊之一。

什麼是供應鏈攻擊?

供應鏈攻擊是一種面向軟體開發人員和供應商的新興威脅。目標是透過感染合法應用分發惡意軟體來訪問原始碼、構建過程或更新機制。在軟體供應鏈中，上游的安全問題會傳遞到下游並被放大。值得注意的是在供應鏈攻擊中受到攻擊的是上游廠商，受到威脅的則是上下游廠商。

在供應鏈攻擊中，攻擊者主要搜尋存在漏洞的軟體、不安全的網路協議、未受保護的伺服器基礎結構和不安全的程式碼。它們在生成和更新過程中會中斷、更改原始碼並隱藏惡意軟體。

由於軟體由受信任的供應商生成和釋出，因此這些應用和更新已經過簽名和認證。在軟體供應鏈攻擊中，但供應商並不知道他們的應用程式或更新在公開發布時受到惡意程式碼感染，因此惡意程式碼以與應用相同的信任和許可權執行。

軟體供應鏈目前情況

Sonatype釋出《2021年軟體供應鏈狀況報告》中資料顯示，供應鏈攻擊呈指數級增長，2021世界上軟體供應鏈攻擊增加了650%。開源漏洞在流行專案中最為普遍，29%的流行專案至少包含一個已知的安全漏洞。開源元件的使用增加，其安全性已經成為影響軟體供應鏈安全的重要一環。

不安全的程式碼或元件為軟體安全帶來潛在風險。2021年6月，谷歌釋出了新框架SLSA應對供應鏈攻擊。谷歌表示，這是一套驗證程式碼來源並實現程式碼標識的審計工具，以確定部署的產品軟體是否經過了適當的審查和授權。

“供應鏈各級軟體神器”(SLSA)，是端到端框架，旨在確保軟體開發和部署流水線即，原始碼➞構建➞釋出工作流程，並減輕了在鏈條的每個環節上篡改原始碼、構建平臺和工件儲存庫所產生的威脅。

軟體供應鏈安全相關法規

近年來，我國先後頒佈的《中華人民共和國網路安全法》《網路安全審查辦法》《關鍵資訊基礎設施安全保護條例》等政策法規強調加強軟體供應鏈安全保障。

2021年5月12日，美國發布了《關於改善國家網路安全》的第14028號行政命令(EO)，明確要求美國聯邦政府加強軟體供應鏈安全管控，迅速提高軟體供應鏈的安全性和完整性。今年5月，美國國家標準與技術研究院 (NIST)更新瞭解決軟體供應鏈風險的網路安全指南，該指南幫助組織將網路安全供應鏈風險考慮因素和要求納入其採購流程，並強調監控風險的重要性。

保護軟體供應鏈安全

保護軟體安全的出發點是對組織架構的全面瞭解。透過清楚軟體供應鏈中的關鍵內容，瞭解軟體中都有什麼來更準確地做出相關防禦。另一個需要注意的是，CISO和DevSecOps團隊需要關注軟體中的程式碼安全及在開發過程中對開源元件的依賴。

面對軟體供應商：

是否進行了軟體檢測?

供應商如何評估其軟體的安全性?

供應商如何檢查其軟體產品中的漏洞?

供應商如何保護其網路和裝置?

SaaS供應商是否符合企業安全合規?

面對開原始碼：

1. 建立和維護軟體物料清單

2. 確定程式碼建立位置的安全級別

3.加強軟體程式碼安全檢測，包括開源元件程式碼及自研程式碼

採用制定的戰略方法來管理供應鏈的網路安全和更第三方開源元件存在的安全及合規等問題，這樣可以透過網路評估提高對供應鏈的信心，降低網路風險。