評估軟件供應鏈安全可關注這5個關鍵問題

知道向潛在供應商詢問什么可以最大限度地降低與第三方軟件漏洞和違規(guī)相關的風險。

去年12月SolarWinds和今年7月的Kaseya供應鏈攻擊事件，表明軟件供應鏈攻擊已成為日益嚴重的威脅。事實上，網(wǎng)絡罪犯似乎已經(jīng)掌握了“一次入侵，多次感染”的攻擊模式，并正在加大對軟件公司的攻擊力度。

這一趨勢引起了廣泛關注，以至于美國總統(tǒng)喬·拜登(Joe Biden)在5月份簽署的一項網(wǎng)絡安全行政命令中，將軟件供應鏈安全列為重中之重。該命令要求所有聯(lián)邦文職機構采取措施，評估和核實其供應商的安全措施。它還要求制定新的指導方針，最終要求軟件開發(fā)人員維護安全的開發(fā)環(huán)境，對訪問其網(wǎng)絡實施強有力的控制，使用加密，為每個產(chǎn)品提供軟件材料清單，以及一系列其他措施。

此外，美國國土安全部的美國網(wǎng)絡安全和基礎設施安全局(CISA)和美國國家標準與技術研究所(NIST)開發(fā)了一種新的資源，旨在向聯(lián)邦機構提供軟件供應鏈風險的概述和防范措施。

那么，在評估軟件供應鏈和供應商的安全性時，組織需要考慮什么呢?根據(jù)安全專家的說法，以下是五個值得一問的問題。

是否進行了軟件檢測?

此處軟件測試涉及滲透測試及靜態(tài)代碼安全檢測。

滲透測試可以繞過應用程序的業(yè)務邏輯和安全控制(如身份驗證和授權)，從而提供有價值的結果。

盡管軟件供應商可能會因為涉及知識產(chǎn)權問題，不會提供源代碼供審查，但企業(yè)可以通過第三方代碼安全檢測認證以確保內部代碼的安全性，多數(shù)情況下，靜態(tài)代碼檢測技術可以盡可能多地分析代碼路徑、發(fā)現(xiàn)安全漏洞。從而充分了解軟件的預期行為，監(jiān)控意外行為。

在軟件中探索盡可能多的代碼路徑，遵循控制流，理解軟件行為是發(fā)現(xiàn)軟件中潛在的隱藏安全問題的關鍵。

供應商如何評估其軟件的安全性?

Fattah說，在他們的環(huán)境中購買和安裝供應商軟件的公司需要了解供應商的軟件安全協(xié)議。例如，供應商是否有檢查軟件更新的完整性過程?軟件多久更新一次?它是否在默認情況下以最小特權模式運行?

他表示:“許多軟件(產(chǎn)品)需要在特權模式下(運行)，這意味著軟件可以完全控制它所運行的系統(tǒng)。”需要高權限的產(chǎn)品包括安全工具和網(wǎng)絡管理工具，如SolarWinds的Orion平臺。

此外，了解軟件的材料清單——或者是軟件的組成部分，包括開源組件——是知道要監(jiān)視哪些漏洞的關鍵。

根據(jù)安全解決方案高級經(jīng)理的說法，全面了解供應商的安全實踐“是審查過程中最重要的部分之一。您需要了解他們有哪些控制措施，他們如何監(jiān)控對你數(shù)據(jù)的訪問，以及在他們這一方發(fā)生安全事件時，他們如何保護你的數(shù)據(jù)?！?/p>

供應商如何檢查其軟件產(chǎn)品中的漏洞?

驗證軟件供應商采取了哪些措施來檢查其產(chǎn)品是否存在已知漏洞。一個重要的問題是，它使用什么商業(yè)或開源應用程序測試工具或服務來確保其軟件沒有已知的安全缺陷和惡意功能。安全檢測工具是否具有權威性?

一個附帶的問題是，他們是否對軟件開發(fā)過程進行了基準測試/成熟度級別評估，同時對開源代碼及框架等及時進行安全漏洞檢測。

網(wǎng)絡的使用應該盡可能分段，并且所有管理員帳戶都應該需要兩因素身份驗證，同時還需要持續(xù)監(jiān)控進出該軟件的日志和網(wǎng)絡流量。

供應商如何保護其網(wǎng)絡和設備?

攻擊者喜歡攻擊軟件供應鏈，因為通過損害一個供應商，他們有機會損害其他許多公司。因此，了解供應商如何管理和保護對其數(shù)字資產(chǎn)的訪問是很重要的。

安全專家表示，組織應該考慮使用第三方網(wǎng)絡安全評級公司的服務來了解供應商的安全狀況。此類公司根據(jù)從Internet外部收集的有關公司的數(shù)據(jù)為組織計算安全評級(類似于信用評分)。這可能包括與受感染系統(tǒng)之間的通信、文件共享、暴力攻擊的跡象以及物聯(lián)網(wǎng) (IoT) 流量。

這些數(shù)據(jù)通?？梢酝ㄟ^開放端口、軟件和網(wǎng)絡漏洞、外部可見的配置錯誤以及一系列其他安全問題揭示組織的脆弱性。它還突出了一些問題，如web應用程序防火墻的缺失，未打補丁的系統(tǒng)，以及使用過時的SSL協(xié)議。

ThycoticCentrify首席安全科學家表示，安全團隊還需要了解供應商如何保護和驗證對關鍵數(shù)據(jù)和系統(tǒng)的特權訪問。

他們如何維護活動的審計日志，他們如何加密敏感數(shù)據(jù)，以及如果他們受到威脅，您的組織會面臨什么風險?

SaaS供應商是否符合組織的風險偏好?

在與軟件即服務 (SaaS) 供應商打交道時，企業(yè)在將其軟件本地化部署之前詢問軟件供應商的所有問題是必要的。但同時還需要了解更多。

Panorays的首席技術官兼聯(lián)合創(chuàng)始人表示，有必要查明客戶數(shù)據(jù)是否離開了供應商的生產(chǎn)系統(tǒng)。供應商是否支持用于內部系統(tǒng)或客戶訪問的單點登錄，它是否符合公司很重要的法規(guī)。

還要驗證SaaS供應商是否有流程確保員工僅在需要了解的基礎上訪問客戶數(shù)據(jù)。了解它如何保護內部Wi-F網(wǎng)絡，以及如何加固關鍵服務器以防止攻擊。

供應商是否有適當?shù)目刂拼胧?，以防止未?jīng)授權訪問其應用程序、程序或目標源代碼?供應商是否加密存儲在云中的數(shù)據(jù)?

參讀鏈接：

https://www.woocoom.com/b021.html?id=6a8e9b369b0845c29ae52a83a869e263

https://www.darkreading.com/edge-articles/5-key-questions-when-evaluating-software-supply-chain-security