近年来,网络攻击手段与防御体系同步演进(这完全在意料之中)。攻击者不断寻找并发现新的创新方式来窃取资产和数据——从针对终端用户的攻击(如凭证窃取和基于浏览器的恶意软件)到利用API和云原生服务的云端攻击。
不幸的是,网络攻击者也发现了通过软件入侵我们的途径——这无疑是许多企业环境中最薄弱的环节。我们必须正视现实:绝大多数大型企业都没有准确或最新的软件清单,而我们对开发、打包并交付这些软件的开发者往往知之甚少。
即便我们从大型知名供应商处购买软件,也无法保证攻击者未曾渗透其系统环境,并在软件制造商不知情的情况下植入恶意程序。这种风险在与小型企业及初创公司合作时更为突出——无论是使用封装软件、SaaS服务还是开源供应商的产品皆是如此。, 或其他云服务——由于它们缺乏专门用于软件安全的资源。
简而言之,软件供应链一团糟。
软件供应链攻击的实例
若在IT安全圈提及"SolarWinds",你很可能会换来摇头和皱眉——是的,情况就是如此糟糕。他们被攻陷,他们发布了漏洞,我们随之沦陷,整个过程堪称恶意软件分发供应链的典范案例。
我们目睹了Log4j漏洞在开发环境中造成的毁灭性影响,如今攻击者正将受损的软件包和内容上传至软件包仓库。最近出现的XZ Utils漏洞事件——与SolarWinds、Log4j或Codecov事件不同——攻击者通过社会工程学手段,成功入侵了Linux系统中广泛使用的开源数据压缩工具的后门。
第三方安全漏洞同样不会减少。除非我们开始掌握以下关键信息:软件的供应商是谁、在环境中的部署位置、具备哪些权限、能够访问哪些资源——最重要的是,我们能否从根本上信任这些软件。
缓解软件供应链攻击
目前业界正开展多项重大举措以强化软件供应链安全。 众多IT安全与软件行业从业者,以及整个风险管理社群,都倡导组织机构应发布并维护软件物料清单(SBOM),以便在客户要求时予以披露。SBOM是构建软件所需组件、库及模块的正式结构化清单。通过列举软件组件,SBOM能更深入地揭示软件本身的潜在漏洞状况。
部分软件制造商抵制创建SBOM,很可能是担心这会泄露敏感知识产权。然而众所周知,开源技术早已无处不在。SBOM并非源代码,而是构建软件所用包和组件的清单——其中许多组件多年来一直存在严重安全漏洞。美国政府正大力推动SBOM应用,该技术有望在不久的将来成为第三方风险管理监测与报告的核心要素。
该行业的其他重点领域包括创建软件供应链攻击工作流(如MITRE ATT&CK)、通用漏洞报告机制以及软件缺陷的语法规范。
缓解软件供应链安全事件风险的四项最佳实践
这一最新漏洞再次提醒企业,应制定第三方事件响应计划,以便迅速评估软件供应链漏洞对第三方供应商的影响。以下是四项值得考虑的最佳实践:
1. 建立所有供应商的集中化清单。
这将使您能够根据供应商所提供服务的关键程度进行分级和评估,并量化违规行为的发生概率及影响程度。精确的评估与分级机制还允许您根据供应商的等级动态调整持续尽职调查的力度——高风险供应商(例如其失误可能导致贵公司运营中断的供应商)将获得最高级别的关注。
2. 了解哪些供应商正在使用受影响的技术。
在资产清点过程中收集供应商生态系统中部署的第三方技术,有助于根据特定技术使用情况识别贵组织与第三方之间的关联关系。这将帮助您可视化企业内部的攻击路径,并采取主动缓解措施。您可通过定向评估或被动扫描实现此目标。
3. 评估第三方业务韧性与连续性计划。
主动与供应商开展合作,采用符合行业公认供应链安全标准(如NIST 800-161和ISO 27036)的简明精准评估方案。评估结果将帮助您锁定所需整改措施,以弥补潜在安全漏洞。优质解决方案会提供内置建议,加速整改流程,快速填补安全缺口。
4. 持续监控供应商和供货商以确保可视性,包括网络安全态势、负面新闻及网络攻击事件。
持续警惕下一次攻击意味着要捕捉即将发生的安全事件的信号。监控犯罪论坛、洋葱网页、暗网特殊访问论坛、威胁情报源、泄露凭证的粘贴网站、安全社区、代码仓库以及漏洞和黑客/入侵数据库至关重要。您可以单独监控这些来源,或寻找能将所有情报整合到单一解决方案的工具,从而使所有风险集中化并呈现在企业视野中。
获取更多保护软件供应链的安全建议
我已与Prevalent合作推出软件供应链安全最佳实践网络研讨会,深入探讨成熟的第三方风险管理策略如何助您有效应对针对IT供应商的攻击。请观看下方《如何评估软件供应商的网络安全能力 》视频。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
