软件供应链安全

越来越多的威胁行为者将供应链攻击视为进入企业网络的切入点。

2017年，攻击者破坏了Avast的一个软件构建系统，并使用该公司的CCleaner软件传播恶意软件。

2019年，一个名为“钡”的威胁参与者闯入了硬件制造商华硕的一个自动软件更新系统，并利用该访问渠道向华硕系统的客户传播恶意软件。这个恶意软件——作为shadowwhammer操作的一部分发布，最终在超过40万个系统上执行。

虽然这些攻击引起了相当大的关注，但是SolarWinds披露的漏洞及Kaseya供应链攻击事件才逐渐真正引起人们对供应链安全问题的高度关注。

2020年SolarWinds
网络管理公司遭到网络攻击，攻击者发动针对该公司客户的供应链攻击活动，客户群体包括美国财富500强公司中的至少425家企业、美国十大通信公司、美国陆军所有分支、五角大楼、NASA、NSA、邮政服务、司法部以及美国总统办公室。

2021年7月，软件制造商 Kaseya
VSA的基础设施遭到勒索软件破坏。据称至少有1000家企业受到影响，使这次事件成为历史上最大的勒索软件攻击之一。

什么是供应链攻击?

供应链攻击是一种面向软件开发人员和供应商的新兴威胁。目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。在软件供应链中，上游的安全问题会传递到下游并被放大。值得注意的是在供应链攻击中受到攻击的是上游厂商，受到威胁的则是上下游厂商。

在供应链攻击中，攻击者主要搜索存在漏洞的软件、不安全的网络协议、未受保护的服务器基础结构和不安全的代码。它们在生成和更新过程中会中断、更改源代码并隐藏恶意软件。

由于软件由受信任的供应商生成和发布，因此这些应用和更新已经过签名和认证。在软件供应链攻击中，但供应商并不知道他们的应用程序或更新在公开发布时受到恶意代码感染，因此恶意代码以与应用相同的信任和权限运行工作。

软件供应链目前情况

Sonatype发布《2021年软件供应链状况报告》中数据显示，供应链攻击呈指数级增长，2021世界上软件供应链攻击增加了650%。开源漏洞在流行项目中最为普遍，29%的流行项目至少包含一个已知的安全漏洞。开源组件的使用增加，其安全性已经成为影响软件供应链安全的重要一环。

不安全的代码或组件为软件安全带来潜在风险。2021年6月，谷歌发布了新框架SLSA应对供应链攻击。谷歌表示，这是一套验证代码来源并实现代码标识的审计工具，以确定部署的产品软件是否经过了适当的审查和授权。

“供应链各级软件神器”(SLSA)，是端到端框架，旨在确保软件开发和部署流水线即，源代码➞构建➞发布工作流程，并减轻了在链条的每个环节上篡改源代码、构建平台和工件存储库所产生的威胁。

软件供应链安全相关法规

近年来，我国先后颁布的《中华人民共和国网络安全法》、《网络安全审查办法》、《关键信息基础设施安全保护条例》等政策法规强调加强软件供应链安全保障。

2021年5月12日，美国发布了《关于改善国家网络安全》的第14028号行政命令(EO)，明确要求美国联邦政府加强软件供应链安全管控，迅速提高软件供应链的安全性和完整性。今年5月，美国国家标准与技术研究院
(NIST)更新了解决软件供应链风险的网络安全指南，该指南帮助组织将网络安全供应链风险考虑因素和要求纳入其采购流程，并强调监控风险的重要性。

保护软件供应链安全

保护软件安全的出发点是对组织架构的全面了解。通过清楚软件供应链中的关键内容，了解软件中都有什么来更准确地做出相关防御。另一个需要注意的是，CISO和DevSecOps团队需要关注软件中的代码安全及在开发过程中对开源组件的依赖。

面对软件供应商：

是否进行了软件检测?

供应商如何评估其软件的安全性?

供应商如何检查其软件产品中的漏洞?

供应商如何保护其网络和设备?

SaaS供应商是否符合企业安全合规?

面对开源代码：

1. 创建和维护软件物料清单

2. 确定代码创建位置的安全级别

3.加强软件代码安全检测，包括开源组件代码及自研代码

采用制定的战略方法来管理供应链的网络安全和更第三方开源组件存在的安全及合规等问题，这样可以通过网络评估提高对供应链的信心，降低网络风险。

本文作者：中科天齐软件安全

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/179508.html