說到應(yīng)用程序和軟件，關(guān)鍵詞是“更多”。在數(shù)字經(jīng)濟需求的推動下，從簡化業(yè)務(wù)運營到創(chuàng)造創(chuàng)新的新收入機會，企業(yè)越來越依賴應(yīng)用程序。云本地應(yīng)用程序開發(fā)更是火上澆油。然而，情況是雙向的：這些應(yīng)用程序通常更復(fù)雜，使用的開放源代碼比以往任何時候都包含更多的漏洞。此外，威脅行為者正在創(chuàng)造和使用更多的攻擊方法和技術(shù)，通常是組合在一起的。

最終，我們得到了各種攻擊機會的大雜燴，威脅行為者知道這一點。事實上，Mend.io最近發(fā)布的關(guān)于軟件供應(yīng)鏈惡意軟件的報告顯示，從2021年到2022年，發(fā)布到NPM和RubyGems上的惡意包數(shù)量躍升了315%。這些攻擊通常會危及受信任的供應(yīng)商。

正是因為他們利用了可信的關(guān)系，他們可能很難被發(fā)現(xiàn)和擊退。

那么，如何防御它們呢？

軟件供應(yīng)鏈攻擊是如何運作的

軟件供應(yīng)鏈?zhǔn)菫閼?yīng)用程序提供軟件組件的供應(yīng)商和供應(yīng)商的網(wǎng)絡(luò)。敵手侵入第三方軟件以獲取對您的系統(tǒng)和代碼庫的訪問權(quán)限。然后，他們在你的供應(yīng)鏈中橫向移動，直到他們到達預(yù)期的目標(biāo)。

一般來說，軟件供應(yīng)鏈攻擊遵循一系列階段。

偵察

惡意行為者研究他們的目標(biāo)并識別供應(yīng)鏈中的漏洞。這涉及到收集關(guān)于供應(yīng)鏈中的供應(yīng)商、供應(yīng)商和合作伙伴的信息。

最初的妥協(xié)

第一次接觸到供應(yīng)鏈中的薄弱環(huán)節(jié)，如第三方供應(yīng)商或供應(yīng)商。它可能涉及網(wǎng)絡(luò)釣魚和其他社交工程，以誘騙員工提供訪問憑據(jù)。

橫向運動

一旦進入供應(yīng)鏈，攻擊者就會試圖使用被盜的憑據(jù)或利用漏洞等手段訪問其他系統(tǒng)或數(shù)據(jù)。

特權(quán)升級

攻擊者試圖獲得對目標(biāo)企業(yè)內(nèi)的關(guān)鍵系統(tǒng)的管理訪問權(quán)限，如域控制器或其他保存敏感數(shù)據(jù)的服務(wù)器。

數(shù)據(jù)外泄

數(shù)據(jù)或知識產(chǎn)權(quán)被盜，或造成其他破壞。

通過了解這些階段，您可以采取措施在軟件供應(yīng)鏈攻擊造成重大破壞之前檢測、減輕和防止它們。

軟件供應(yīng)鏈安全漏洞的常見原因

代碼審查和測試不足，導(dǎo)致漏洞未被檢測到。企業(yè)應(yīng)實施全面的代碼審查和測試流程，以識別和緩解任何潛在的安全問題。

過時/未打補丁的軟件使系統(tǒng)容易受到攻擊者利用的已知安全漏洞的攻擊。

設(shè)計不佳的訪問控制和薄弱的身份驗證允許攻擊者輕松獲得對敏感系統(tǒng)和數(shù)據(jù)的未經(jīng)授權(quán)訪問。

薄弱的加密和不安全的通信使數(shù)據(jù)泄露變得很容易。

如果企業(yè)沒有工具或?qū)I(yè)知識來有效地監(jiān)控和檢測威脅，缺乏對供應(yīng)鏈的可見性就會增加暴露在潛在問題中的風(fēng)險。這是也構(gòu)成威脅的一些隱藏漏洞中的第一個。

其他包括：

隱藏的漏洞：

第三方依賴項：應(yīng)用程序通常依賴于第三方庫和組件，如果管理不當(dāng)，可能會引入漏洞。這些可能很難檢測到，特別是當(dāng)企業(yè)對源代碼的可見性很差的時候。

軟件供應(yīng)商缺乏多樣性：如果企業(yè)依賴于單一的軟件供應(yīng)商，并且無法了解其安全實踐，那么它就無法有效地檢測隱藏的漏洞。

針對開源軟件的攻擊之所以發(fā)生，是因為企業(yè)大量使用開源軟件，以至于它是一個巨大的攻擊面。

如何評估供應(yīng)鏈安全？

確定軟件供應(yīng)商和合作伙伴

生成軟件材料清單(SBOM)-所有供應(yīng)商、承包商和其他合作伙伴的清單，檢查他們的安全策略和控制，以及他們是否符合法規(guī)。

進行風(fēng)險評估并制定補救計劃

包括可靠的軟件測試和增強安全意識。

審查并實施您的控制和策略

確保您的策略符合安全要求。檢查訪問控制和數(shù)據(jù)保護，以防止未經(jīng)授權(quán)的訪問、加強保密性、限制攻擊面并降低第三方風(fēng)險。

增強加密和安全通信的能力

評估和重新設(shè)計供應(yīng)鏈架構(gòu)

以提高供應(yīng)鏈可見性，更好地識別和管理潛在問題、惡意活動、第三方風(fēng)險，并確保滿足合規(guī)和監(jiān)管要求。

構(gòu)建全面的安全方法

結(jié)合使用漏洞掃描儀、終端保護軟件、網(wǎng)絡(luò)安全工具、身份和訪問管理以及特定的軟件供應(yīng)鏈工具，以及員工培訓(xùn)和響應(yīng)規(guī)劃。

用于加強安全性的工具

在下一篇文章中，我將介紹如何成功地做到這一點，以及您應(yīng)該如何使用這些工具來加強軟件和應(yīng)用程序的安全性。

虹科推薦

虹科軟件組成分解決方案

虹科Mend是唯一一款旨在讓安全團隊完全控制整個組織的開源使用情況的 SCA 工具。使用 Mend.io，您可以在所有開發(fā)人員和應(yīng)用程序中實施策略，以消除開源許可風(fēng)險并更新易受攻擊的軟件包。

· 減少MTTR：通過自動拉取請求加速修復(fù)，以快速修復(fù)開源漏洞。

·停止惡意軟件包：檢測和消除現(xiàn)有代碼庫中的惡意軟件包，并阻止它們進入新的應(yīng)用程序與Mend的360°惡意軟件包保護。

·消除誤報：確保您的開發(fā)人員關(guān)注真正的風(fēng)險。Mend SCA檢測漏洞是否實際可訪問，指示非可利用漏洞，以便可以安全地忽略它們。

·大規(guī)?？焖俨渴穑?/strong>在不到一個小時的時間內(nèi)，跨越所有開發(fā)中的應(yīng)用程序為數(shù)千名開發(fā)人員實現(xiàn)SCA。

·確保完全采用：確保100%采用Mend SCA，并通過選擇在每次代碼提交后都要求掃描來提高整體風(fēng)險的降低。

·持續(xù)監(jiān)控并確定優(yōu)先順序

訪問控制、風(fēng)險管理和設(shè)計將限制已知漏洞的影響，但是如何確定沒有已知漏洞所存在的風(fēng)險，自動化依賴項更新十分重要。高級的依賴性更新產(chǎn)品將創(chuàng)建一個拉取請求，以便自動合并更新。您的基礎(chǔ)設(shè)施、容器和應(yīng)用程序代碼也應(yīng)該自動更新。自動掃描是至關(guān)重要的，但它不能涵蓋所有內(nèi)容。SCA能夠做到不斷監(jiān)視漏洞并確定其優(yōu)先級，當(dāng)一些組件過時或有新的漏洞時將會被標(biāo)記。