今天的大部分軟件并不是完全從頭進行開發(fā)設(shè)計的。相反，現(xiàn)在的開發(fā)人員頻繁的依賴一系列第三方組件來創(chuàng)建他們的應(yīng)用程序。通過使用預(yù)構(gòu)建的庫，開發(fā)人員不需要重新發(fā)明輪子。他們可以使用已經(jīng)存在的工具，花更多的時間在專有代碼上。這些工具有助于區(qū)分他們的軟件，更快的完成項目，降低成本，并保持競爭力。這些第三方組件庫構(gòu)成了軟件供應(yīng)鏈的一部分，雖然它們的集成是有益的，但同時也給軟件供應(yīng)鏈帶來了風險，需要加以保護。

近期發(fā)生的重要違規(guī)事件表明，軟件供應(yīng)鏈受到攻擊的頻率正在上升。Log4j漏洞和SolarWinds供應(yīng)鏈攻擊事件提醒我們，軟件組件可能是一種安全威脅。由于這些類型的攻擊相對較新，大多數(shù)組織往往難以確定他們的應(yīng)用程序在何時會受到何種影響，以及采用何種方法來應(yīng)對新的威脅。

有效的軟件供應(yīng)鏈安全體系可以確保應(yīng)用程序代碼的任何組件或?qū)ζ洚a(chǎn)生影響的任何組件都是安全可靠的。在本文中，我們將進一步探討什么是軟件供應(yīng)鏈安全，以及為什么它很重要，同時我們可以采用哪些最佳實踐，以確保公司和組織免受供應(yīng)鏈攻擊。

一、什么構(gòu)成了軟件供應(yīng)鏈？

軟件供應(yīng)鏈是指直接參與開發(fā)應(yīng)用程序的所有組件。它們包括：

1. 硬件和基礎(chǔ)設(shè)施
2. 操作系統(tǒng)
3. 編譯器和編輯器
4. 驅(qū)動程序和依賴關(guān)系
5. 開源腳本和打包軟件
6. 存儲庫引擎、測試套件和CI/CD工具
7. 云服務(wù)和數(shù)據(jù)中心

供應(yīng)鏈還應(yīng)該包括各種人員，如外包公司、顧問和承包商。

軟件供應(yīng)鏈安全的主要重點是將風險管理和網(wǎng)絡(luò)安全原則結(jié)合起來。這樣做可以檢測、減輕和最小化與應(yīng)用程序中這些第三方組件相關(guān)的風險。

二、威脅來自何方？

供應(yīng)鏈威脅的存在是因為企業(yè)對供應(yīng)鏈的信任。例如，沒有人覺得微軟會發(fā)布一個安全補丁，將他們的環(huán)境暴露給攻擊者。攻擊者恰恰利用了這種信任，因為他們知道大多數(shù)開發(fā)人員不會不遺余力的交叉檢查他們正在使用的軟件。

以下來舉例說明，企業(yè)在哪些環(huán)節(jié)容易受到軟件供應(yīng)鏈攻擊。

1.軟件更新

通過破壞分布廣泛的軟件更細，攻擊者可以訪問多種系統(tǒng)。例如，許多公司每個月都會發(fā)布新的安全補丁，這些補丁會被成千上萬的開發(fā)人員下載，已部署到他們的項目和CI/CD管道中。如果攻擊者可以操縱一個更新，那么他們就可以輕松的訪問部署該更新的所有系統(tǒng)。

2.開源項目

對開源項目的提交權(quán)限通常授予受信任的貢獻者。如果攻擊者破壞了一個受信任的賬戶，他們可以將惡意代碼插入到存儲庫中。開發(fā)人員不知不覺的使用了這些代碼，從而無意中打開了對環(huán)境的訪問權(quán)限。

3.第三方開發(fā)人員

許多公司現(xiàn)在雇用承包商或自由職業(yè)者進行應(yīng)用程序開發(fā)，如果沒有進行適當?shù)谋尘罢{(diào)查，惡意的外部組織可以輕松的竊取數(shù)據(jù)或IP，以獲取經(jīng)濟利益或從事工業(yè)間諜活動。

這些只是一小部分例子，更多其他案例還包括證書被盜、軟件開發(fā)工具被破壞、設(shè)備預(yù)先安裝了惡意軟件等等。

三、為什么軟件供應(yīng)鏈安全很重要？

軟件供應(yīng)鏈安全已經(jīng)變得如此重要，以至于在2021年5月，拜登簽署了一項行政命令來解決此問題。有兩起事件在這次命令中起到了關(guān)鍵作用：SolarWinds和Apple/Quanta。

在SolarWinds事件中，黑客將惡意代碼部署到“Orion”系統(tǒng)的更新中，據(jù)統(tǒng)計該系統(tǒng)有超過33000個用戶。這次襲擊非常隱蔽且手段高明，甚至軟件開發(fā)人員在14個月后才發(fā)現(xiàn)了端倪。由于沒有意識到這個漏洞，SolarWinds向安裝了這些軟件的客戶發(fā)布了軟件更新。這使得黑客不僅可以訪問SolarWinds系統(tǒng)，還可以訪問每個安裝了更新的人的系統(tǒng)。

在Apple/Quanta的受攻擊事件中，Quanta公司的系統(tǒng)在2021年4月遭到攻擊。他是蘋果產(chǎn)品的主要臺灣供應(yīng)商。勒索軟件集團REvil聲稱竊取了最新款Macbook的設(shè)計藍圖，并索要5000萬美元的解密秘鑰。當Quanta公司拒絕付款后，REvil開始在暗網(wǎng)公布被盜的藍圖。

這兩起攻擊都與軟件供應(yīng)鏈有關(guān)，一起涉及軟件補丁，另一起發(fā)生在硬件供應(yīng)商身上。這些類型的攻擊不僅僅針對知名公司，它們可能發(fā)生在任何規(guī)模的公司內(nèi)。

四、軟件供應(yīng)鏈安全的最佳實踐

為了確保軟件供應(yīng)鏈的安全性，需要對應(yīng)用程序的每個部分都有一個清晰的視圖和控制。雖然技術(shù)控制是必不可少的，但是為業(yè)務(wù)流程、策略和過程開發(fā)一個具體的治理、風險和遵從框架也是至關(guān)重要的。可以從以下幾點著手：

• 評估供應(yīng)鏈

為了讓應(yīng)用程序的依賴關(guān)系具有完全的可見性，需要對一些問題進行評估，例如：

1. 開發(fā)生命周期的每個步驟涉及到什么？
2. 是否有承包商具有代碼訪問權(quán)限？
3. 誰安裝軟件更新，如何安裝？

企業(yè)應(yīng)審核其所有應(yīng)用程序以及授予內(nèi)部和外部各自的訪問權(quán)限。理想情況下， 這應(yīng)該有完備的文檔記錄和高度自動化的流程。這樣，當發(fā)生一些突發(fā)情況時，可以很快找出誰有訪問權(quán)限。

• 安全的訪問權(quán)限管理

一旦攻擊者獲得了對系統(tǒng)的訪問權(quán)限，他們往往會嘗試通過網(wǎng)絡(luò)橫向移動來找到一個特權(quán)賬戶。如果從成功，他們將使用該賬戶訪問敏感數(shù)據(jù)或控制其他系統(tǒng)。

出于此原因，一個負責的安全團隊應(yīng)該密切監(jiān)視特權(quán)賬戶的異?；顒印Ｋ鼞?yīng)該監(jiān)視密碼更改、登陸活動和權(quán)限更改，并且應(yīng)該做出相應(yīng)的響應(yīng)。例如，假設(shè)一個域管理員賬戶多次嘗試錯誤密碼。在這種情況下，安全小組應(yīng)該調(diào)查并鎖定賬戶，直到他們確定這是一個失敗嘗試的合法案例。

另外，管理員應(yīng)該在所有網(wǎng)絡(luò)賬戶上應(yīng)用最小特權(quán)原則，只要在必要時才授予高級的訪問權(quán)限。最后，系統(tǒng)管理員應(yīng)該使用自動化和組態(tài)管理的相關(guān)工具來控制和監(jiān)控賬戶，這樣就沒有人為干預(yù)和可能出現(xiàn)錯誤的余地。

• 只使用可信任的伙伴

評估任何潛在合作伙伴的可信度、服務(wù)歷史、過去的項目和市場聲譽是很重要的。對于個人來說，要經(jīng)常進行嚴格的背景審查，以確定諸如犯罪記錄或破產(chǎn)申請之類的危險行為。對供應(yīng)商和服務(wù)提供商進行類似的盡職調(diào)查，事實上，一些法規(guī)要求某些供應(yīng)商必須具備ISO 27001這樣的資質(zhì)。

• 監(jiān)控第三方

持續(xù)監(jiān)控第三方就有助于減輕供應(yīng)商泄露或攻擊的影響。這有助于解決一些問題，例如在暗網(wǎng)中暴露出來的證書或者任何過去數(shù)據(jù)泄露的歷史。企業(yè)可以要求并檢查任何供應(yīng)商的安全文檔，以確保其政策和程序符合行業(yè)最佳實踐和相應(yīng)安全標準。

• 找到并修復(fù)漏洞

供應(yīng)鏈攻擊的罪魁禍首是未打補丁的軟件。一旦漏洞公告發(fā)布給公眾，攻擊者就會搜索未打補丁的系統(tǒng)并加以利用。因此，公司的IT團隊必須利用SCA工具來發(fā)現(xiàn)第三方代碼中的漏洞，并提出補丁和更新等修復(fù)方法。

事實上，目前市場上存在很多SCA工具供企業(yè)選擇，例如：Checkmarx、Synopsys、Veracode、泛聯(lián)新安等等許多公司的對應(yīng)檢測軟件。

• 創(chuàng)建一個事故應(yīng)對計劃

簡單來說，就是假設(shè)公司將受到攻擊，并據(jù)此制定計劃。

事故響應(yīng)計劃定義了當攻擊發(fā)生時需要做什么，誰應(yīng)該做什么，以及響應(yīng)順序。RACI矩陣有助于確定誰負責采取行動、應(yīng)該與誰協(xié)商以及在此類事件發(fā)生期間通知誰等一系列問題。另一個需要考慮的領(lǐng)域是RACI的不同成員之間的溝通計劃、要使用的溝通渠道和表達式數(shù)。

一個有效的災(zāi)難恢復(fù)計劃應(yīng)該是可靠的，并經(jīng)過了多種場景的測試。DR計劃可以應(yīng)該包括傳統(tǒng)的備份或故障轉(zhuǎn)移站點，同時經(jīng)過測試的恢復(fù)機制可以防止系統(tǒng)受到勒索軟件的攻擊

五、總結(jié)

企業(yè)必須面對真實存在的網(wǎng)絡(luò)攻擊威脅，這就是事實。盡管軟件供應(yīng)鏈攻擊發(fā)生的頻率相對較少，但它們可以造成嚴重的破壞。

對于這種類型的攻擊，最好的防護措施是了解你的供應(yīng)鏈，審核所依賴的第三方，掃描軟件組件中的漏洞，并建立一個健全的事件管理計劃。

泛聯(lián)新安擁有專業(yè)的經(jīng)驗來幫助企業(yè)完善他們的軟件安全體系。如果您還沒有軟件供應(yīng)鏈安全工具，可以考慮泛聯(lián)新安的DevSecOps體系。這能幫助您縮短解決問題的時間，同時有效的實現(xiàn)安全左移，將問題阻斷在開始階段。最后，關(guān)鍵點在于培訓您的軟件開發(fā)和安全人員將Sec的最佳實踐直接集成到他們的CI/CD管道中。這樣一來，客戶同樣會對您應(yīng)用程序的安全性更有信心。文章來源地址http://www.zghlxwxcb.cn/news/detail-447702.html

到了這里，關(guān)于一文讀懂什么是軟件供應(yīng)鏈安全的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！