說到應(yīng)用程序和軟件，關(guān)鍵詞是“更多”。在數(shù)字經(jīng)濟(jì)需求的推動(dòng)下，從簡化業(yè)務(wù)運(yùn)營到創(chuàng)造創(chuàng)新的新收入機(jī)會，企業(yè)越來越依賴應(yīng)用程序。云本地應(yīng)用程序開發(fā)更是火上澆油。然而，情況是雙向的：這些應(yīng)用程序通常更復(fù)雜，使用的開放源代碼比以往任何時(shí)候都包含更多的漏洞。此外，威脅行為者正在創(chuàng)造和使用更多的攻擊方法和技術(shù)，通常是組合在一起的。

最終，我們得到了各種攻擊機(jī)會的大雜燴，威脅行為者知道這一點(diǎn)。事實(shí)上，Mend.io最近發(fā)布的關(guān)于軟件供應(yīng)鏈惡意軟件的報(bào)告顯示，從2021年到2022年，發(fā)布到NPM和RubyGems上的惡意包數(shù)量躍升了315%。這些攻擊通常會危及受信任的供應(yīng)商。

正是因?yàn)樗麄兝昧丝尚诺年P(guān)系，他們可能很難被發(fā)現(xiàn)和擊退。

那么，你如何防御它們呢？

軟件供應(yīng)鏈攻擊是如何運(yùn)作的？

軟件供應(yīng)鏈?zhǔn)菫閼?yīng)用程序提供軟件組件的供應(yīng)商和供應(yīng)商的網(wǎng)絡(luò)。敵手侵入第三方軟件以獲取對您的系統(tǒng)和代碼庫的訪問權(quán)限。然后，他們在你的供應(yīng)鏈中橫向移動(dòng)，直到他們到達(dá)預(yù)期的目標(biāo)。

一般來說，軟件供應(yīng)鏈攻擊遵循一系列階段。

偵察

惡意行為者研究他們的目標(biāo)并識別供應(yīng)鏈中的漏洞。這涉及到收集關(guān)于供應(yīng)鏈中的供應(yīng)商、供應(yīng)商和合作伙伴的信息。

最初的妥協(xié)

第一次接觸到供應(yīng)鏈中的薄弱環(huán)節(jié)，如第三方供應(yīng)商或供應(yīng)商。它可能涉及網(wǎng)絡(luò)釣魚和其他社交工程，以誘騙員工提供訪問憑據(jù)。

橫向運(yùn)動(dòng)

一旦進(jìn)入供應(yīng)鏈，攻擊者就會試圖使用被盜的憑據(jù)或利用漏洞等手段訪問其他系統(tǒng)或數(shù)據(jù)。

特權(quán)升級

攻擊者試圖獲得對目標(biāo)企業(yè)內(nèi)的關(guān)鍵系統(tǒng)的管理訪問權(quán)限，如域控制器或其他保存敏感數(shù)據(jù)的服務(wù)器。

數(shù)據(jù)外泄

數(shù)據(jù)或知識產(chǎn)權(quán)被盜，或造成其他破壞。

通過了解這些階段，您可以采取措施在軟件供應(yīng)鏈攻擊造成重大破壞之前檢測、減輕和防止它們。

軟件供應(yīng)鏈安全漏洞最常見的原因

代碼審查和測試不足，導(dǎo)致漏洞未被檢測到。企業(yè)應(yīng)實(shí)施全面的代碼審查和測試流程，以識別和緩解任何潛在的安全問題。

過時(shí)/未打補(bǔ)丁的軟件使系統(tǒng)容易受到攻擊者利用的已知安全漏洞的攻擊。

設(shè)計(jì)不佳的訪問控制和薄弱的身份驗(yàn)證允許攻擊者輕松獲得對敏感系統(tǒng)和數(shù)據(jù)的未經(jīng)授權(quán)訪問。

薄弱的加密和不安全的通信使數(shù)據(jù)泄露變得很容易。

如果企業(yè)沒有工具或?qū)I(yè)知識來有效地監(jiān)控和檢測威脅，缺乏對供應(yīng)鏈的可見性就會增加暴露在潛在問題中的風(fēng)險(xiǎn)。這是也構(gòu)成威脅的一些隱藏漏洞中的第一個(gè)。

其他包括：

隱藏的漏洞

第三方依賴項(xiàng)。應(yīng)用程序通常依賴于第三方庫和組件，如果管理不當(dāng)，可能會引入漏洞。這些可能很難檢測到，特別是當(dāng)企業(yè)對源代碼的可見性很差的時(shí)候。

軟件供應(yīng)商缺乏多樣性。如果企業(yè)依賴于單一的軟件供應(yīng)商，并且無法了解其安全實(shí)踐，那么它就無法有效地檢測隱藏的漏洞。

針對開源軟件的攻擊之所以發(fā)生，是因?yàn)槠髽I(yè)大量使用開源軟件，以至于它是一個(gè)巨大的攻擊面。

如何評估供應(yīng)鏈安全？

確定軟件供應(yīng)商和合作伙伴。生成軟件材料清單(SBOM)-所有供應(yīng)商、承包商和其他合作伙伴的清單，檢查他們的安全策略和控制，以及他們是否符合法規(guī)。

進(jìn)行風(fēng)險(xiǎn)評估并制定補(bǔ)救計(jì)劃，包括可靠的軟件測試和增強(qiáng)安全意識。

審查并實(shí)施您的控制和策略。確保您的策略符合安全要求。檢查訪問控制和數(shù)據(jù)保護(hù)，以防止未經(jīng)授權(quán)的訪問、加強(qiáng)保密性、限制攻擊面并降低第三方風(fēng)險(xiǎn)。

增強(qiáng)加密和安全通信的能力

評估和重新設(shè)計(jì)供應(yīng)鏈架構(gòu)，以提高供應(yīng)鏈可見性，更好地識別和管理潛在問題、惡意活動(dòng)、第三方風(fēng)險(xiǎn)，并確保滿足合規(guī)和監(jiān)管要求。

構(gòu)建全面的安全方法。結(jié)合使用漏洞掃描儀、終端保護(hù)軟件、網(wǎng)絡(luò)安全工具、身份和訪問管理以及特定的軟件供應(yīng)鏈工具，以及員工培訓(xùn)和響應(yīng)規(guī)劃。

在下一篇文章中，我將介紹如何成功地做到這一點(diǎn)，以及您應(yīng)該如何使用這些工具來加強(qiáng)軟件和應(yīng)用程序的安全性。文章來源地址http://www.zghlxwxcb.cn/news/detail-732644.html

到了這里，關(guān)于虹科分享 | 軟件供應(yīng)鏈攻擊如何工作？如何評估軟件供應(yīng)鏈安全？的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！