評估軟體供應鏈安全可關注這5個關鍵問題

知道向潛在供應商詢問什麼可以最大限度地降低與第三方軟體漏洞和違規相關的風險。

去年12月SolarWinds和今年7月的Kaseya供應鏈攻擊事件，表明軟體供應鏈攻擊已成為日益嚴重的威脅。事實上，網路罪犯似乎已經掌握了“一次入侵，多次感染”的攻擊模式，並正在加大對軟體公司的攻擊力度。

這一趨勢引起了廣泛關注，以至於美國總統喬·拜登(Joe Biden)在5月份簽署的一項網路安全行政命令中，將軟體供應鏈安全列為重中之重。該命令要求所有聯邦文職機構採取措施，評估和核實其供應商的安全措施。它還要求制定新的指導方針，最終要求軟體開發人員維護安全的開發環境，對訪問其網路實施強有力的控制，使用加密，為每個產品提供軟體材料清單，以及一系列其他措施。

此外，美國國土安全部的美國網路安全和基礎設施安全域性(CISA)和美國國家標準與技術研究所(NIST)開發了一種新的資源，旨在向聯邦機構提供軟體供應鏈風險的概述和防範措施。

那麼，在評估軟體供應鏈和供應商的安全性時，組織需要考慮什麼呢?根據安全專家的說法，以下是五個值得一問的問題。

是否進行了軟體檢測?

此處軟體測試涉及滲透測試及 靜態程式碼安全檢測。

滲透測試可以繞過應用程式的業務邏輯和安全控制(如身份驗證和授權)，從而提供有價值的結果。

儘管軟體供應商可能會因為涉及智慧財產權問題，不會提供原始碼供審查，但企業可以透過第三方程式碼安全檢測認證以確保內部程式碼的安全性，多數情況下，靜態程式碼檢測技術可以儘可能多地分析程式碼路徑、發現安全漏洞。從而充分了解軟體的預期行為，監控意外行為。

在軟體中探索儘可能多的程式碼路徑，遵循控制流，理解軟體行為是發現軟體中潛在的隱藏安全問題的關鍵。

供應商如何評估其軟體的安全性?

Fattah說，在他們的環境中購買和安裝供應商軟體的公司需要了解供應商的軟體安全協議。例如，供應商是否有檢查軟體更新的完整性過程?軟體多久更新一次?它是否在預設情況下以最小特權模式執行?

他表示:“許多軟體(產品)需要在特權模式下(執行)，這意味著軟體可以完全控制它所執行的系統。”需要高許可權的產品包括安全工具和網路管理工具，如SolarWinds的Orion平臺。

此外，瞭解軟體的材料清單——或者是軟體的組成部分，包括開源元件——是知道要監視哪些漏洞的關鍵。

根據安全解決方案高階經理的說法，全面瞭解供應商的安全實踐“是審查過程中最重要的部分之一。您需要了解他們有哪些控制措施，他們如何監控對你資料的訪問，以及在他們這一方發生安全事件時，他們如何保護你的資料。”

供應商如何檢查其軟體產品中的漏洞?

驗證軟體供應商採取了哪些措施來檢查其產品是否存在已知漏洞。一個重要的問題是，它使用什麼商業或開源應用程式測試工具或服務來確保其軟體沒有已知的安全缺陷和惡意功能。安全檢測工具是否具有權威性?

一個附帶的問題是，他們是否對軟體開發過程進行了基準測試/成熟度級別評估，同時對開原始碼及框架等及時進行安全漏洞檢測。

網路的使用應該儘可能分段，並且所有管理員帳戶都應該需要兩因素身份驗證，同時還需要持續監控進出該軟體的日誌和網路流量。

供應商如何保護其網路和裝置?

攻擊者喜歡攻擊軟體供應鏈，因為透過損害一個供應商，他們有機會損害其他許多公司。因此，瞭解供應商如何管理和保護對其數字資產的訪問是很重要的。

安全專家表示，組織應該考慮使用第三方網路安全評級公司的服務來了解供應商的安全狀況。此類公司根據從Internet外部收集的有關公司的資料為組織計算安全評級(類似於信用評分)。這可能包括與受感染系統之間的通訊、檔案共享、暴力攻擊的跡象以及物聯網 (IoT) 流量。

這些資料通常可以透過開放埠、軟體和網路漏洞、外部可見的配置錯誤以及一系列其他安全問題揭示組織的脆弱性。它還突出了一些問題，如web應用程式防火牆的缺失，未打補丁的系統，以及使用過時的SSL協議。

ThycoticCentrify首席安全科學家表示，安全團隊還需要了解供應商如何保護和驗證對關鍵資料和系統的特權訪問。

他們如何維護活動的審計日誌，他們如何加密敏感資料，以及如果他們受到威脅，您的組織會面臨什麼風險?

SaaS供應商是否符合組織的風險偏好?

在與軟體即服務 (SaaS) 供應商打交道時，企業在將其軟體本地化部署之前詢問軟體供應商的所有問題是必要的。但同時還需要了解更多。

Panorays的技術長兼聯合創始人表示，有必要查明客戶資料是否離開了供應商的生產系統。供應商是否支援用於內部系統或客戶訪問的單點登入，它是否符合公司很重要的法規。

還要驗證SaaS供應商是否有流程確保員工僅在需要了解的基礎上訪問客戶資料。瞭解它如何保護內部Wi-F網路，以及如何加固關鍵伺服器以防止攻擊。

供應商是否有適當的控制措施，以防止未經授權訪問其應用程式、程式或目標原始碼?供應商是否加密儲存在雲中的資料?

Wukong(悟空)靜態程式碼檢測工具，從原始碼開始，為您的軟體安全保駕護航!