一年的供应链攻击:如何保护你的SDLC

当今网络安全领域最令人担忧的趋势之一是供应链攻击事件的激增，比如那些打击SolarWinds去年，卡西娅是最近。由于供应链攻击专注于折衷软件开发和交付，迫使开发人员和DevOps团队争相寻找解决方案。

不幸的是，供应链攻击在预防、检测和补救方面尤其具有挑战性，而且由于其隐身性，往往具有毁灭性。但是，通过了解它们的工作原理并采用关键的最佳实践，您可以显著降低成为这些攻击牺牲品的风险。

继续阅读，了解如何保护软件开发生命周期(SDLC)防止供应链攻击，并确保交付给员工和客户的软件是安全的。

什么是供应链攻击?

在供应链的攻击在美国，黑客将恶意软件隐藏在合法软件中，然后通过官方渠道分发给毫无防备的最终用户，无论这些软件是免费和开源的，还是以商业方式出售的。

“这些类型的攻击会影响所有使用被入侵软件的用户，并可能传播广泛对政府、关键基础设施和私营部门软件客户的后果，”美国网络安全和基础设施安全局(CISA)的报告写道“防范软件供应链攻击”。

例如，在IT监控供应商SolarWinds的案例中，黑客在其Orion平台的软件构建过程中注入了恶意软件。漏洞被发现了好几个月，在此期间，SolarWinds无意中发布了带有漏洞的产品更新。

大约1.8万名客户收到了受污染的更新，几十个客户被入侵，包括知名跨国公司而且美国大型联邦政府机构．该漏洞旨在帮助黑客通过后门侵入客户的Orion服务器。

由于它的范围和影响，太阳风黑客把重点关注软件开发安全和DevSecOps．事实上，它，以及供应链攻击一般，被提到白宫作为美国总统乔·拜登的动力改善国家网络安全的行政命令，今年5月发行。

加州大学伯克利分校(University of California at Berkeley)的安全研究员尼克·韦弗(Nick Weaver)说:“供应链攻击很可怕，因为它们真的很难对付，也因为它们清楚地表明，你信任整个生态系统。告诉《连线》杂志．

最近，黑客利用Kaseya软件的零日漏洞，Kaseya是一家为MSPs和IT团队提供基于云的IT管理软件的供应商发动大规模的勒索软件攻击针对使用Kaseya VSA本地产品的客户。

Kaseya说攻击者绕过身份验证，执行任意命令，允许他们利用VSA将REvil勒索软件部署到客户端点。然而，Kaseya表示，没有发现任何证据表明VSA代码库被恶意修改。

为了对这次攻击负责，REvil黑客组织要求7000万美元的赎金该公司表示，该公司已经感染了约100万个系统，使此次供应链攻击成为今年最严重的网络安全事件之一，可能比太阳风的那次更具破坏性。

Forrester分析师史蒂夫•特纳在博客中写道:“这揭示了一个令人不安的趋势，攻击目标正从单个组织转移到利用平台，如Kaseya或SolarWinds，从而使多个组织受到影响。“用我们的工具对付我们:对手继续滥用供应链中的信任。”

身份盗窃资源中心(ITRC)表示:“供应链攻击 变得 越来越受攻击者的欢迎，因为他们可以通过单一的第三方供应商访问更大的组织或多个组织的信息。”所述当宣布2020年数据泄露报告．“通常，被攻击的组织规模较小， 的安全措施比他们服务的公司更少。”

为什么这对你很重要

今天，开发人员通常只编写应用程序代码库的一小部分。其余的，可能超过90%的代码库，是由第三方开源和商业软件组件组成的。

开发人员必须确保这些第三方部件没有安全性和遵从性漏洞，如未打补丁的关键漏洞，恶意软件或错误配置的设置。否则，他们的软件可能会将员工和客户置于安全和合规违规的风险中。

这说起来容易做起来难。例如，商业专有软件通常被设计成一个难以或完全不可能检查的黑盒子。与此同时，开源软件通常包含依赖层——直接的和传递的——这些依赖层可能是隐藏的，很难理解。

这种对商业和开源软件构成的缺乏可见性的情况可以通过以下方法加以改善软件材料清单(soms)，它列出并详细说明了一个软件中的所有组件。不幸的是，sbam还不是一个一致的行业实践。

其他挑战包括默认情况下从公共存储库提取组件的包管理器，以及攻击者越来越多地瞄准SDLC的早期阶段，在这个阶段，组织往往很少进行安全检查。

要做什么吗?

有很多方法可以降低你的供应链风险。

• 建立供应链审查流程:与软件供应商保持持续的沟通，以确保他们在自己的端采取必要的步骤来保证产品的安全。hth华体会最新官方网站

• 左移安全性:在整个SDLC中添加自动安全检查，早在设计阶段就开始。

• 实现二进制代码完整性验证:您可以通过哈希已下载软件的二进制文件并将其与供应商提供的哈希进行比较来实现这一点。更好的是，选择自动完成此操作的包管理器。

• 进行代码分析和测试:总是执行软件成分分析用于跟踪和分析OSS组件和许可证;静态代码分析检查程序源代码，并检测SQL注入攻击等问题;以及动态代码分析，以检查运行系统上的代码。

• 要求一个SBOM:要求所有软件都附带一个SBOM。当SBOM缺失或不完整时，使用创建SBOM的工具扫描软件。

• 执行基于网络的评估:这可以帮助检测脆弱的软件组件，甚至是实际的漏洞，这就是SolarWinds攻击被发现的原因。

• 管理和优先考虑漏洞:采用全面的漏洞管理程序，其中包括威胁分析，这样您就可以优先考虑哪些漏洞必须立即修补，哪些是较小的风险。

• 补救、补救、再补救:以持续、及时的方式，通过更新、打补丁、隔离或删除受影响的软件来解决漏洞，这样您就可以领先黑客一步，利用已知的漏洞。

• 使用多因素身份验证(MFA)保护您的SDLC:您的SDLC的所有关键部分都应该配置为使用MFA，以降低攻击者获得访问您的源代码版本控制系统、包注册中心、容器注册中心、工件存储库、CI/CD管道以及构建和开发人员机器的风险。

• 避免依赖混淆和类型错误攻击:建立一个内部的私有注册表，默认情况下DevOps团队会使用它，这样可以减少开发人员被骗从公共存储库中提取受污染组件的机会。

• 使用版本固定:指定要使用的包版本，这样您的团队就不会无意中安装较旧的、受到损害的版本。

一个不容忽视的问题

保护您的组织免受供应链攻击必须是一个优先考虑的问题，因为它们在各种网络不法分子中是多么流行——个人“独狼”黑客、犯罪网络团伙、民族国家政府行为者。

上升趋势很明显。

与2020年第四季度相比，2021年第一季度的供应链攻击数量增加了42%，有137家组织在 27 不同的第三方供应商和 受到影响，影响了700万人。“供应链攻击事件的增多令人担忧，”说ITRC是一家专注于减少身份泄露和犯罪的非营利组织，该组织的总裁兼首席执行官伊娃·贝拉斯克斯说。

2021年第二季度，导致数据泄露的供应链攻击增加了19%，与2021年第一季度的27次相比，有32次新的攻击，影响了292家组织，估计影响了550万人。据ITRC报道．

ITRC表示，按照这个速度，到2021年底，第三方风险将超过恶意软件，成为数据事件的第三大最常见根源，并补充说，Kaseya供应链攻击“也表明，供应商攻击的范围和复杂性正在增加。”

在JFrog，我们可以帮助您防止供应链攻击，并避免其代价高昂和破坏性的后果。我们的端到端JFrog DevOps平台提供所有的DevSecOps你需要增强SDLC防御这种类型攻击的能力。

查看我们的SDLC安全资源2022世界杯阿根廷预选赛赛程了解我们的平台如何结合最佳实践和经过验证的流程，使您的组织免受供应链攻击。