点击↑蓝字
关注墨云安全
供应链是公司内部深层次的复杂环境,涉及公司大部分基础设施、运营、人员和外部关系,比如供应商、合作伙伴和客户。保护供应链很难,因为安全团队需要照顾的敏感节点、线路和流程太多:软硬件资源、云、混合环境与本地环境、各个平台,以及Web应用。
这种复杂性也是供应链的弱点和如此吸引网络罪犯的原因所在,统计数据显示未来供应链攻击可能呈上升趋势。本文专注软件供应链攻击和安全团队需要着手的最佳实践,旨在帮助保护供应链和维持公司安全环境。
供应链攻击基础知识
供应链攻击往往指向两个或多个目标,其中包括中间目标和最终目标。成功渗透进小供应商之类中间目标的网络后,网络罪犯会利用恶意代码入侵供应商的软件,借此染指他们的最终目标:高价值供应商、客户和企业的软件。
不同于实体系统,软件在离开生产商后通过更新和补丁不断修改,容易出现许多无意和恶意的缺陷。随着软件供应链融入更广泛的信息与通信技术(ICT)供应链框架,安全团队必须意识到,网络罪犯能够潜入ICT供应链生命周期的各个阶段并实施攻击。
供应链攻击有三个主要阶段。首先,攻击者寻找并感染其中间目标。然后,恶意软件传播扩散,网络罪犯坐等成效。最后一个阶段是实际攻击,也就是攻击最终目标,通常伴随着开始勒索赎金。感染和攻击之间的时间间隔令供应链攻击深受网络罪犯喜爱,因为这有助于他们长期潜伏。
供应链攻击技术
供应链攻击大多遵循归属以下技术之一的模式,但可以同时运用这些技术:
● 破坏代码签名
● 入侵开源代码
● 应用商店攻击
其中,入侵开源代码这种技术便于利用,开发人员往自己的第三方代码中添加开源代码时,攻击者往其中插入恶意软件就行。很多案例中,攻击者要么通过获取账户权限修改软件包,要么发布名称接近常用包的软件包。恶意代码通常试图访问目标的数据和支付信息。
恶意Python库就是这种技术的一个例子,库中含有与所冒充的库相同的代码和功能,但添加了支持启动和在远程工作站上打开反向shell的功能。
确保供应链安全的重要性
软件供应链攻击是网络罪犯钟爱的目标,且此趋势短期内不会改变。软件供应链的主要吸引力在于链上各环节间的一对多关系:感染一个就能白嫖全部。这就是2021年供应链攻击频率和复杂度上升650%的原因所在,且这一上升趋势预计在未来几年还将延续。
网络罪犯利用此类攻击进行大规模勒索,或者拿下间谍相关目标的访问权限。他们利用固有的组织缝隙,滥用用户期望找到可靠代码的关系。
这些攻击影响巨大,还会大幅增加数据泄露的价值,因为会影响到广为使用的开源项目。供应链攻击一旦成功会极其有效和极具毁灭性,因为此类攻击传播范围广,且会影响受保护的系统。想要改善供应链安全,公共和企业部门的决策者应鼓励向开源计划投入更多资金和支持,而网络安全专业人员应重新聚焦于实施最佳安全实践、修订安全策略和共享事件知识。
软件成分分析技术
软件成分分析可以检测开源软件与第三方组件中存在的已知漏洞,识别潜在供应链安全风险。《Hype Cycle for Securityin China, 2022》中认为,SCA 可以帮助应用开发团队发布更安全的代码,并为安全团队提供主动的风险管理方法。企业可以选择合适的 SCA 工具,在使用开源组件前对其进行主动评估,以避免在生产环境中引入风险,进一步确保软件供应链安全。
结合人工智能技术与威胁情报数据,墨云科技自主研发Scabot 智能软件供应链安全分析平台,依托基于 AI 的二进制代码相似性对比技术,无需源代码便能够全面高效地检测软件组成,深层次剖析软件依赖关系进行安全风险评估,并提供专业、有效的安全分析和修补建议,实现软件供应链问题的及时预警与修复。
往期回顾
数据安全建设容易忽略的风险——数据库安全
漏洞通告|VMware修复墨云科技报告的高危漏洞
使用VackBAS攻击模拟平台对抗勒索病毒
原文始发于微信公众号(墨云安全):御攻击者于供应链外
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论