软件组件让我们的生活更轻松。多亏了它们,公司和个人可以在模拟世界中执行数千种难以想象的操作,从使用解决方案推销公司的产品到使用应用程序控制个人帐户。不幸的是,软件组件已经成为公司的重要资产,并且是最容易受到恶意行为攻击的元素之一。供应 链攻击的增加及其对微软或IBM等公司的影响就证明了这一点。
2020年底,一起供应链攻击事件曝光,在全球范围内产生了影响:独唱。这次网络攻击影响了科技公司太阳风。这个名字对数字世界的外行人来说可能什么也说不出来。但是太阳风公司为全球的公司和公共管理部门提供企业软件。所以,除了微软之外,如前所述,我们还可以加上英特尔、橙子、控制美国核武库的机构(NNSA)、NASA和欧洲议会。
攻击者在该公司用于为其平台之一猎户座创建软件更新的服务器上引入了恶意软件。因此,每次使用Orion的公司更新其软件时,它都会允许特洛伊木马潜入其系统。因此,攻击者可以窃取全世界18 000多家公司的信息,特别是世界上一些最重要的公司和公共管理部门的信息。
因此,这一安全事件是一个完美的例子,说明了成功的供应链攻击可以是多么严重和深远,使组织及其客户的数据处于危险之中。
1.什么是供应链攻击?
首先,我们必须回答一个最明显的问题:什么是软件供应链攻击?
1.1.攻击库漏洞
当我们看到并使用一个解决方案时,我们知道它是其开发人员工作和才华的结果。
然而,如今,几乎所有软件都是从头开始编写的。也就是说,专业人士不必切碎支撑软件的代码,而是求助于库和存储库中已经开发的开源组件。因此,如果网络犯罪分子攻击其中一个组件,就可能影响所使用的所有软件。
INFO 1-在专有开发的供应链中,包括库或软件包的需求。如果未安装,系统将从其对应的软件存储库下载。任何系统,如Windows、Android或GNU/Linux……都有自己的库和软件库。一旦找到包和所需的版本,就将其安装在系统上,并且自开发执行包中包含的功能。
1.1.1. Log4Shell,一个范例
这正是过去十年中最重要的一个 供应链攻击 :Log4外壳 。Log4j组件广泛用于Java应用程序中的日常任务(如日志消息管理),其中检测到的漏洞使得网络攻击者能够 危及应用程序的安全性完全使用了这个组件。
它的使用是如此普遍,甚至美国宇航局的独创性直升机使用Log4j。但IBM Qradar SIEM或NetApp等应用程序也是如此。
INFO 2-在本例中,供应链在软件存储库本身中发生了变化。攻击者获得更改包和插入恶意代码的权限,这些恶意代码将安装在需要它来运行开发的软件的每个系统上。当恶意代码在系统上执行时,它将被攻击者破坏。
1.2.攻击软件以影响使用它的公司
类似地, 供应链攻击也可以包括破坏软件产品,如太阳风公司的情况,作为渗透使用该产品的公司的第一步。
这样一来,一家公司可能会发现自己受到了某个软件供应商的攻击。例如,考虑第三方身份提供者。
Solorigate和Log4Shell案例让我们看到了一个无法逃避的现实:数字化的后果之一是公司技术供应链的增长。而且,正如供应链是一种资产一样,它也有风险。例如,一家公司只有在其供应商之一是安全的情况下才能保护其系统和网络。
2. 谁参与了供应链攻击?
上述背景使我们得以一瞥供应链的巨大广度、攻击的可能性以及可能成为这种攻击目标的公司和机构。
开发软件的公司可以 遭受供应链攻击利用代码中的漏洞。反过来,如果这个软件被成功攻击,解决方案被推销给第三方,使用它的公司也会受到攻击。
事实上,供应链的运作方式就像蜘蛛网一样,将那些事先没有理由相关的公司相互连接起来。
例如,如果我们使用银行的应用程序来管理我们的储蓄和投资,我们倾向于认为银行开发了该应用程序,然而,一家独立的开发公司提供了一些用于支持它的工具。
此外,向云的飞跃和软件即服务(SaaS)的大规模商业化也使蜘蛛网变得更加不透明。开发商、企业、公共机构和公民必须非常认真地对待供应链网络防御。否则,经济、法律的和社会后果可能是毁灭性的。
3.有针对性和无针对性攻击:藤壶采捞
当我们谈论网络攻击时,我们必须考虑到设计、策划和执行这些攻击的犯罪分子的目标。网络攻击 ,我们必须考虑设计、计划和执行它们的犯罪分子的目标。或者,换句话说:他们的目标是谁。
据此,我们可以说是有针对性的和无针对性的攻击。例如,如果恶意行为者使用网络钓鱼来获取尽可能多的人的银行数据,则很明显,他的目标是钓鱼。因此,所有落入他网中的受害者都是有效的。
另一方面,如果他使用其他社会工程技术来实施所谓的首席执行官欺诈,我们正在应对一个有针对性的攻击。不是什么海的果实都行网络罪犯想要捕获特定的藤壶。
如果我们跳到供应链攻击领域,我们可以发现有针对性的攻击和先验的无针对性的攻击。但我们也可以检测到,两者之间的边界在这个蜘蛛网中变成了液体,也就是数字供应链。
一群网络罪犯可以找到一个有漏洞的开源组件,启动一个恶意软件,然后渗透到所有在代码中使用此元素的软件中。这是一次无目标的袭击吗?如果他们利用安全漏洞攻击几家特定的公司呢?会不会成为有针对性的袭击?
供应链攻击是供应链日益复杂的真实反映。
这是否意味着开发人员、软件承包公司和用户都陷入了蜘蛛的魔爪?一点也不。保护整个软件生命周期和第三方审计解决方案是抵御供应链攻击的增值网络安全服务。和第三方审计解决方案是增值网络安全服务,以打击供应链攻击。
4. 集成到软件生命周期中以保护它
我们使用的每个软件组件都有一个生命周期。从构思想法到软件完全运行,需要对其进行维护和更新,以保护其免受攻击并对其进行优化。
因此,保护软件的最佳方法是在软件生命周期的所有阶段提供持续的漏洞扫描和检测服务。
通常情况下,一旦软件被开发并投放市场,公司就会聘请审计人员来分析软件的安全级别。这有助于发现漏洞、评估风险和提出弥补缺陷的措施。但为时已晚。
此外,由于软件定期更新,因此在生成其新版本之前评估每个更新也是相关的。最后,正如Solorigate向我们展示的那样,解决方案更新可以成为攻击将其集成到系统中的公司的完美门户。
因此,最佳选择是将网络安全服务集成到软件生命周期中。这种服务可以从开发本身分析软件,检查用于源代码中漏洞和弱点的库。
Tarlogic Security 专业人员正在设计此服务,以帮助公司在软件的整个生命周期中保护其软件。将尖端技术工具与Tarlogic专业人员多年积累的深厚网络安全知识相结合。
以下是此服务集成到软件生命周期中并对其进行保护的关键要素。
4.1.自动搜索漏洞
当集成到软件生命周期中时,拥有一个可以集成到代码存储库和持续软件集成(CI/CD)过程中的解决方案是非常有用的。此工具旨在发现在新版本应用程序发布之前的开发阶段影响软件的漏洞,以及可能被网络罪犯利用的漏洞。
这样,就可以在软件的生命周期中分析应用程序对库的依赖关系。
此外,可以自动搜索组件或软件的各种版本中的漏洞,将它们显示在控制面板上,并帮助确保它们不会出现在要投放市场的最终产品中。
总而言之,该服务旨在分析应用程序的依赖关系,并防止发布可能在软件以及使用它的公司和用户中产生安全漏洞的更新。
4.2. SBOM,软件元素的映射
顾名思义,软件物料清单(Software Bill of Materials,SBOM)是用于开发软件组件的元素的清单。
此清单包括使用的库、版本和漏洞。
正如我们前面指出的,软件供应链正变得越来越不透明。拥有SBOM提供了有关用于开发软件的第三方组件的透明度。
这对于开发公司分析所有组件的漏洞和获取解决方案的公司(可以评估其安全性)来说是非常有意义的。
从这个意义上说,SBOM已经成为一种非常有价值的资源,用于维护对软件供应链的详尽和精确的控制,帮助在其整个生命周期中保护它并减少漏洞。
因此,集成到整个软件生命周期中并自动搜索漏洞的解决方案还必须具有自动化的SBOM。测试所用软件和第三方元素的所有代码。
4.3. SCA和SAST.分析库和源代码
SBOM帮助我们准确地知道软件中使用了哪些第三方元素。但是我们如何分析漏洞的解决方案呢?
这里有两种类型的分析起作用:
•软件组成分析(SCA)
•软件应用程序安全测试(SAST)
SAST是一种分析类型,在 软体开发,即,因为这些安全测试分析软件源代码以检测新的漏洞。因此,我们可以为安全发展创造一个具有巨大附加值的雏形。
SCA用于 识别软件中使用的开源组件,并检测可能影响其安全性的漏洞。正如SAST尚处于萌芽阶段一样,SCA被实现来分析已经开发的集成到我们代码中的第三方软件中的已知漏洞。
SCA只会给出误报,因为它可以处理现有的漏洞。这意味着它更容易实现,因为生成的安全警报大多是准确的。
这两种类型的测试中哪一种更适合保护软件?在最佳方案中,最佳解决方案是同时实现这两种工具。因为SCA允许 控制软件库和存储库,所以SAST控制源代码。通过这种方式,它们的结合使用加强了软件在其整个生命周期中的安全性。
4.4.综合咨询服务
A类 网络安全服务 集成在软件的整个生命周期中,以 自动检测漏洞在应用程序的源代码和控制中,应用程序所使用的库和储存库也需要全面的建议。
在这方面,Tarlogic团队计划使用最适合每个案例的工具,并提供持续的建议。例如,自动搜索漏洞的解决方案可能会产生误报。
例如,在一大段代码中可能检测到200个漏洞,但只有50个是需要解决的真实的弱点。如果你在这一领域拥有经验丰富的专业人士的经验和专业知识,你就不会因为试图解决不存在或不相关的问题而对资源管理不善。
当谈到保护软件供应链和防止供应链攻击时,需要更多的能力来检测弱点,并解决它们。例如,通过实现开源元素的新版本。或者发布修补程序来修复与源代码相关的问题。
在这方面,听取网络安全专业人员的意见也至关重要,他们可以提出一系列建议来缓解问题。
5.审计软件供应商
到目前为止,我们已经讨论了在软件的整个生命周期中加强软件安全性和防止供应链攻击。但这种类型的攻击超出了这个问题。需要更多地关注分析和保护自行开发的软件。我们还必须考虑与第三方软件相关的安全风险。
公司不仅使用自己开发的应用程序,而且还从供应商那里租用工具,甚至利用针对特定任务的第三方组件的集成。
以Bizum为例,该公司向银行提供支付服务软件,银行则将该工具集成到其移动的应用程序中。
这一切的后果是什么?
使用该软件的公司必须认识到其供应商的安全控制。
这就是为什么供应商安全审计是一项蓬勃发展的增值网络安全服务,因为它是控制供应链和防止供应链攻击造成经济、法律的和声誉后果的一个非常有用的工具。
因此,许多公司与Tarlogic等网络安全公司签订合同,以审计其第三方解决方案。这需要待审核软件的开发人员的授权。
6.云和SaaS时代的供应链控制
公司的数字化转型带来了雪崩般的好处,无论是在商业上,开辟了新的业务渠道,还是在管理和内部流程方面。然而,这也会带来风险。
一家公司的数字化程度越高,其网络暴露给犯罪分子的风险就越大。
如果有人告诉著名的超级英雄蜘蛛侠“权力越大,责任越大”,我们会说,数字化的所有好处也意味着必须认真对待网络安全。为此,光投资于保护自己的资产和系统是不够的;监测供应商的安全也很重要。
6.1.向云的飞跃使供应链变得复杂
在现阶段更是如此,因为企业不仅实现了结构数字化,而且已经走得更远:他们已经跨越了云端。
云技术正日益普及。软件即服务(SaaS)或平台即服务(PaaS)的激增就是明证。
这些技术的优点是众所周知的。然而,它们使公司的技术供应链更加复杂。
因此,企业必须采取措施保护自己免受供应链攻击。
云的整合清楚地表明了网络安全的一个不可避免的趋势:供应链攻击将会增加。无论是在数量上还是在复杂程度上。如果一个软件集成了另一个软件,那个集成了另一个软件,那个集成了另一个软件,那个集成了另一个软件……攻击供应链尾部的一个薄弱环节,可能会在头部造成非常严重的安全事件。
简而言之,供应链攻击已经成为成千上万家公司的威胁,有时甚至没有意识到风险。这就是为什么所有的公司都应该认真对待这些危险,并聘请服务来保护他们内部开发的软件和审计他们使用的第三方解决方案。
翻译自网络
原文始发于微信公众号(闲聊知识铺):供应链攻击:当坏人从背后袭击