随着开源软件的激增和供应链攻击的日益普遍,公司必须考虑三种基本策略来加强其软件安全。
继2023年 MOVEit 和 3CX 软件中出现令人震惊的漏洞之后,网络安全社区面临着不断升级的软件供应链攻击危机。
这些攻击已成为威胁行为者的有力武器,他们试图渗透和操纵软件提供商的网络,以引入恶意代码。随后,当受感染的软件通过更新或安装程序分发给毫无戒心的客户时,它为未经授权的活动铺平了道路,包括数据盗窃和劫持。
软件供应链攻击的年均增长率惊人
研究机构Sonatype 的一份报告显示,2019年至2022年间,软件供应链攻击的年均增长率惊人,达到惊人的742%。不幸的是,专家们预计这种趋势不会很快逆转。
这些漏洞的严重性可归因于它们与现代网络威胁格局的两个关键要素的交集:攻击的复杂性增加和数字化程度的提高,新冠疫情大流行和新兴技术加速了这一进程。
最近的事件,如2019年的SolarWinds入侵、2021年的 Kaseya和Log4j攻击,展示了供应链攻击的深远影响。
SolarWinds透露,多达18,000 名客户可能在不知不觉中下载了恶意软件,而 Kaseya 勒索软件攻击影响了1,500家公司并要求支付5000 万美元的赎金。
Log4j漏洞在前7天内见证了近130万次利用尝试,此类漏洞的后果可能会持续数年甚至数十年。
而缓解软件供应链攻击既复杂又昂贵。IBM 的《2023 年数据泄露成本报告》披露,此类泄露的平均成本为463 万美元,比其他数据泄露原因高出8.3%。检测和遏制供应链漏洞平均需要294天,比其他安全漏洞长8.9%。
不同来源开源代码构成了软件供应链易收到攻击
供应链安全是当今企业 IT 组织面临的最重要的优先事项之一,尤其是随着越来越多的关键业务系统和应用程序整合或利用开源工件。
英国和美国的网络安全组织最近都提出了建议,以帮助公司应对近年来供应链攻击增加导致的威胁。美国国家标准与技术研究院 (NIST) 于2022年 9 月发布了全面的指南,以帮助软件企业抵御供应链威胁。同样,英国国家网络安全中心(NCSC)在2022年10月发布了类似的建议,以帮助企业有效地评估其供应链的网络安全并获得信心。预计这一建议将很快成为行业规范。
随着与开源软件相关的安全漏洞、勒索软件攻击和其他网络犯罪的增加,世界各地的政府领导人都在呼吁私人和公共合作。由于开源软件至少占所有软件的70%(Synopsys的“2020年开源安全和风险分析报告”),开源社区需要提供了一个自然的、中立的和泛行业的论坛,以加速软件供应链的安全。
开源安全基金会(OpenSSF),一个跨行业的合作,将多个开源软件计划汇集在一个保护伞下,以识别和修复开源软件中的网络安全漏洞,并开发改进的工具,推进培训、研究、最佳实践和漏洞披露实践。专家认为,“确保软件供应链的安全没有单一的灵丹妙药。研究、培训、最佳实践、工具和协作需要我们社区中成千上万的批判性思维的集体力量。”
红帽可信软件供应链解决方案,该解决方案可增强对软件供应链漏洞的抵御能力。借助红帽可信软件供应链,客户可以使用成熟的平台、可信内容以及实时安全扫描和修复,更快速、更高效地编写、构建和监控软件。
软件供应链的转型及其重要
软件供应链的转型在这种格局中发挥了关键作用。传统上,很大一部分代码是从头开始编写的,但今天的数字生态系统严重依赖开源软件、软件社区内的协作以及生成式人工智能等技术。这些不同的来源的代码共同构成了软件供应链,每个元素都引入了新的安全漏洞。
为了保护其软件供应链,组织必须采用三个关键策略:
第一,实施软件物料清单(SBOM),全面清点整个供应链中使用的所有软件组件,从而实现快速漏洞修复。
第二对所有组件中公开披露的网络安全漏洞进行持续扫描,从开发早期阶段到运行时。
第三,实施零信任策略,以限制对资源的未经授权的访问,特别是应对利用未知漏洞的零日攻击。
该研究预测,到2025年,45%的组织将遭受软件供应链攻击,公司必须立即采取措施了解其软件组成,严格审核其代码,并在整个生态系统中采用零信任原则。
如果未能采取强有力的策略来记录和解决供应链中的漏洞,可能会导致重大的财务损失和声誉受损。
