网络洞察 2023 | 供应链安全

admin 2023年2月25日16:03:33评论18 views字数 7565阅读25分13秒阅读模式
国外安全媒体安全周刊称“与来自 100 多个不同组织的 300 多名网络安全专家进行了联络,以深入了解当今的安全问题——以及这些问题在 2023 年及以后可能会如何演变。其结果是关于从人工智能、量子加密和攻击面管理到风险投资、法规和犯罪团伙等主题的十多个特征。”,最近该媒体发布了多篇网络洞察的文章,我们也可以通过了解他们的一些观点,了解了解国外对应网络安全的一些观点和看法,便于我们吸收借鉴。后期,我将汇总这十三个“网络洞察”文章,欢迎大家及时关注,到时会分享出来,供大家指正!

供应链威胁与攻击面管理(它可能代表攻击面的隐藏部分)和零信任(100% 有效的零信任将消除威胁)直接相关。但在补救之前,必须了解并理解供应链。

与此同时——尤其是在整个 2023 年——它将成为对手关注的焦点。当成功操纵供应链可以同时访问数十个甚至数百个目标时,为什么要攻击单个目标。 

关注公众号回复“202322可自取网络洞察 2023”合集

SolarWindslog4jSpring4ShellKaseyaOpenSSL事件充分说明了此类攻击的危险性和有效性。

网络洞察 2023 | 供应链安全

错过的叫醒电话

供应链攻击并不新鲜。2013 年底标志性的Target 违规是供应链违规。攻击者使用从其暖通空调供应商 Fazio Mechanical Services 窃取的凭据进入 Target,即通过 Target 的供应链。

2018 年Ticketmaster违规事件是另一起供应链违规事件。Ticketmaster 软件供应商 Inbenta 遭到破坏,Inbenta 软件被修改和武器化。这是自动下载到 Ticketmaster 的。 

跳岛是供应链攻击的另一种形式。2017 年,Operation Cloud Hopper揭晓。这表明一个高级组织(可能是 APT10)正在破坏托管服务提供商以获取对 MSP 客户的访问权限。 

尽管发生了这些事件,但直到最近几年,在 SolarWinds 等更广泛的事件的推动下,该行业才开始意识到日益复杂和广泛的供应链问题所带来的全面威胁。但我们不应忘记,2017 年的NotPetya事件也是从供应链攻击开始的。乌克兰会计师事务所 MEDoc 的软件在传播到全球之前被武器化并由该公司的客户自动下载。SolarWinds 和 NotPetya 都被认为是民族国家行为者的作品。

2023 年及以后,各种形式的供应链攻击都将增加。VMware 的全球安全技术专家 Chad Skipper 特别呼吁指出:“到 2023 年,网络犯罪分子将继续使用跳岛技术,这种技术旨在劫持组织的基础设施以攻击其客户,在跳岛活动中,威胁行为者经常使用远程桌面协议将自己伪装成系统管理员。在我们进入新的一年之际,这是所有组织都应该首先考虑的威胁。”

攻击会增加

供应链攻击将在 2023 年及以后增加,这是对 2023 年最广泛的预测。只因一次泄露就泄露了特权信息,Code42 安全运营高级总监 Matt Jackson 解释道:“这种类型的攻击在 2021 年已经上升了 300% 以上,我预计这种趋势将在 2023 年继续,这些攻击将变得更加复杂和错综复杂。”

Proofpoint 的全球常驻 CISO Lucia Milică 担心,尽管到目前为止已经敲响了警钟,“我们距离拥有足够的工具来防范此类数字供应链漏洞还有很长的路要走。我们预计这些担忧将在 2023 年加剧,我们对第三方合作伙伴和供应商的信任将成为主要的攻击渠道之一。我们预计整体供应链关系会更加紧张,因为组织试图升级其供应商的尽职调查流程以更好地了解风险,而供应商则争先恐后地管理对其流程的压倒性关注。”

杰克逊补充说:“由于许多第三方合作伙伴现在比以往任何时候都掌握更多的敏感数据,公司不能再依靠自己的网络安全实力来保证信息安全。供应链攻击有目的地首先针对较小的组织,因为他们不太可能拥有强大的网络安全设置,并且他们可以利用这些公司来捕捞更大的鱼。明年,公司在决定与外部组织合作时将变得更加勤奋,从而增加合规性验证以审查这些潜在合作伙伴使用的网络工具。”

Armorblox 的联合创始人兼首席产品官 Anand Raghavan 扩展了这一主题。他说,““这变得尤为重要,对于拥有大型供应商、供应商和分销商生态系统的财富 500 强或全球 2000 强公司而言,这些公司的安全堆栈远不如大型组织成熟。大型组织可能会考虑要求所有供应商遵循某些安全最佳实践,包括如果他们想继续成为信誉良好的供应商,则对其电子邮件安全堆栈进行现代化改造。”

有趣的是,尽管有各种关于威胁升级的警告,Sophos 威胁研究高级经理 Christopher Budd 指出:“与两年前 SolarWinds 攻击将供应链攻击置于人们关注的高度不同,供应链攻击已经从显着位置消失了。” 这可能是一个误导性的前提。在广泛使用的软件中发现的漏洞(例如 log4j 漏洞)将被个人网络犯罪分子和民族国家行为者利用。

但是,针对 SolarWinds 的针对性攻击需要资源和技能。这些属性通常只存在于更高级的帮派和国家行为体中。这样的对手还有一个特点:耐心。Malwarebytes 的高级情报记者 Pieter Arntz 警告说:“今天和明天毫无疑问的威胁行为者已经表明他们可以玩长期游戏。”

Budd 还警告说,尽管他们目前并不突出(在撰写本文时,但明天可能会发生任何事情),“供应链可能会继续不收集新闻,类似于 2022 年。但它仍然是一个真正的威胁,并且是一个组织应该全面优先考虑,部分原因是有效应对这种威胁需要一种全面、谨慎、有条不紊的方法。”

软件供应链

供应链攻击的主要增长领域可能是软件供应链。Aqua 供应链安全高级主管 Eilon Elhadad 解释说:“在过去的几年里,更快地交付软件的压力越来越大,这扩大了攻击面并引入了严重的漏洞。”

支持大规模快速开发的新工具、语言和框架正成为恶意行为者的目标,他们了解攻击对软件供应链造成的广泛影响。

Elhadad 继续说道:“到 2023 年,软件供应链威胁将继续成为一个重要的关注领域。这些攻击具有更大的潜在爆炸半径,使黑客能够影响整个市场并对组织造成严重破坏。”

aDolus 的创始人兼首席技术官 Eric Byres 对此表示赞同。“软件供应链攻击将在 2023 年继续呈指数增长,这些攻击的投资回报率太高了,专业对手无法抗拒。” 他指出,供应链攻击在过去三年中增加了 742%。

许多软件供应链威胁来自对开源软件库的日益依赖,这是“更快地交付软件的压力越来越大”的一部分。Checkmarx 供应链安全负责人 Zack Zornstain 认为,软件威胁将特别影响开源供应。

“我们认为,由于恶意代码可能危及我们系统的安全,从勒索软件攻击到敏感信息的暴露等等,这种破坏开源软件包的威胁将会增加。我们希望将其视为网络公司和民族国家行为者使用的一般攻击媒介。SBOM 改编将有助于澄清我们在应用程序中使用哪些包,但我们将需要投资更多的控制以确保这些包的安全

LogRhythm 的副 CISO Kevin Kirkwood 警告说:“如果组织使用开源软件,他们应该对供应链攻击保持高度警惕,不良行为者检查代码及其组件,以彻底了解其缺陷以及利用它们的最有效方法。”

如果开源软件库的源代码存在漏洞,或者可能被不良行为者设计为存在漏洞,那么每家下载和使用该代码的公司都容易受到攻击。

Kirkwood 继续说道:“到 2023 年,我们将看到不良行为者攻击低门槛的开源供应商中的漏洞,目的是破坏使用第三方代码的全球供应链。攻击者将用恶意代码感染开源存储库和 Chromium 商店,并等待开发人员和其他最终用户前来获取新的源代码和插件。”

Venafi 的云原生解决方案总裁 Matt Barker 补充说:“我们看到许多易受攻击的代码实例被开发人员带入了他们的防火墙,他们试图使用来自 GitHub 的未经验证的代码或来自 Stack Overflow 的 copypasta 快速运行。”

他继续说道,“值得庆幸的是,我们已经达成了对这一领域的集体关注,并且在我们解决它的方式上看到了巨大的发展。到 2023 年,这种情况只会增加,因为我们会看到更多的初创企业涌现,并且 cosign 和 sigstore 等开源工具旨在帮助它。拜登的 SBOM 倡议帮助引起了人们对这一要求的关注,而 OpenSSF 在这方面处于领先地位。”

ArmorCode 产品副总裁 Mark Lambert 对此进行了扩展。“随着软件供应链变得越来越复杂,了解您间接使用哪些开源作为第三方库、服务 (API) 或工具的一部分至关重要。这就是 SBOM 发挥作用的地方,通过要求您的供应商披露所有嵌入式技术,您可以对这些库进行分析,以进一步评估您的风险并做出适当的反应。”

SBOM

拜登 2021 年 5 月关于改善国家网络安全的行政命令引入了软件材料清单 (SBOM) 的概念,即使实际上没有强制要求政府机构购买(或供应)的软件都附有材料清单,但实际上是有效的。它将 SBOM 描述为“包含构建软件中使用的各种组件的详细信息和供应链关系的正式记录”,类似于食品包装上的成分列表。

虽然 SBOM 在帮助软件开发人员准确了解他们使用的开源库中包含的内容方面的优势可能显而易见,但必须说并不是每个人都立即热衷于此。2022 年 12 月,一个代表亚马逊、微软、苹果、英特尔、AMD、联想、IBM、思科、三星、台积电、高通、Zoom 和 Palo Alto Networks 等主要科技公司的游说团体敦促 OMB“劝阻”机构免于要求 SBOM。该小组认为该要求为时过早且价值有限——但它并未要求放弃该概念。

问题在于编制和使用 SBOM 的复杂性和困难性——正是这些担忧将在 2023 年之前推动大量活动。行政命令中概述的概念的价值仍然没有减弱。 

Rezilion 漏洞研究主管 Yotam Perkal 解释道:“诸如 Log4shell [log4j] 和最近的 SpookySSL 漏洞 [CVE-2022-3602 和 CVE-2022-3786] 之类的事件将推动采用软件材料清单作为实现有效事件响应的核心组成部分,同时努力将继续完善 SBOM 生态系统(跨部门采用、工具、围绕 SBOM 共享和交换的标准化等)

Lambert 指出:“我在未来一年看到的一大挑战是,开发团队在交付软件时需要管理更多数据,到 2023 年,组织将需要一些方法来自动生成、发布和摄取 SBOM——他们将需要一些方法来将相关漏洞的修复纳入他们当前的应用程序安全程序中,而不必采用全新的工作流程。”

作为这一过程的一部分,Vicarius 的首席执行官兼联合创始人 Michael Assraf 说:“我们预测,一个名为二进制软件组成分析的新市场将会发展,它将寻找与预先打包的软件文件不同的软件文件,发货。自动化技术可以利用机器学习来发现这种差异,这对于了解您的风险所在以及您的攻击面可能有多大至关重要。”

NetRise 首席执行官 Thomas Pace 表示,“SBOM 将继续获得主流采用,不仅来自正在构建他们销售的产品的软件/固件供应商,还来自正在构建供内部使用的应用程序和系统的内部开发团队”

他补充说:“能够快速了解软件组件来源的需求变得越来越重要。没有这种可见性,攻击者利用这些漏洞的窗口就太大了,使网络防御者处于明显的劣势。谷歌等组织的大力努力以积极的方式推动了这一进程。诸如开源洞察之类的努力为最终用户和供应商提供了很多可见性,以扩展对这些组件的分析。”

SBOM生成和使用的问题还没有解决,但是热情还在。我们可以期待在整个 2023 年继续为这些流程的自动化付出大量努力。

尽管如此,卡巴斯基首席安全研究员 Kurt Baumgartner 警告说:“开源项目继续受到恶意代码的污染。人们对这些问题和挑战的认识有所提高,但攻击仍在大规模发生。尽管软件材料清单已尽最大努力,但复杂的依赖链有助于确保恶意代码在某些项目中暂时不受控制。”

实体供应链

尽管所有公司都需要通过他们为自己开发的代码来警惕潜在的软件供应链攻击,但我们不应忘记存在潜在的更具灾难性的物理供应链威胁。我们只需要考虑阻止粮食供应离开乌克兰(由于俄罗斯/乌克兰冲突)对全球粮食供应的影响,就可以看到这种潜力。新冠疫情还影响了许多不同的全球供应链,在早期造成恐慌性购买和普遍困扰。

这些不是网络攻击的结果——但许多实体供应链可能会因网络攻击而中断。殖民地管道事件虽然是出于经济动机的攻击,但对美国东部的石油供应产生了直接影响。乌克兰/俄罗斯冲突持续的时间越长,东西方的紧张局势加剧,到 2023 年甚至更久,实体供应链网络中断的可能性将同样增加。

BlueVoyant 外部网络评估主管 Lorri Janssen-Anessi 指出,在公用事业和能源领域,“99% 的能源公司表示,他们在过去一年中至少受到一次供应链漏洞的负面影响,这是最高的对任何其他行业的整体影响。因为它仍然是最常受到攻击的垂直行业之一,所以它在 2023 年迎接供应链防御的挑战尤为重要。”

nVisium 高级应用程序安全顾问 Taylor Gulley 评论说:“过去几年表明,数字供应链和物理世界供应链都非常脆弱。这种脆弱性是由于经济限制或技能差距导致的冗余和资源不足。到2023年,这种情况仍将成立。供应链安全是一个需要加强的薄弱环节。”

解决方案和前进方向

Cybereason 的 CSO Sam Curry 认为 SBOM 将成为解决软件供应链问题的重要组成部分。“如果认为有数以千计值得信赖的软件和服务提供商可供选择……认为少数已知的供应链妥协就是它们的总和,那就太天真了。第 2023 号将向我们展示更多,我们将很幸运能够了解它们,因为攻击者可以悄悄地利用这些而不会泄露他们的手。 

他补充说,“我们需要在 2023 年保持创新和警惕,找到供应链问题的新答案,建立软件材料清单,与构建我们软件的男性和女性一起创新,并找到解决方案来阻止,以检测并消除导致这种最阴险和信任侵蚀的攻击的漏洞和风险。”

德勤美国网络风险安全供应链负责人 Sharon Chand 认为,软件供应链安全将需要对入站打包软件和固件组件中的第三方风险和漏洞进行持续实时监控。“例如,这包括围绕摄取 SBOM 实施领先的实践技术并将输出与新出现的漏洞相关联,识别风险指标,例如基础组件的地理来源,并提供对传递依赖性的可见性。”

Vectra AI 的 EMEA 首席技术官 Christian Borst 建议,整个软件行业都需要协作与合作。“整体方法可能有助于扭转局面:供应链意味着伙伴关系——伙伴关系意味着协作和相互支持。只有作为具有一致弹性的“网状”互连结构,公司才能在数字经济中蓬勃发展。这包括确保他们审查链中所有人员的安全政策。”

JupiterOne 的 CISO Sounil Yu 做了一个恰当的总结,引用了 Richard Danzig 于 2014 年 7 月撰写的一篇论文(靠毒果生存:降低美国网络依赖的国家安全风险)。Yu 说:“借用 Richard Danzig 的类比,我们在软件供应链方面正在吃有毒的水果。这种毒素不会消失,所以我们需要学习如何在这些条件下生存和发展。通过 SBOM 等努力意识到风险,并通过出口过滤等补偿性控制来管理风险,将是 2023 年和可预见的未来的优先事项。”

来源:安全周刊


>>>等级保护<<<

  1. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  2. 回看等级保护:重要政策规范性文件43号文(上)
  3. 网络安全等级保护:安全管理中心测评PPT
  4. 网络安全等级保护:等级保护测评过程要求PPT
  5. 网络安全等级保护:安全管理制度测评PPT
  6. 等级保护测评之安全物理环境测评PPT
  7. 网络安全等级保护:工业控制安全扩展测评PPT
  8. 网络安全等级保护:第三级网络安全设计技术要求整理汇总
  9. 网络安全等级保护:等级测评中的渗透测试应该如何做
  10. 网络安全等级保护:等级保护测评过程及各方责任
  11. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  12. 网络安全等级保护:什么是等级保护?
  13. 网络安全等级保护:信息技术服务过程一般要求
  14. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  15. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  16. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  17. 闲话等级保护:测评师能力要求思维导图
  18. 闲话等级保护:应急响应计划规范思维导图
  19. 闲话等级保护:浅谈应急响应与保障
  20. 闲话等级保护:如何做好网络总体安全规划
  21. 闲话等级保护:如何做好网络安全设计与实施
  22. 闲话等级保护:要做好网络安全运行与维护
  23. 闲话等级保护:人员离岗管理的参考实践
  24. 网络安全等级保护:浅谈物理位置选择测评项
  25. 信息安全服务与信息系统生命周期的对应关系
  26. >>>工控安全<<<
  27. 工业控制系统安全:信息安全防护指南
  28. 工业控制系统安全:工控系统信息安全分级规范思维导图
  29. 工业控制系统安全:DCS防护要求思维导图
  30. 工业控制系统安全:DCS管理要求思维导图
  31. 工业控制系统安全:DCS评估指南思维导图
  32. 工业控制安全:工业控制系统风险评估实施指南思维导图
  33. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  34. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  35. >>>数据安全<<<
  36. 数据安全风险评估清单

  37. 成功执行数据安全风险评估的3个步骤

  38. 美国关键信息基础设施数据泄露的成本

  39. VMware 发布9.8分高危漏洞补丁

  40. 备份:网络和数据安全的最后一道防线

  41. 数据安全:数据安全能力成熟度模型

  42. 数据安全知识:什么是数据保护以及数据保护为何重要?

  43. 信息安全技术:健康医疗数据安全指南思维导图

  44. >>>供应链安全<<<

  45. 美国政府为客户发布软件供应链安全指南
  46. OpenSSF 采用微软内置的供应链安全框架
  47. 供应链安全指南:了解组织为何应关注供应链网络安全
  48. 供应链安全指南:确定组织中的关键参与者和评估风险
  49. 供应链安全指南:了解关心的内容并确定其优先级
  50. 供应链安全指南:为方法创建关键组件
  51. 供应链安全指南:将方法整合到现有供应商合同中
  52. 供应链安全指南:将方法应用于新的供应商关系
  53. 供应链安全指南:建立基础,持续改进。
  54. 供应链安全:映射供应链
  55. 思维导图:ICT供应链安全风险管理指南思维导图
  56. 英国的供应链网络安全评估
  57. >>>其他<<<

  58. 网络安全十大安全漏洞

  59. 网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图

  60. 网络安全等级保护:应急响应计划规范思维导图

  61. 安全从组织内部人员开始

  62. 影响2022 年网络安全的五个故事

  63. 2023年的4大网络风险以及如何应对
  64. 网络安全知识:物流业的网络安全
  65. 网络安全知识:什么是AAA(认证、授权和记账)?
  66. 网络安全知识:如何打破密码依赖循环
  67. 面向中小企业的 7 条网络安全提示

原文始发于微信公众号(祺印说信安):网络洞察 2023 | 供应链安全

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月25日16:03:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络洞察 2023 | 供应链安全https://cn-sec.com/archives/1571313.html

发表评论

匿名网友 填写信息