一年的供应链攻击:如何保护你的SDLC

当今网络安全中最令人担忧的趋势之一是供应链攻击的发生率急剧上升，比如那些打击SolarWinds去年，最近是Kaseya。由于供应链攻击专注于损害软件开发和交付，因此迫使开发人员和DevOps团队争相寻找解决方案。

不幸的是，供应链攻击在预防、检测和补救方面尤其具有挑战性，而且由于其隐秘的性质，往往是毁灭性的。但是，通过了解这些攻击的工作原理并采用关键的最佳实践，可以大大降低成为这些攻击的牺牲品的风险。

请继续阅读，了解如何保护软件开发生命周期(SDLC)防止供应链攻击，并确保交付给员工和客户的软件是安全的。

什么是供应链攻击?

在供应链攻击在美国，黑客将恶意软件隐藏在合法软件中，然后通过官方渠道分发给毫无戒心的最终用户，无论该软件是免费开源的还是商业销售的。

“这些类型的攻击会影响所有使用受感染软件的用户，并且可能具有广泛的影响对政府、关键基础设施和私营部门软件客户的影响，”美国网络安全和基础设施安全局(CISA)的论文写道“防范软件供应链攻击。”

例如，在IT监控供应商SolarWinds的案例中，黑客将恶意软件注入到其Orion平台的软件构建过程中。该漏洞几个月来都没有被发现，在此期间，SolarWinds无意中发布了带有该漏洞的产品更新。

大约1.8万名客户收到了受污染的更新，其中几十个被入侵，包括知名跨国公司而且美国大型联邦政府机构．该漏洞旨在帮助黑客利用后门侵入客户的Orion服务器。

由于其范围和影响，太阳风黑客把关注软件开发安全性和DevSecOps．事实上，它，以及一般的供应链攻击，被提到白宫作为美国总统乔·拜登的动力关于改善国家网络安全的行政命令，于5月发布。

加州大学伯克利分校(University of California at Berkeley)的安全研究员尼克·韦弗(Nick Weaver)说:“供应链攻击很可怕，因为它们真的很难应对，而且它们清楚地表明，你信任整个生态系统。告诉《连线》杂志．

最近，黑客利用Kaseya软件中的零日漏洞，Kaseya是一家为msp和IT团队提供基于云计算的IT管理软件的供应商发动大规模的勒索软件攻击针对使用Kaseya VSA内部部署产品的客户。

Kaseya说攻击者绕过身份验证并执行任意命令，允许他们利用VSA将REvil勒索软件部署到客户端点。然而，Kaseya表示，它没有发现VSA代码库被恶意修改的证据。

REvil黑客组织在表示对此次攻击负责时，要求得到一个7000万美元的赎金该公司表示，已经感染了大约100万个系统，使此次供应链攻击成为今年最严重的网络安全事件之一，可能比SolarWinds的攻击更具破坏性。

Forrester分析师史蒂夫·特纳在博客中写道:“这揭示了一个令人不安的趋势，攻击目标正从单个组织转向利用Kaseya或SolarWinds等平台，这使得多个组织都受到影响。“用我们的工具对付我们:对手继续滥用供应链中的信任。”

“供应链攻击 变得 越来越受攻击者的欢迎，因为他们可以通过单一的第三方供应商访问更大的组织或多个组织的信息，”身份盗窃资源中心(ITRC)所述当宣布2020年数据泄露报告．“通常，被攻击的组织规模较小， 的安全措施比他们服务的公司要少。”

为什么这对你很重要

如今，开发人员通常只编写应用程序代码库的一小部分。其余的，超过90%的代码库，由第三方开源和商业软件组件组成。

开发人员必须确保这些第三方部件不具有安全性或遵从性漏洞，如未修补的关键漏洞、恶意软件或错误配置的设置。否则，他们的软件可能会使员工和客户面临安全和合规违规的风险。

说起来容易做起来难。例如，商业专有软件通常被设计成一个很难或完全不可能检查的黑盒子。与此同时，开源软件通常包含直接的和可传递的依赖关系层，这些依赖关系层可能是隐藏的和难以理解的。

这种对商业软件和开源软件组成缺乏可见性的情况可以通过软件物料清单(soms)，它列出并详细说明了一个软件中的所有组件。不幸的是，soms还不是一个一致的行业实践。

其他挑战包括默认情况下从公共存储库提取组件的包管理器，以及越来越多地针对SDLC的早期阶段的攻击者，在这些阶段组织往往有较少的安全检查。

怎么办呢?

有很多方法可以降低供应链风险。

• 建立供应链审查流程:与您的软件供应商保持持续的沟通，以确保他们在自己的一端采取了必要的步骤来保证产品的安全。hth华体会最新官方网站

• 左移安全性:在整个SDLC中添加自动安全检查，早在设计阶段就开始。

• 实现二进制代码完整性验证:您可以通过对下载软件的二进制文件进行哈希，并将其与供应商提供的哈希进行比较来实现这一点。更好的是，选择自动执行此操作的包管理器。

• 做代码分析和测试:总是执行软件组成分析用于跟踪和分析OSS组件和许可证;静态代码分析，检查程序源代码，并检测SQL注入攻击等问题;以及动态代码分析，以检查运行系统上的代码。

• 要求一个SBOM:要求所有软件都附带一个SBOM。当SBOM缺失或不完整时，请使用创建SBOM的工具扫描软件。

• 执行基于网络的评估:这可以帮助检测易受攻击的软件组件，甚至是实际的漏洞，这就是太阳风攻击被发现的原因。

• 管理和优先考虑漏洞:采用包括威胁分析在内的全面漏洞管理程序，这样您就可以优先考虑哪些漏洞必须立即修补，哪些漏洞代表较小的风险。

• 补救、补救、补救:通过持续、及时地更新、修补、隔离或删除受影响的软件来解决漏洞，这样您就能在黑客寻求利用已知漏洞之前领先一步。

• 使用多因素身份验证(MFA)保护SDLC: SDLC的所有关键部分都应该配置为使用MFA，以降低攻击者获取源代码版本控制系统、包注册表、容器注册表、构件存储库、CI/CD管道以及构建和开发机器的风险。

• 避免依赖关系混淆和拼写攻击:设置一个内部的私有注册表，默认情况下由DevOps团队使用，这样可以减少开发人员被骗从公共存储库中提取受污染组件的机会。

• 使用版本固定:指定要使用的包版本，这样您的团队就不会在不经意间安装较旧的折衷版本。

一个不能忽视的问题

保护您的组织免受供应链攻击必须是一个优先事项，因为它们在各种网络不法分子中已经变得多么流行——个人“独狼”黑客、网络犯罪团伙、民族国家政府行为者。

上升趋势很明显。

与2020年第四季度相比，2021年第一季度供应链攻击的数量增长了42%，受到影响的137家组织 27 不同的第三方供应商 ，影响了700万人。“供应链攻击事件的增多令人担忧。”说伊娃·贝拉斯克斯是ITRC的总裁兼首席执行官，这是一个致力于减少身份妥协和犯罪的非营利组织。

在2021年第二季度，导致数据泄露的供应链攻击增加了19%，与2021年第一季度的27次相比，新增了32次攻击，影响了292家组织，影响了约550万人。据ITRC报道．

ITRC表示，按照这个速度，到2021年底，第三方风险将超过恶意软件，成为数据事件的第三大常见根本原因，并补充说，Kaseya供应链攻击“也表明，供应商攻击的范围和复杂性正在增加。”

在JFrog，我们可以帮助您防止供应链攻击，并避免其昂贵和破坏性的后果。我们的端到端JFrog DevOps平台提供所有DevSecOps你需要增强你的SDLC防御这种类型的攻击。

查看我们的SDLC安全资源2022世界杯阿根廷预选赛赛程了解我们的平台如何结合最佳实践和经过验证的流程，保护您的组织免受供应链攻击者的侵害。