SolarWinds供應鏈攻擊事件并不是孤例。事實上,軟件供應鏈中的弱點在最近發生的Log4j漏洞事件中非常明顯。Log4j是一個廣泛使用的開源Java日志框架,該漏洞使數以萬計的應用程序(從數據存儲服務到在線視頻游戲)面臨風險。
由于在生產中運行了大量輕量級維護代碼,因此軟件供應鏈對于Log4j等安全漏洞利用的時機已經成熟。這是開源中的一個熱門話題,因為很多人使用輕量級維護的軟件庫,將它們投入生產,然后再也不打補丁。
這就是為什么說2022年將成為軟件供應鏈安全元年的原因。
以下是行業專家的預測,企業將在2022年努力加強軟件供應鏈安全,并應該進行的三種實踐。
(1)深入探索容器鏡像distroless
在2022年,企業應該考慮標準化,并精心修改他們的容器鏡像,其中包括發行版。事實上,有些人甚至會說企業應該“不受干擾”。
在distroless模型中,應用程序仍然打包在容器鏡像中,但只保留了操作系統的最小痕跡。這個想法是通過盡可能多地剝離操作系統(例如刪除包管理器、庫和外殼)而減小網絡攻擊面。
但是,重要的是要了解,就像無服務器計算中采用了服務器一樣,無發行版中有發行版(發行版較少)。這可能就是distroless模型的真正價值,即提供一個框架來仔細挑選需要的和不需要的資源,而不是不加選擇地專注于減小單個容器映像的大小。
(2)檢查容器鏡像和注冊表
軟件從未像現在這樣復雜,如果企業不了解正在部署的所有內容,就會遇到問題。隨著容器使用的增加,企業需要考慮他們如何使用和部署容器鏡像。換句話說,需要從受信任的地方下載受信任的東西。
企業可以抓住機會,以更快的速度生產產品。或者非常小心謹慎,保證不會成為下一個SolarWinds網絡攻擊事件的受害者。
事實上,一些企業在從容器注冊表中提取軟件時有一個受到控制的安全環境。企業可以讓開發人員從他們想要的任何地方撤出。
這有點像讓每個承包商管理自己的供應鏈合同,但如果事先考慮到惡意攻擊,那就太可怕了。當涉及到容器供應鏈時,很容易進入被黑客入侵的鏡像。因此,企業需要從受信任的供應商處獲取容器映像,或確保了解(并且可以從頭開始重建)供應鏈中的每個容器映像。
(3)評估SLSA
預測企業將開始探索并實施軟件的供應鏈級別(SLSA),SLSA 是一個保護軟件供應鏈完整性的框架。
SLSA基于谷歌公司的Borg內部二進制授權(BAB)平臺,這是一種內部部署的強制檢查,旨在確保生產軟件和配置得到適當的審查和授權。谷歌公司指出,采用BAB有助于降低內部風險、防止網絡攻擊,并支持生產系統的一致性。
谷歌公司聲稱,SLSA的目標是通過防范網絡威脅來改善行業安全狀況,尤其是在開源環境中。SLSA還讓消費者安心地了解他們使用的軟件的安全狀況。
加州大學伯克利分校國際計算機科學研究所的安全研究員Nick Weaver說:“供應鏈攻擊很可怕,因為它們真的很難處理,而它們明確表示企業可以信任整個生態系統,信任所有代碼在其機器的供應商,信任每個供應商的供應商。”
谷歌公司發布了一個SLSA概念證明,允許用戶在構建組件的同時創建和上傳出處,從而達到SLSA級別1。在此建議任何軟件開發商都要查看這個概念證明。
永遠不要打破軟件供應鏈
企業在過去幾年中經歷了很多事件,軟件供應鏈攻擊激增也加大了挑戰,因為企業應對新冠疫情,從而忽略了供應鏈安全。當企業計劃如何度過疫情時,保護軟件供應鏈應該是首要任務。
如果不能保證軟件供應鏈的安全,企業和他們的客戶一直處在小心翼翼的狀態。當然,保障供應鏈安全的理念是,其安全取決于最薄弱的環節,這意味著沒有任何一家企業可以靠自己來保護軟件供應鏈。
在2022年,考慮可以添加到現有最佳實踐中的策略和技術非常重要。這種連續分層將幫助企業在對抗軟件供應鏈攻擊時保持最新狀態。
人們一直在提防著下一個“黑天鵝”事件——看不見的威脅。對于這種情況,實際上只有一個全面防御措施:密切關注供應鏈!
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號