SolarWinds供應(yīng)鏈攻擊事件并不是孤例。事實(shí)上,軟件供應(yīng)鏈中的弱點(diǎn)在最近發(fā)生的Log4j漏洞事件中非常明顯。Log4j是一個(gè)廣泛使用的開源Java日志框架,該漏洞使數(shù)以萬計(jì)的應(yīng)用程序(從數(shù)據(jù)存儲(chǔ)服務(wù)到在線視頻游戲)面臨風(fēng)險(xiǎn)。
由于在生產(chǎn)中運(yùn)行了大量輕量級(jí)維護(hù)代碼,因此軟件供應(yīng)鏈對(duì)于Log4j等安全漏洞利用的時(shí)機(jī)已經(jīng)成熟。這是開源中的一個(gè)熱門話題,因?yàn)楹芏嗳耸褂幂p量級(jí)維護(hù)的軟件庫,將它們投入生產(chǎn),然后再也不打補(bǔ)丁。
這就是為什么說2022年將成為軟件供應(yīng)鏈安全元年的原因。
以下是行業(yè)專家的預(yù)測(cè),企業(yè)將在2022年努力加強(qiáng)軟件供應(yīng)鏈安全,并應(yīng)該進(jìn)行的三種實(shí)踐。
(1)深入探索容器鏡像distroless
在2022年,企業(yè)應(yīng)該考慮標(biāo)準(zhǔn)化,并精心修改他們的容器鏡像,其中包括發(fā)行版。事實(shí)上,有些人甚至?xí)f企業(yè)應(yīng)該“不受干擾”。
在distroless模型中,應(yīng)用程序仍然打包在容器鏡像中,但只保留了操作系統(tǒng)的最小痕跡。這個(gè)想法是通過盡可能多地剝離操作系統(tǒng)(例如刪除包管理器、庫和外殼)而減小網(wǎng)絡(luò)攻擊面。
但是,重要的是要了解,就像無服務(wù)器計(jì)算中采用了服務(wù)器一樣,無發(fā)行版中有發(fā)行版(發(fā)行版較少)。這可能就是distroless模型的真正價(jià)值,即提供一個(gè)框架來仔細(xì)挑選需要的和不需要的資源,而不是不加選擇地專注于減小單個(gè)容器映像的大小。
(2)檢查容器鏡像和注冊(cè)表
軟件從未像現(xiàn)在這樣復(fù)雜,如果企業(yè)不了解正在部署的所有內(nèi)容,就會(huì)遇到問題。隨著容器使用的增加,企業(yè)需要考慮他們?nèi)绾问褂煤筒渴鹑萜麋R像。換句話說,需要從受信任的地方下載受信任的東西。
企業(yè)可以抓住機(jī)會(huì),以更快的速度生產(chǎn)產(chǎn)品。或者非常小心謹(jǐn)慎,保證不會(huì)成為下一個(gè)SolarWinds網(wǎng)絡(luò)攻擊事件的受害者。
事實(shí)上,一些企業(yè)在從容器注冊(cè)表中提取軟件時(shí)有一個(gè)受到控制的安全環(huán)境。企業(yè)可以讓開發(fā)人員從他們想要的任何地方撤出。
這有點(diǎn)像讓每個(gè)承包商管理自己的供應(yīng)鏈合同,但如果事先考慮到惡意攻擊,那就太可怕了。當(dāng)涉及到容器供應(yīng)鏈時(shí),很容易進(jìn)入被黑客入侵的鏡像。因此,企業(yè)需要從受信任的供應(yīng)商處獲取容器映像,或確保了解(并且可以從頭開始重建)供應(yīng)鏈中的每個(gè)容器映像。
(3)評(píng)估SLSA
預(yù)測(cè)企業(yè)將開始探索并實(shí)施軟件的供應(yīng)鏈級(jí)別(SLSA),SLSA 是一個(gè)保護(hù)軟件供應(yīng)鏈完整性的框架。
SLSA基于谷歌公司的Borg內(nèi)部二進(jìn)制授權(quán)(BAB)平臺(tái),這是一種內(nèi)部部署的強(qiáng)制檢查,旨在確保生產(chǎn)軟件和配置得到適當(dāng)?shù)膶彶楹褪跈?quán)。谷歌公司指出,采用BAB有助于降低內(nèi)部風(fēng)險(xiǎn)、防止網(wǎng)絡(luò)攻擊,并支持生產(chǎn)系統(tǒng)的一致性。
谷歌公司聲稱,SLSA的目標(biāo)是通過防范網(wǎng)絡(luò)威脅來改善行業(yè)安全狀況,尤其是在開源環(huán)境中。SLSA還讓消費(fèi)者安心地了解他們使用的軟件的安全狀況。
加州大學(xué)伯克利分校國際計(jì)算機(jī)科學(xué)研究所的安全研究員Nick Weaver說:“供應(yīng)鏈攻擊很可怕,因?yàn)樗鼈冋娴暮茈y處理,而它們明確表示企業(yè)可以信任整個(gè)生態(tài)系統(tǒng),信任所有代碼在其機(jī)器的供應(yīng)商,信任每個(gè)供應(yīng)商的供應(yīng)商。”
谷歌公司發(fā)布了一個(gè)SLSA概念證明,允許用戶在構(gòu)建組件的同時(shí)創(chuàng)建和上傳出處,從而達(dá)到SLSA級(jí)別1。在此建議任何軟件開發(fā)商都要查看這個(gè)概念證明。
永遠(yuǎn)不要打破軟件供應(yīng)鏈
企業(yè)在過去幾年中經(jīng)歷了很多事件,軟件供應(yīng)鏈攻擊激增也加大了挑戰(zhàn),因?yàn)槠髽I(yè)應(yīng)對(duì)新冠疫情,從而忽略了供應(yīng)鏈安全。當(dāng)企業(yè)計(jì)劃如何度過疫情時(shí),保護(hù)軟件供應(yīng)鏈應(yīng)該是首要任務(wù)。
如果不能保證軟件供應(yīng)鏈的安全,企業(yè)和他們的客戶一直處在小心翼翼的狀態(tài)。當(dāng)然,保障供應(yīng)鏈安全的理念是,其安全取決于最薄弱的環(huán)節(jié),這意味著沒有任何一家企業(yè)可以靠自己來保護(hù)軟件供應(yīng)鏈。
在2022年,考慮可以添加到現(xiàn)有最佳實(shí)踐中的策略和技術(shù)非常重要。這種連續(xù)分層將幫助企業(yè)在對(duì)抗軟件供應(yīng)鏈攻擊時(shí)保持最新狀態(tài)。
人們一直在提防著下一個(gè)“黑天鵝”事件——看不見的威脅。對(duì)于這種情況,實(shí)際上只有一個(gè)全面防御措施:密切關(guān)注供應(yīng)鏈!
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)