<kbd id="afajh"><form id="afajh"></form></kbd>
<strong id="afajh"><dl id="afajh"></dl></strong>
    2. 

    <del id="afajh"><form id="afajh"></form></del>
    

    5. 

        1. <th id="afajh"><progress id="afajh"></progress></th>

          <b id="afajh"><abbr id="afajh"></abbr></b>
          <th id="afajh"><progress id="afajh"></progress></th>
          2021年,軟件供應(yīng)鏈攻擊躍升超過300%
          共
                1440字,需瀏覽
                    3分鐘
                
           ·
          2022-01-24 10:09
          根據(jù)Argon Security的一項研究,與2020年相比,2021年的軟件供應(yīng)鏈攻擊增長了300% 以上。
          


          根據(jù)這項研究,研究人員發(fā)現(xiàn)攻擊者主要關(guān)注開源漏洞和中毒、代碼完整性問題,以及利用軟件供應(yīng)鏈流程和供應(yīng)商信任分發(fā)惡意軟件或后門。他們發(fā)現(xiàn),跨軟件開發(fā)環(huán)境的安全級別仍然很低,而且值得注意的是,每一家被評估的公司都有漏洞和配置錯誤,這些都可能使他們暴露在供應(yīng)鏈攻擊之下。
          


          調(diào)查結(jié)果基于Argon研究人員對客戶安全評估進(jìn)行的為期六個月的分析,以確定企業(yè)安全狀態(tài)和防御軟件供應(yīng)鏈攻擊的準(zhǔn)備情況。
          


          Argon公司客戶成功與銷售高級總監(jiān)Eran Orzel表示:“過去一年的攻擊數(shù)量和單一攻擊的廣泛影響凸顯了應(yīng)用程序安全團(tuán)隊面臨的巨大挑戰(zhàn)。不幸的是,大多數(shù)團(tuán)隊都缺乏應(yīng)對供應(yīng)鏈攻擊的資源、預(yù)算和知識。此外,要解決這種攻擊向量,AppSec團(tuán)隊需要開發(fā)團(tuán)隊和DevOps團(tuán)隊的合作?!?/p>


          三個主要的風(fēng)險領(lǐng)域
          


          1. 漏洞包的使用:
          


          開源代碼幾乎是商業(yè)軟件的一部分。許多正在使用的開源軟件包都存在漏洞,升級到更安全版本的過程需要開發(fā)團(tuán)隊和DevOps團(tuán)隊的努力。這是實施供應(yīng)鏈攻擊增長最快的方法之一。
          


          有兩種常見的攻擊利用存在安全問題的軟件包:
          


          利用現(xiàn)有漏洞——利用包的現(xiàn)有漏洞來獲取對應(yīng)用程序的訪問權(quán)限并執(zhí)行攻擊。(例如:最近的Log4j網(wǎng)絡(luò)攻擊)
          


          包中毒——在流行的開源包和私有包中植入惡意代碼,以誘騙開發(fā)人員或自動化管道工具將它們合并為應(yīng)用程序構(gòu)建過程的一部分。(示例:us-parser-js包中毒)
          


          2. 受損的管道工具:
          


          攻擊者可以利用CI/CD管道基礎(chǔ)設(shè)施(例如源代碼管理系統(tǒng)、構(gòu)建代理、包注冊表和服務(wù)依賴項)中的特權(quán)訪問、錯誤配置和漏洞,從而提供對關(guān)鍵IT基礎(chǔ)設(shè)施、開發(fā)過程、源代碼和應(yīng)用程序的訪問。
          


          受損的CI/CD管道可能會暴露應(yīng)用程序的源代碼,即應(yīng)用程序、開發(fā)基礎(chǔ)設(shè)施和流程的藍(lán)圖。它使攻擊者能夠在構(gòu)建過程中更改代碼或注入惡意代碼并篡改應(yīng)用程序(例如SolarWinds)。
          


          這種類型的漏洞很難識別,在被發(fā)現(xiàn)和解決之前可能會造成很大的損害。攻擊者還使用被破壞的包注冊中心來上傳被破壞的構(gòu)件,而不是合法的構(gòu)件。此外,還有許多外部依賴關(guān)系連接到管道上,可以用來訪問管道并發(fā)起攻擊(例如Codecov)。
          


          3. 代碼/組件完整性:
          


          Argon研究中確定的主要風(fēng)險領(lǐng)域之一是將不良代碼上傳到源代碼存儲庫,這直接影響組件質(zhì)量和安全狀況。在大多數(shù)客戶環(huán)境中發(fā)現(xiàn)的常見問題是代碼中的敏感數(shù)據(jù)(秘密)、代碼質(zhì)量和安全問題、基礎(chǔ)設(shè)施即代碼問題、容器映像漏洞和錯誤配置。在許多情況下,發(fā)現(xiàn)的問題數(shù)量眾多,需要專門的清理項目來減少暴露,例如秘密清理、標(biāo)準(zhǔn)化容器映像等。
          


          “軟件供應(yīng)鏈流程是現(xiàn)代應(yīng)用程序開發(fā)生命周期的核心組成部分。讓這種廣泛的攻擊向量處于開放狀態(tài),可能會嚴(yán)重降低公司的應(yīng)用程序安全狀況,甚至可能會暴露敏感數(shù)據(jù)并在運(yùn)行時為應(yīng)用程序創(chuàng)建額外的入口點,”O(jiān)rzel稱。
          


          保護(hù)軟件供應(yīng)鏈
          


          為了解決這個問題,安全團(tuán)隊需要加強(qiáng)與DevOps團(tuán)隊的協(xié)作,并在開發(fā)過程中實現(xiàn)安全檢測自動化,如靜態(tài)代碼檢測等。組織應(yīng)采用新的安全解決方案,來保護(hù)軟件開發(fā)過程免受這一波新的復(fù)雜攻擊。
          



          


          文章來源:
          


          https://www.helpnetsecurity.com/2022/01/20/software-supply-chain-attacks-2021/
          瀏覽
                    26
          點贊
    
          評論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報
    
          評論
          圖片
          表情
          推薦
        
          點贊
    
          評論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報
    
          

          <kbd id="afajh"><form id="afajh"></form></kbd>
          <strong id="afajh"><dl id="afajh"></dl></strong>
            2. 

            <del id="afajh"><form id="afajh"></form></del>
            

            5. 

                1. <th id="afajh"><progress id="afajh"></progress></th>

                  <b id="afajh"><abbr id="afajh"></abbr></b>
                  <th id="afajh"><progress id="afajh"></progress></th>
                  

日本特黄 AA片免费视频
|
国产亚卅欧美快速
|
丝袜操逼网
|
亚洲精品娱乐
|
欧美女人操逼视频
|