軟件供應鏈安全如何受到黑客的威脅

當我們談?wù)撥浖湽魰r，實際上是兩次連續(xù)的攻擊：一種是針對供應商，另一種針對供應鏈中的一個或多個下游用戶。

什么是供應鏈?

現(xiàn)如今，無論是開源庫、開發(fā)人員工具、內(nèi)部部署或基于云的部署和交付系統(tǒng)，還是軟件即服務(wù)(SaaS)服務(wù)，這些構(gòu)建塊在現(xiàn)代軟件開發(fā)中都已變得必不可少。

每一塊“積木”本身都是漫長供應鏈的產(chǎn)物，這使得軟件供應鏈成為一個包含IT的方方面面的概念:從硬件，到開發(fā)人員編寫的源代碼，到第三方工具和平臺，還包括數(shù)據(jù)存儲和所有用于開發(fā)、測試和分發(fā)軟件的基礎(chǔ)設(shè)施。

供應鏈是一個分層結(jié)構(gòu)，允許公司實現(xiàn)高度靈活的軟件開發(fā)，這是數(shù)字化轉(zhuǎn)型的引擎。

開源組件和庫的大規(guī)模重用極大地加快了開發(fā)周期，并能夠根據(jù)客戶的期望交付功能。但與這一令人印象深刻的進步相對應的，是對進入公司產(chǎn)品的代碼來源的控制缺失。這一依賴鏈將組織及其客戶暴露在由其直接控制之外的變更引入的漏洞中。

這顯然是一個主要的網(wǎng)絡(luò)安全問題，而且隨著供應鏈年復一年變得越來越復雜，這個問題只會越來越嚴重。因此，最近大規(guī)模的網(wǎng)絡(luò)攻擊得以利用這一點也就不足為奇了。

薄弱環(huán)節(jié)的風險

對黑客來說，軟件供應鏈是一個有意思的針對目標。首先，由于其復雜的特性，其攻擊面非常大;其次，由于應用程序安全性歷來側(cè)重于保護應用程序，而內(nèi)部構(gòu)建服務(wù)器和CI/CD管道缺少一定的安全可見性;最后，通過利用供應鏈，黑客找到了最大化攻擊影響的方法，從而最大限度地提高了攻擊的收益。

供應鏈攻擊的興起

2020 年 3 月至 6 月期間的 SolarWinds 攻擊中，大約 18，000 名 Orion 平臺客戶(包括一些美國政府機構(gòu))下載了注入惡意代碼的更新。該代碼允許黑客未經(jīng)授權(quán)后門訪問近 100 個實體的系統(tǒng)和專用網(wǎng)絡(luò)。SolarWinds 直到 2020 年 12 月才發(fā)現(xiàn)該漏洞。2021 年 1 月，由于構(gòu)建過程中出現(xiàn)錯誤，攻擊者獲得了用于創(chuàng)建涉及 Codecov 軟件的 Docker 映像的憑據(jù)。這些憑據(jù)允許攻擊者劫持Codecov，一種用于測試開發(fā)人員代碼覆蓋率的軟件，并將其變成真正的特洛伊木馬：由于該軟件用于持續(xù)集成(CI)環(huán)境，因此它可以訪問構(gòu)建過程的秘密憑據(jù)。因此，攻擊者能夠從Codecov用戶那里竊取數(shù)百個憑據(jù)，從而允許他訪問盡可能多的安全系統(tǒng)。

2021 年 7 月 2 日，一個復雜的勒索軟件組織利用了 Kaseya 虛擬系統(tǒng)管理員 (VSA) 服務(wù)器中的一個漏洞，影響了大約 1500 家小型企業(yè)。Kaseya 是托管服務(wù)提供商 (MSP) 和其他 IT 承包商使用的網(wǎng)絡(luò)、系統(tǒng)和基礎(chǔ)設(shè)施管理軟件的開發(fā)商。盡管勒索軟件攻擊控制了客戶的系統(tǒng)，但幾天后攻擊就被遏制并被擊敗。

2021年12月，對軟件供應鏈最簡單但最廣泛的攻擊發(fā)生了。在最初的概念驗證(POC)被披露后，攻擊者開始大規(guī)模利用影響Apache Log4j的漏洞，這是Java生態(tài)系統(tǒng)中非常流行的開源日志庫。

盡管存在嚴重性，但這種漏洞遠非孤立的案例：2020 年至 2021 年間，使用開源生態(tài)系統(tǒng)作為傳播媒介到達供應鏈的攻擊數(shù)量增加了 650%。歐洲網(wǎng)絡(luò)安全局(ENISA)預測，到2022年，供應鏈攻擊將增加四倍。

所有這些攻擊和漏洞都凸顯了缺乏有效保護供應鏈的可見性和工具，無論是用于清點使用開源組件的系統(tǒng)、驗證其完整性的系統(tǒng)，還是防止敏感信息泄漏的系統(tǒng)。

供應鏈的關(guān)鍵：秘密

獲得未加密的憑據(jù)是黑客從供應商向客戶的供應鏈轉(zhuǎn)移的“鑰匙”:有了有效的憑據(jù)，攻擊者以授權(quán)用戶的身份操作，入侵后檢測變得更加困難。

從防御的角度來看，硬編碼機密是一種獨特的漏洞類型。源代碼是一種非常容易泄露的資產(chǎn)，因為它本質(zhì)上是為了頻繁地克隆和分布在多臺機器上。事實上，源代碼中的秘密與它一起傳播。但更成問題的是，代碼也有“記憶”。

今天，任何代碼存儲庫都是通過版本控制系統(tǒng)(VCS)管理的，通常是Git，它保留了對代碼庫中文件所做的所有更改的時間表，有時是幾十年。問題在于，仍然有效的機密可以隱藏在該時間線上的任何位置。然而，大多數(shù)安全掃描僅限于檢查應用程序源代碼的當前、已部署或即將部署的狀態(tài)。換句話說，當涉及到隱藏在舊提交甚至從未部署的分支中的秘密時，傳統(tǒng)工具存在困難。

將安全性納入開發(fā)周期：DevSecOps

軟件供應鏈有許多傳統(tǒng)安全方法無法解決的灰色地帶。組織已經(jīng)意識到需要將安全性引入到開發(fā)生命周期中。DevSecOps將安全性插入到DevOps實踐中。

DevOps將流程和技術(shù)結(jié)合在一起，使開發(fā)人員能夠更有效地與運營團隊合作。對于安全經(jīng)理來說，挑戰(zhàn)在于保持DevOps的速度，同時加強改進的安全態(tài)勢：包括開發(fā)周期最早階段(規(guī)劃、設(shè)計)的安全規(guī)則，傳播最佳實踐，并通過更早地捕獲更多“良性”缺陷來縮短平均修復時間(MTTR)。

依靠現(xiàn)代工具是一種途徑。開發(fā)人員采用與他們的工作環(huán)境完美集成的直觀工具:命令行、API、IDE(集成開發(fā)環(huán)境)等。

自動化測試工具也是創(chuàng)建有效安全系統(tǒng)的關(guān)鍵。在開發(fā)周期中使用靜態(tài)應用安全測試、動態(tài)應用安全測試等工具，可以有效保障應用程序的安全性。

共擔責任和左移

新的安全模型意味著在項目涉及的所有成員之間分擔責任，安全問題不再只是安全團隊的工作。

“左移”提出在更早時期開始關(guān)注安全，以便更早地進行安全操作并節(jié)省檢測和修復費用。在過去，人們更關(guān)注對于完成的應用程序安全性的檢測，現(xiàn)如今，組織更多的是在整個周期中完成安全測試，并及時進行安全修復。

來源：

https://thehackernews.com/2022/10/how-software-supply-chain-security-is.html