如何防范軟件供應(yīng)鏈攻擊

根據(jù)研究，軟件供應(yīng)鏈攻擊從2020年到2021年增長(zhǎng)了300%以上。攻擊者變得更加大膽，因?yàn)獒槍?duì)SolarWinds和Kaseya等主要供應(yīng)商的成功攻擊影響了它們下游的數(shù)千名客戶。

為什么以供應(yīng)鏈為目標(biāo)?

組織依賴第三方提供的軟件和服務(wù)來幫助運(yùn)營(yíng)其業(yè)務(wù)的多個(gè)方面。對(duì)這些組織和軟件解決方案的信任可能會(huì)導(dǎo)致大規(guī)模的數(shù)據(jù)安全漏洞。如果這些供應(yīng)商遭遇網(wǎng)絡(luò)攻擊，他們服務(wù)的所有組織隨后都面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

供應(yīng)鏈攻擊利用供應(yīng)商和客戶之間的信任關(guān)系，為攻擊者提供更高的權(quán)限和對(duì)內(nèi)部資源的訪問權(quán)限，有時(shí)甚至允許他們?cè)L問管理員憑據(jù)。通過這種級(jí)別的訪問權(quán)限，攻擊者可以在整個(gè)組織中進(jìn)行尋找敏感數(shù)據(jù)或執(zhí)行未經(jīng)授權(quán)的操作。

通過供應(yīng)鏈進(jìn)入不同系統(tǒng)的攻擊者可能不僅僅專注于竊取數(shù)據(jù)。有時(shí)，他們可能正在采取措施進(jìn)行重復(fù)攻擊。在整個(gè)組織中嵌入rootkit和后門可以創(chuàng)建持久訪問，為將來的一段時(shí)間提供訪問路徑。

組織為何易受到軟件供應(yīng)鏈攻擊?

組織安全防御不足也會(huì)增加攻擊風(fēng)險(xiǎn)，包括：

過度信任：攻擊者通過受信任的系統(tǒng)進(jìn)入，接收沒有經(jīng)過徹底審查的補(bǔ)丁和更新。

測(cè)試不足：與授予過度信任類似，隨著大量補(bǔ)丁和更新的出現(xiàn)，許多組織缺少時(shí)間和資源來定期評(píng)估所有內(nèi)容，或者沒有將第三方資產(chǎn)納入測(cè)試范圍內(nèi)。

缺乏代碼評(píng)估：對(duì)于開發(fā)代碼的組織來說，掃描和分析外部庫(kù)中的變動(dòng)，可以避免將惡意代碼包含到構(gòu)建的軟件當(dāng)中。

無入侵檢測(cè)：即使遵循最佳實(shí)踐，攻擊者也可能溜進(jìn)去。如果沒有入侵檢測(cè)，他們可以在不被阻止的情況下操作和進(jìn)行更深入的攻擊。

如何防止供應(yīng)攻擊

雖然沒有單一的工具或流程可以完全防止軟件供應(yīng)鏈攻擊，但采用多種防御方法將大大降低風(fēng)險(xiǎn)。

減少系統(tǒng)之間的信任

減少內(nèi)部系統(tǒng)之間的信任數(shù)量對(duì)于降低攻擊者利用供應(yīng)鏈攻擊深入組織的能力至關(guān)重要。

端點(diǎn)上的訪問級(jí)別應(yīng)該使用最小權(quán)限原則來定義，這樣用戶僅具有完成其工作所需的訪問權(quán)限。同時(shí)即便是攻擊者竊取憑據(jù)，也會(huì)限制其訪問其他系統(tǒng)和資源的能力，從而降低影響。

識(shí)別漏洞

組織還可以通過測(cè)試其IT環(huán)境和安全流程來降低風(fēng)險(xiǎn)。漏洞管理解決方案可以通過識(shí)別可能成為攻擊載體的安全缺陷，來防止企業(yè)遭到軟件供應(yīng)鏈攻擊。

檢測(cè)代碼中的漏洞和缺陷可以在軟件開發(fā)期間提高應(yīng)用軟件的安全性，如靜態(tài)應(yīng)用程序安全測(cè)試，動(dòng)態(tài)應(yīng)用安全測(cè)試等。開源組件分析用來查找企業(yè)引用的第三方開源組件安全性。滲透測(cè)試可以評(píng)估組織是否給與過多的信任，以及對(duì)網(wǎng)絡(luò)攻擊的警惕程度。