研究表明2023年對(duì)軟件供應(yīng)鏈的攻擊將會(huì)加劇

責(zé)任編輯:cres

作者:Sumeet Wadhwani

2022-12-12 14:22:03

來(lái)源:企業(yè)網(wǎng)D1Net

原創(chuàng)

根據(jù)供應(yīng)鏈安全機(jī)構(gòu)ReversingLabs的預(yù)計(jì),到2023年,針對(duì)軟件供應(yīng)鏈攻擊的頻率和嚴(yán)重程度都將會(huì)增加。

2023年,針對(duì)軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊將會(huì)繼續(xù)增加。相應(yīng)地,人們將會(huì)看到安全團(tuán)隊(duì)進(jìn)行網(wǎng)絡(luò)防御的轉(zhuǎn)變。這是根據(jù)ReversingLabs最近發(fā)布的一份報(bào)告得出的結(jié)論,該報(bào)告評(píng)估了自SolarWinds網(wǎng)絡(luò)攻擊事件以來(lái)軟件供應(yīng)鏈?zhǔn)录挠绊憽?
 
2020年SolarWinds網(wǎng)絡(luò)攻擊的影響廣泛而深遠(yuǎn)。突然之間,軟件供應(yīng)鏈變成了網(wǎng)絡(luò)犯罪的溫床,可以進(jìn)行有利可圖的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)間諜活動(dòng),或者只是發(fā)表聲明。
 
為了應(yīng)對(duì)這種尋找和利用軟件供應(yīng)鏈弱點(diǎn)的新趨勢(shì),安全團(tuán)隊(duì)也提高了他們的安全防護(hù)水平,各國(guó)政府制定了《持久安全框架》下保護(hù)軟件供應(yīng)鏈的具體指南,以及名為《2022年開(kāi)源軟件安全法案》的新立法。
 
ReversingLabs在《2022~2023年軟件供應(yīng)鏈安全狀況》報(bào)告中指出:“這些軟件供應(yīng)鏈攻擊以普遍存在的實(shí)踐和行為為基礎(chǔ)。其中包括:嚴(yán)重依賴集中的、基于云的基礎(chǔ)設(shè)施;快速發(fā)展的DevOps實(shí)踐顯著地提高了軟件發(fā)布的節(jié)奏,部分原因是大量使用第三方商用現(xiàn)成模塊和開(kāi)源模塊來(lái)加快開(kāi)發(fā);以及更加依賴集中的自動(dòng)更新機(jī)制,以促進(jìn)現(xiàn)代基于云的應(yīng)用程序和服務(wù)的快速發(fā)布。”
 
ReversingLabs在過(guò)去12個(gè)月觀察到的主要軟件供應(yīng)鏈安全趨勢(shì)
 
對(duì)植入惡意代碼的開(kāi)源軟件的信任已被證明是企業(yè)安全的一個(gè)缺陷。例如,在過(guò)去四年中,對(duì)npm和PyPI存儲(chǔ)庫(kù)的攻擊激增了289%。
 
惡意軟件包已經(jīng)成為開(kāi)源存儲(chǔ)庫(kù)中的惡性存在,尤其是npm,在2022年1月至10月期間,npm被發(fā)現(xiàn)有多達(dá)7000個(gè)惡意包。這一數(shù)字比2020年高出100倍,比2021年高出40%。
 
 
npm和PyPI中的惡意包
 
npm存儲(chǔ)庫(kù)是網(wǎng)絡(luò)犯罪分子傳播惡意代碼和感染下游組織的選擇。ReversingLabs表示,這是因?yàn)閚pm存儲(chǔ)庫(kù)托管了310多萬(wàn)個(gè)項(xiàng)目,PyPi上有40.7萬(wàn)個(gè)項(xiàng)目,RubyGems上有17.3萬(wàn)個(gè)項(xiàng)目。
 
具體而言,拼寫(xiě)錯(cuò)誤欺詐(即惡意行為者發(fā)布名稱與流行庫(kù)名稱相似的包的技術(shù))已經(jīng)增加。
 
Protestware軟件給軟件供應(yīng)鏈帶來(lái)了另一個(gè)風(fēng)險(xiǎn)。Protestware軟件出現(xiàn)于2022年,其中合法應(yīng)用程序的維護(hù)者決定將他們的軟件武器化,以服務(wù)于一些更大的事業(yè)(無(wú)論是個(gè)人還是政治)。
 
npm libraries colors.js和faker r.js(打印“LIBERTY”LIBERTY LIBERTY,后面有一系列亂碼非ASCII字符,而不是所需的輸出)和open-source library node.ipc是Protestware的一些例子。
 
與此同時(shí),企業(yè)可能無(wú)意中將敏感信息留在存儲(chǔ)庫(kù)中。ReversingLabs安全分析師Charlie Jones指出:“直到最近,我們才看到惡意攻擊者將注意力轉(zhuǎn)向軟件供應(yīng)鏈,因?yàn)樗麄冮_(kāi)始意識(shí)到源代碼是一個(gè)無(wú)意中嵌入秘密的豐富來(lái)源,可以用于進(jìn)一步的攻擊。”
 
一些企業(yè)對(duì)敏感信息的存在感到“尷尬”,例如源代碼、憑證、訪問(wèn)令牌等,嵌入在由他們自己或第三方在開(kāi)源平臺(tái)上維護(hù)的存儲(chǔ)庫(kù)中,包括美國(guó)退伍軍人事務(wù)部、豐田公司、CarbonTV等。
 

 
PyPi|托管項(xiàng)目泄漏憑據(jù)的數(shù)量
 
此外,企業(yè)被發(fā)現(xiàn)依賴于脆弱的軟件依賴項(xiàng)。然而,Log4Shell、Text4Shell、Spring4Shell、Python和OpenSSL等開(kāi)源漏洞的增加表明威脅行為者一直在試圖尋找新的利用途徑。
 
好消息是,企業(yè)對(duì)當(dāng)前的問(wèn)題持謹(jǐn)慎態(tài)度。RversingLabs進(jìn)行的一項(xiàng)調(diào)查表明:
 
·98%的受訪者表示,第三方軟件、開(kāi)源軟件和軟件篡改對(duì)企業(yè)來(lái)說(shuō)是風(fēng)險(xiǎn)。
 
·66%的受訪者表示,可利用的軟件漏洞構(gòu)成風(fēng)險(xiǎn)。
 
·63%的受訪者表示,隱藏在開(kāi)源存儲(chǔ)庫(kù)中的威脅和惡意軟件可能導(dǎo)致SolarWinds和Codecov這樣的網(wǎng)絡(luò)安全事件。
 
·51%的受訪者表示,無(wú)法檢測(cè)軟件篡改是一種安全風(fēng)險(xiǎn)。
 
·40%的受訪者還強(qiáng)調(diào)了持續(xù)集成(CI)/持續(xù)交付(CD)工具鏈中的漏洞是一個(gè)問(wèn)題。
 
因此,安全團(tuán)隊(duì)?wèi)?yīng)采取以下措施應(yīng)對(duì)供應(yīng)鏈攻擊:
 
·引入了識(shí)別惡意軟件包的新功能。
 
·與掃描平臺(tái)的更多集成。
 
·IP范圍鎖定。
 
·供應(yīng)鏈安全自動(dòng)化。
 
·開(kāi)源項(xiàng)目辦公室。
 
·遵守《2022年開(kāi)源軟件安全法案》規(guī)定的開(kāi)源安全。
 
ReversingLabs總結(jié)道:“過(guò)去三年的數(shù)據(jù)表明,2023年軟件供應(yīng)鏈?zhǔn)艿降墓魧⒃陬l率和嚴(yán)重程度上增加,再加上旨在解決供應(yīng)鏈風(fēng)險(xiǎn)的新法規(guī)和指南,將給開(kāi)發(fā)商和企業(yè)帶來(lái)新的壓力。
 
展望未來(lái),ReversingLabs的研究人員預(yù)計(jì)安全思維和投資都會(huì)發(fā)生變化,預(yù)計(jì)將加強(qiáng)對(duì)內(nèi)部代碼和共享代碼的審查,以尋找機(jī)密證據(jù),例如AWS和Azure等基于云的服務(wù)的訪問(wèn)憑證;SSH、SSL和PGP密鑰,以及各種其他訪問(wèn)令牌和API密鑰。”
 
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
 
國(guó)內(nèi)主流的to B IT門(mén)戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專(zhuān)家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)18個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)