一年的供应链攻击:如何保护你的SDLC

当今网络安全领域最令人担忧的趋势之一是供应链攻击的发生率急剧上升打击SolarWinds去年和最近的Kaseya。由于供应链攻击的重点是破坏软件开发和交付，因此供应链攻击迫使开发人员和DevOps团队争夺解决方案。

不幸的是，供应链攻击尤其难以预防、检测和修复，而且由于其隐蔽性，往往是毁灭性的。然而，通过了解这些攻击的工作原理并采用关键的最佳实践，您可以显著降低遭受这些攻击的风险。

继续阅读以了解如何保护您的软件开发生命周期(SDLC)免受供应链攻击，并确保您交付给员工和客户的软件是安全的。

什么是供应链攻击?

在供应链攻击在美国，黑客将恶意软件隐藏在合法软件中，然后通过官方渠道分发给毫无戒心的最终用户，无论该软件是免费和开源(FOSS)还是商业销售。

“这些类型的攻击会影响所有使用受感染软件的用户，并且可能会广泛传播美国网络安全和基础设施安全局(CISA)的报告称:“这将对政府、关键基础设施和私营部门软件客户造成严重影响。“防御软件供应链攻击”。

例如，在IT监控供应商SolarWinds的案例中，黑客将恶意软件注入其Orion平台的软件构建过程中。在此期间，SolarWinds无意中发布了带有该漏洞的产品更新。

大约18000个客户收到了受污染的更新，几十个客户被入侵，包括知名跨国公司和美国大型联邦政府机构．该漏洞旨在帮助黑客通过后门入侵客户的猎户座服务器。

由于它的范围和影响，太阳风黑客把关注软件开发安全性和DevSecOps．事实上，它和一般的供应链攻击一样，都是由白宫作为美国总统拜登的动机关于改善国家网络安全的行政命令，于今年5月发布。

加州大学伯克利分校(University of California at Berkeley)的安全研究员尼克·韦弗(Nick Weaver)说:“供应链攻击很可怕，因为它们真的很难对付，而且它们清楚地表明，你信任的是整个生态系统。告诉《连线》杂志．

最近，黑客利用Kaseya软件中的零日漏洞，为msp和IT团队提供基于云计算的IT管理软件发动大规模的勒索软件攻击针对使用Kaseya VSA本地产品的客户。

Kaseya说攻击者绕过身份验证并运行任意命令执行，从而允许他们利用VSA将REvil勒索软件部署到客户端点。然而，Kaseya表示，它没有发现VSA代码库被恶意修改的证据。

在对这次攻击负责时，REvil黑客组织要求一个七千万美元的赎金该公司表示，它已经感染了大约100万个系统，使这次供应链攻击成为今年最严重的网络安全事件之一，可能比太阳风公司的攻击更具破坏性。

弗雷斯特公司的分析师史蒂夫·特纳在博客中写道:“这揭示了一个令人不安的趋势，即攻击目标正在从单个组织转向利用平台，如Kaseya或SolarWinds，这些平台允许多个组织受到影响。“利用我们的工具来对付我们:对手继续滥用供应链中的信任。”

“供应链攻击 变得 越来越受攻击者的欢迎，因为他们可以通过单一的第三方供应商访问大型组织或多个组织的信息，”身份盗窃资源中心(ITRC)说。所述当宣布2020年数据泄露报告．“通常，被攻击的组织规模较小， 与他们所服务的公司相比，安全措施较少。”

为什么这对你很重要

今天，开发人员通常只编写应用程序代码库的一小部分。其余的部分，可能占代码库的90%以上，由第三方开源和商业软件组件组成。

开发人员必须确保这些第三方组件没有安全性或遵从性漏洞，例如未修补的关键漏洞、恶意软件或配置错误的设置。否则，他们的软件可能会使员工和客户面临安全和合规违规的风险。

这说起来容易做起来难。例如，商业的、专有的软件通常被设计成一个难以或完全不可能检查的黑盒子。同时，开源软件通常包含依赖层——直接的和传递的——这些依赖层可能是隐藏的，难以理解。

这种对商业和开源软件组成缺乏可见性的情况可以通过以下方式得到改善软件物料清单(soms)，它列出并详细说明了一个软件中的所有组件。不幸的是，soms还不是一个一致的行业实践。

其他挑战包括默认情况下从公共存储库中提取组件的包管理器，以及越来越多地以SDLC的早期阶段为目标的攻击者，在这个阶段，组织倾向于进行较少的安全检查。

该怎么办?

有许多方法可以降低供应链风险。

• 建立一个供应链审查流程:与您的软件供应商保持持续的沟通，以确保他们采取必要的步骤来确保他们的产品安全。hth华体会最新官方网站

• 将安全性向左转移:在整个SDLC中添加自动安全性检查，早在设计阶段就开始。

• 实现二进制代码完整性验证:您可以通过对下载软件的二进制文件进行散列并将其与供应商提供的散列进行比较来实现这一点。更好的是，选择自动执行此操作的包管理器。

• 代码分析和测试:总是执行吗软件组成分析用于跟踪和分析OSS组件和许可证;静态代码分析，检查程序源代码，检测SQL注入攻击等问题;以及动态代码分析，以检查运行系统上的代码。

• 要求一个SBOM:要求所有软件都附带一个SBOM。当SBOM丢失或不完整时，使用创建SBOM的工具扫描软件。

• 执行基于网络的评估:这可以帮助检测易受攻击的软件组件，甚至是实际的漏洞，这就是SolarWinds攻击被发现的原因。

• 管理并确定漏洞的优先级:采用包含威胁分析的全面漏洞管理程序，这样您就可以确定必须立即修补的错误的优先级，以及代表较小风险的错误的优先级。

• 修复、修复、修复:通过持续、及时地更新、打补丁、隔离或删除受影响的软件来解决漏洞，这样您就可以领先于试图利用已知漏洞的黑客一步。

• 使用多因素身份验证(MFA)保护您的SDLC:您的SDLC的所有关键部分都应该配置为使用MFA，以减少攻击者访问您的源代码版本控制系统、包注册中心、容器注册中心、工件存储库、CI/CD管道以及构建和开发人员机器的风险。

• 避免依赖混淆和误输入攻击:设置一个内部的私有注册表，默认情况下由DevOps团队使用，这样可以减少开发人员被欺骗从公共存储库中提取受污染组件的机会。

• 使用版本固定:指定要使用的包版本，这样您的团队就不会无意中安装旧的、受损害的版本。

一个不容忽视的问题

考虑到供应链攻击在各种网络不法分子——个人“独狼”黑客、网络犯罪团伙、民族国家政府行为者中变得多么流行，保护你的组织不受供应链攻击必须是当务之急。

上升趋势很明显。

与2020年第四季度相比，2021年第一季度的供应链攻击数量增加了42%，137家组织受到影响 27 不同的第三方供应商， ，影响了700万人。“供应链攻击的增加令人不安。”说伊娃·贝拉斯克斯是ITRC的总裁兼首席执行官，ITRC是一家致力于减少身份泄露和犯罪的非营利组织。

在2021年第二季度，导致数据泄露的供应链攻击增加了19%，与2021年第一季度的27次攻击相比，新增32次攻击，影响了292家组织，约550万人受到影响。根据ITRC的说法．

ITRC表示，按照这种速度，到2021年底，第三方风险有望超过恶意软件，成为导致数据事件的第三大最常见根本原因，并补充说，Kaseya供应链攻击“也表明供应商攻击的范围和复杂性正在增加”。

在JFrog，我们可以帮助您预防供应链攻击，并避免其代价高昂和破坏性的后果。我们的端到端JFrog DevOps平台提供所有DevSecOps增强SDLC防御此类攻击所需的能力。

查看我们的SDLC安全资源2022世界杯阿根廷预选赛赛程了解我们的平台如何结合最佳实践和经过验证的流程，保护您的组织免受供应链攻击者的侵害。