2020年SolarWinds網絡攻擊的影響廣泛而深遠。突然之間,軟件供應鏈變成了網絡犯罪的溫床,可以進行有利可圖的網絡攻擊、網絡間諜活動,或者只是發表聲明。
為了應對這種尋找和利用軟件供應鏈弱點的新趨勢,安全團隊也提高了他們的安全防護水平,各國政府制定了《持久安全框架》下保護軟件供應鏈的具體指南,以及名為《2022年開源軟件安全法案》的新立法。
ReversingLabs在《2022~2023年軟件供應鏈安全狀況》報告中指出:“這些軟件供應鏈攻擊以普遍存在的實踐和行為為基礎。其中包括:嚴重依賴集中的、基于云的基礎設施;快速發展的DevOps實踐顯著地提高了軟件發布的節奏,部分原因是大量使用第三方商用現成模塊和開源模塊來加快開發;以及更加依賴集中的自動更新機制,以促進現代基于云的應用程序和服務的快速發布。”
ReversingLabs在過去12個月觀察到的主要軟件供應鏈安全趨勢
對植入惡意代碼的開源軟件的信任已被證明是企業安全的一個缺陷。例如,在過去四年中,對npm和PyPI存儲庫的攻擊激增了289%。
惡意軟件包已經成為開源存儲庫中的惡性存在,尤其是npm,在2022年1月至10月期間,npm被發現有多達7000個惡意包。這一數字比2020年高出100倍,比2021年高出40%。
npm和PyPI中的惡意包
npm存儲庫是網絡犯罪分子傳播惡意代碼和感染下游組織的選擇。ReversingLabs表示,這是因為npm存儲庫托管了310多萬個項目,PyPi上有40.7萬個項目,RubyGems上有17.3萬個項目。
具體而言,拼寫錯誤欺詐(即惡意行為者發布名稱與流行庫名稱相似的包的技術)已經增加。
Protestware軟件給軟件供應鏈帶來了另一個風險。Protestware軟件出現于2022年,其中合法應用程序的維護者決定將他們的軟件武器化,以服務于一些更大的事業(無論是個人還是政治)。
npm libraries colors.js和faker r.js(打印“LIBERTY”LIBERTY LIBERTY,后面有一系列亂碼非ASCII字符,而不是所需的輸出)和open-source library node.ipc是Protestware的一些例子。
與此同時,企業可能無意中將敏感信息留在存儲庫中。ReversingLabs安全分析師Charlie Jones指出:“直到最近,我們才看到惡意攻擊者將注意力轉向軟件供應鏈,因為他們開始意識到源代碼是一個無意中嵌入秘密的豐富來源,可以用于進一步的攻擊。”
一些企業對敏感信息的存在感到“尷尬”,例如源代碼、憑證、訪問令牌等,嵌入在由他們自己或第三方在開源平臺上維護的存儲庫中,包括美國退伍軍人事務部、豐田公司、CarbonTV等。
PyPi|托管項目泄漏憑據的數量
此外,企業被發現依賴于脆弱的軟件依賴項。然而,Log4Shell、Text4Shell、Spring4Shell、Python和OpenSSL等開源漏洞的增加表明威脅行為者一直在試圖尋找新的利用途徑。
好消息是,企業對當前的問題持謹慎態度。RversingLabs進行的一項調查表明:
·98%的受訪者表示,第三方軟件、開源軟件和軟件篡改對企業來說是風險。
·66%的受訪者表示,可利用的軟件漏洞構成風險。
·63%的受訪者表示,隱藏在開源存儲庫中的威脅和惡意軟件可能導致SolarWinds和Codecov這樣的網絡安全事件。
·51%的受訪者表示,無法檢測軟件篡改是一種安全風險。
·40%的受訪者還強調了持續集成(CI)/持續交付(CD)工具鏈中的漏洞是一個問題。
因此,安全團隊應采取以下措施應對供應鏈攻擊:
·引入了識別惡意軟件包的新功能。
·與掃描平臺的更多集成。
·IP范圍鎖定。
·供應鏈安全自動化。
·開源項目辦公室。
·遵守《2022年開源軟件安全法案》規定的開源安全。
ReversingLabs總結道:“過去三年的數據表明,2023年軟件供應鏈受到的攻擊將在頻率和嚴重程度上增加,再加上旨在解決供應鏈風險的新法規和指南,將給開發商和企業帶來新的壓力。
展望未來,ReversingLabs的研究人員預計安全思維和投資都會發生變化,預計將加強對內部代碼和共享代碼的審查,以尋找機密證據,例如AWS和Azure等基于云的服務的訪問憑證;SSH、SSL和PGP密鑰,以及各種其他訪問令牌和API密鑰。”
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號