点击蓝字关注我们
2023年,MOVEit和3CX软件中曝光了令人震惊的安全漏洞,预示着网络安全中软件供应链攻击风险正在不断加剧。
这些供应链攻击已经成为网络威胁者的有效工具。他们企图入侵并操纵软件供应商的系统,以便植入恶意代码。当受感染的软件通过正常的更新或安装过程分发给毫无戒备的用户时,为各种未授权活动,如数据盗窃和劫持,创造了可乘之机。
鉴于开源软件的广泛应用以及供应链攻击的日渐普遍,企业必须采取措施强化其软件供应链的安全防护,以增强软件整体的安全性。
软件供应链攻击的年均增长率惊人
软件供应链攻击的年均增长率达到了惊人的水平。根据Sonatype研究机构的报告,2019年至2022年间,这一攻击的年均增长率高达742%,而专家们普遍预计这种趋势短期内不会得到改善。
这些安全漏洞之所以严重,是因为它们与现代网络威胁的两个关键因素相交织即,攻击手段日益复杂和数字化程度的提升。此外,新冠疫情的流行和新技术的快速发展也进一步加速了这一问题的发展。
软件供应链攻击层出不穷,如Okta 漏洞、JetBrains 供应链攻击、MOVEit、3CX、Applied Materials、PyTorch Framework、Fantasy Wiper和 Kaseya VSA 勒索软件攻击等。在这些事件中,攻击者利用软件供应链漏洞,影响了全球数百家企业。
以SolarWinds为例,该事件被认为是迄今为止影响最深远的供应链攻击之一,其源自SUNBURST后门程序,该后门被植入到Orion IT管理应用程序的更新机制中。SolarWinds在提交给美国证券交易委员会(SEC)的报告中指出,约18,000名客户下载了含有后门的软件。微软也因此向大约40名客户发出了安全警告。
在Kaseya勒索软件攻击事件中,约有1,500家公司受到影响,并被要求支付高达5000万美元的赎金。
Log4j漏洞则在最初7天内就遭受了近130万次的利用尝试,这类漏洞的后果有可能持续数年乃至十年以上。
首先,应对软件供应链攻击的挑战既复杂又昂贵。IBM发布的《2023年数据泄露成本报告》显示,企业平均每次数据泄露的成本为463万美元,这一数字比其他类型的数据泄露高出8.3%。检测和解决供应链漏洞的平均时间需要294天,比其他类型的安全漏洞所需时间长出8.9%。
其次,91%的企业成为软件供应链事件的受害者。Enterprise Strategy Group的报告显示,在短短一年内,91%的企业成为软件供应链事件的受害者。
其中,2/5的企业表示,云服务配置错误、源代码存储库中的秘密被盗、API使用不安全以及用户凭据泄露正变得越来越普遍。这些攻击最常见的影响是恶意引入加密劫持恶意软件 (43%) 和影响 SLA(服务级别协议)的必要补救步骤 (41%)。
第三,攻击者正通过运用人工智能来优化其攻击策略,发动那些传统防御手段难以跟上的攻击。随着攻击者利用进攻性AI技术增强自己的攻击能力,网络安全供应商必须迎接这一挑战,全力提升防御技术,以确保在这场人工智能的较量中占据上风,而不是被动挨打。
不同来源开源代码的软件供应链易受到攻击
软件供应链因其在软件分发中的核心作用,以及相对较弱的安全防护,成为网络攻击者寻求最大化影响和经济收益的理想目标。因此,加强供应链安全对于保护企业和用户至关重要。
供应链攻击的一些最常见来源是商业软件、开源供应链和外国产品。
首先,商业软件。由于成百上千家公司可能使用相同的软件供应商和解决方案,因此,如果供应链攻击者可以渗透软件公司的系统或破坏其产品的完整性,他们就可以访问大量目标。
黑客倾向于攻击软件供应链,因为这样他们就可以在软件被公司采购和部署的过程中,悄悄地植入恶意代码,而无需直接入侵目标公司的系统。此外,黑客还可能试图渗透到安全软件供应商的系统中,以便获取并滥用那些供应商用于帮助客户进行渗透测试的工具。这样一来,黑客就能在目标网络中建立一个稳固的立足点,从而执行更广泛的恶意活动。
攻击者能够破坏软件的一种方式是使用编译器攻击。编译器将用一种语言编写的代码翻译成另一种编程语言。在编译器攻击中,编译器用于将恶意代码插入到其生成的翻译中。
第二,开源供应链的安全问题。开源软件的开放协作模式意味着任何人都能够参与到程序的开发中。然而,这种开放性也可能被黑客所利用。他们可能会在开源代码中植入隐蔽的漏洞,这些漏洞在软件发布和部署后,使得所有使用该软件的公司都面临被攻击的风险。因此,尽管开源软件提供了许多优势,但也需要对其安全性保持警惕,并采取适当的预防措施。
最后是来自外部的威胁,如政府强制要求或恶意行为者的潜入,可能导致软件产品中被植入恶意代码。这类威胁可能未经正式批准即可实施。一旦其他国家购买了这些受污染的产品,它们可能无意中为黑客提供了访问敏感系统的途径,从而带来严重的安全风险。
为了应对这类风险,组织需要加强对供应链的安全管理,确保软件产品的完整性和安全性。同时,国际合作和信息共享对于提高对此类威胁的认识和防范也至关重要。
供应链安全是当今企业 IT 组织面临的最重要的优先事项之一,尤其是随着越来越多的关键业务系统和应用程序整合或利用开源工件。
随着与开源软件相关的安全漏洞、勒索软件攻击和其他网络犯罪的增加,世界各地的政府领导人都在呼吁私人和公共合作。由于开源软件至少占所有软件的70%(Synopsys的“2020年开源安全和风险分析报告”),开源社区需要提供了一个自然的、中立的和泛行业的论坛,以加速软件供应链的安全。
开源安全基金会(OpenSSF),一个跨行业的合作,将多个开源软件计划汇集在一个保护伞下,以识别和修复开源软件中的网络安全漏洞,并开发改进的工具,推进培训、研究、最佳实践和漏洞披露实践。专家认为,“确保软件供应链的安全没有单一的灵丹妙药。研究、培训、最佳实践、工具和协作需要我们社区中成千上万的批判性思维的集体力量。”
红帽可信软件供应链解决方案可增强对软件供应链漏洞的抵御能力。借助红帽可信软件供应链,客户可以使用成熟的平台、可信内容以及实时安全扫描和修复,更快速、更高效地编写、构建和监控软件。
保护软件供应链
传统上,很大一部分代码是从头开始编写的,但今天的数字生态系统严重依赖开源软件、软件社区内的协作以及生成式人工智能等技术。这些不同的来源的代码共同构成了软件供应链,每个元素都引入了新的安全漏洞。
英国和美国的网络安全组织最近都提出了建议,以帮助公司应对近年来供应链攻击增加导致的威胁。美国国家标准与技术研究院(NIST)于2022年9月发布了全面的指南,以帮助软件企业抵御供应链威胁。
同样,英国国家网络安全中心(NCSC)在2022年10月发布了类似的建议,以帮助企业有效地评估其供应链的网络安全并获得信心。预计这一建议将很快成为行业规范。
为了保护其软件供应链,组织必须采用三个关键策略:
第一,实施软件物料清单(SBOM),全面清点整个供应链中使用的所有软件组件,从而实现快速漏洞修复。
第二,对所有组件中公开披露的网络安全漏洞进行持续扫描,从开发早期阶段到运行时。
第三,实施零信任策略,以限制对资源的未经授权的访问,特别是应对利用未知漏洞的零日攻击。
该研究预测,到2025年,45%的组织将遭受软件供应链攻击,公司必须立即采取措施了解其软件组成,严格审核其代码,并在整个生态系统中采用零信任原则。
如果未能采取强有力的策略来记录和解决供应链中的漏洞,可能会导致重大的财务损失和声誉受损。
参考资料:
https://venturebeat.com/security/five-ways-ai-is-helping-to-reduce-supply-chain-attacks-on-devops-teams/
https://www.opensourceforu.com/2024/02/surge-in-software-supply-chain-attacks-poses-growing-threat-to-cybersecurity/
https://www.fortinet.com/resources/cyberglossary/supply-chain-attacks
https://www.csoonline.com/article/570743/6-most-common-types-of-software-supply-chain-attacks-explained.html
扫码关注我们
END
