HackerOne 谈如何保护软件供应链安全
作者:Kayla Underkoffler
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
HackerOne 平台的高级安全技术专家认为,保护软件供应链安全并非易事且必须和攻击者赛跑。如下是文章编译。
这个数字化世界变得越来越复杂,也越来越互联,这一点在软件供应链领域尤为明显。我们能够在其它软件组件基础上进行构建意味着创新更快、产品更好、可以为所有人服务。但对第三方软件和开源的依赖增加了我们必须防御的数字化基础设施的复杂性。
近期,HackerOne 平台向网络安全专业人员开展的调查显示,三分之一的受访人员监控不到75%的攻击面,近20%的受访人员认为超过一般的攻击面是未知的或不可观测到的。Log4Shell、Kaseya 和 SolarWinds 事件说明上述数据所带来的广泛影响。
网络犯罪分子已经清楚供应链极易遭利用。
去年,威胁组织利用虚拟系统管理员 (VSA) 提供商 Kaseya 中的漏洞,将 REvil 勒索软件注入VSA代码中。Kaseya 为数千家管理服务提供商 (MSPs) 和企业提供支持,事件攻陷了数千家组织机构中的一个关键网络。最后,这些组织机构的内部系统也遭攻陷。
Kaseya 公司对客户造成的影响可发生在使用第三方软件厂商的任何组织机构身上。欧盟网络安全局 (ENISA) 分析了近期发生的24起软件供应链攻击活动后发现强大的安全防护措施已不足以应对攻击。报告发现2020年供应链攻击的数量和复杂度都有所增长且这一趋势在2021年仍持续,而且从新近Lapsus$ 组织发动的攻击来看, 这一趋势在2022年仍将继续。
和第三方软件厂商一样但从更大范围来看,不安全的开源代码将对数字化功能造成灾难性影响,从Log4Shell 漏洞造成的影响可见一斑。造成这些后果的原因部分是,对于几乎所有现代数字化基础设施和所有软件供应链而言,开源软件仍然起着根本作用。平均一款应用程序使用了500多个开源组件。而自愿维护项目的维护人员的资源、培训和时间是有限的,这意味着他们在修复漏洞方面力不从心。这些因素很可能导致高危的开源漏洞多年来仍存在于代码中。
因此,我们需要立即采取行动。为此,美国国家标准和技术研究院 (NIST) 在今年2月份发布了安全指南。但我们为何在尝试并有效保护软件供应链方面仍然如此缓慢?因为我们不知道从何入手,跟进自身软件和新产品的安全更新困难重重。更糟糕的是,很多构成数字化基础设施的开源组件缺乏合适资源,使项目维护人员确保这些组件是完全安全的。
我们该如何保护软件供应链安全?虽然听起来很艰巨但可以从下面几个方面入手。
首先,清理并识别攻击阻力差距——即组织机构能够防御与需要防御之间的空间。了解自己的供应链并执行帮助团队成功的战略:
要求软件物料清单 (SBOM) 并维护所在组织机构软件许可证的准确清单,了解那些厂商、程序和网络可能会将自己置于风险之中。开源软件组件尤其难以记录;Linux基金会和国际标准组织 (ISO) 提供相关资源,帮助组织机构追踪并识别开源的SBOM。
清楚了解软件(当前软件或未来将购买的软件)如何支持或与关键进程进行关联。这种关系知识有助于安全团队创建安全优先的业务案例,并根据易受攻击厂商或组件的不同,更好地了解何种业务元素将被置于风险之中。
将软件安全的所有权转移到开发的最早阶段。左移使开发人员了解安全标准,因此安全和开发团队能够协作构建安全产品,降低修复已部署的不安全产品的量。然后,执行策略和标准,维护组织机构的安全和互联网的整体安全。
基于事件应对的准备情况,评估每个软件厂商,建立问责制。将厂商纳入自己的供应链是信任的一种表达方式,只有当你认为合作伙伴是可信任时,才应当扩展这种信任。所在组织机构和供应链的透明度是达成出色的事件响应的关键。你还可以通过成功的预先存在的事件响应和披露计划的语言来了解指南。
采用清楚的完整性框架和详细的厂商入职流程。该框架应当包括关于每个提供商的软件许可如何支持你所在的组织机构以及内部使用的安全工具的文档。
制定策略,提升开源组件的安全并通过支持项目维护的组织机构提升安全性。向开源项目做贡献降低了对所在组织机构以及所有使用开源代码的人员的风险。
网络安全社区中的大多数人都熟悉墨菲定律:“如果事情有变坏的可能,不管这种可能性有多小,它总会发生。”它定义了在这个领域工作的任何人的心态。网络安全行业教给我的最大经验就是必须全力以赴,迎接不可避免的越来越多的挑战、风险和复杂性,保护数字化资产的安全。其中一种方法是在安全最佳时间方面保持高度积极主动,如果你尚未正确保护软件供应链安全,那么你已经落后了。不过即使你的出发点是错误的,但好在重新出发永远不晚。
PyPI 仓库中的恶意Python包将被盗AWS密钥发送至不安全的站点
开源项目 Parse Server 出现严重漏洞,影响苹果 Game Center
奇安信开源软件供应链安全技术应用方案获2022数博会“新技术”奖
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
https://www.darkreading.com/vulnerabilities-threats/it-s-a-race-to-secure-the-software-supply-chain-have-you-already-stumbled-
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。