說到應用程序和軟件，關鍵詞是“更多”。在數字經濟需求的推動下，從簡化業務運營到創造創新的新收入機會，企業越來越依賴應用程序。云本地應用程序開發更是火上澆油。然而，情況是雙向的：這些應用程序通常更復雜，使用的開放源代碼比以往任何時候都包含更多的漏洞。此外，威脅行為者正在創造和使用更多的攻擊方法和技術，通常是組合在一起的。

最終，我們得到了各種攻擊機會的大雜燴，威脅行為者知道這一點。事實上，Mend.io最近發布的關于軟件供應鏈惡意軟件的報告顯示，從2021年到2022年，發布到NPM和RubyGems上的惡意包數量躍升了315%。這些攻擊通常會危及受信任的供應商。

正是因為他們利用了可信的關系，他們可能很難被發現和擊退。

那么，如何防御它們呢？

軟件供應鏈攻擊是如何運作的

軟件供應鏈是為應用程序提供軟件組件的供應商和供應商的網絡。敵手侵入第三方軟件以獲取對您的系統和代碼庫的訪問權限。然后，他們在你的供應鏈中橫向移動，直到他們到達預期的目標。

一般來說，軟件供應鏈攻擊遵循一系列階段。

偵察

惡意行為者研究他們的目標并識別供應鏈中的漏洞。這涉及到收集關于供應鏈中的供應商、供應商和合作伙伴的信息。

最初的妥協

第一次接觸到供應鏈中的薄弱環節，如第三方供應商或供應商。它可能涉及網絡釣魚和其他社交工程，以誘騙員工提供訪問憑據。

橫向運動

一旦進入供應鏈，攻擊者就會試圖使用被盜的憑據或利用漏洞等手段訪問其他系統或數據。

特權升級

攻擊者試圖獲得對目標企業內的關鍵系統的管理訪問權限，如域控制器或其他保存敏感數據的服務器。

數據外泄

數據或知識產權被盜，或造成其他破壞。

通過了解這些階段，您可以采取措施在軟件供應鏈攻擊造成重大破壞之前檢測、減輕和防止它們。

軟件供應鏈安全漏洞的常見原因

代碼審查和測試不足，導致漏洞未被檢測到。企業應實施全面的代碼審查和測試流程，以識別和緩解任何潛在的安全問題。

過時/未打補丁的軟件使系統容易受到攻擊者利用的已知安全漏洞的攻擊。

設計不佳的訪問控制和薄弱的身份驗證允許攻擊者輕松獲得對敏感系統和數據的未經授權訪問。

薄弱的加密和不安全的通信使數據泄露變得很容易。

如果企業沒有工具或專業知識來有效地監控和檢測威脅，缺乏對供應鏈的可見性就會增加暴露在潛在問題中的風險。這是也構成威脅的一些隱藏漏洞中的第一個。

其他包括：

隱藏的漏洞：

第三方依賴項：應用程序通常依賴于第三方庫和組件，如果管理不當，可能會引入漏洞。這些可能很難檢測到，特別是當企業對源代碼的可見性很差的時候。

軟件供應商缺乏多樣性：如果企業依賴于單一的軟件供應商，并且無法了解其安全實踐，那么它就無法有效地檢測隱藏的漏洞。

針對開源軟件的攻擊之所以發生，是因為企業大量使用開源軟件，以至于它是一個巨大的攻擊面。

如何評估供應鏈安全？

確定軟件供應商和合作伙伴

生成軟件材料清單(SBOM)-所有供應商、承包商和其他合作伙伴的清單，檢查他們的安全策略和控制，以及他們是否符合法規。

進行風險評估并制定補救計劃

包括可靠的軟件測試和增強安全意識。

審查并實施您的控制和策略

確保您的策略符合安全要求。檢查訪問控制和數據保護，以防止未經授權的訪問、加強保密性、限制攻擊面并降低第三方風險。

增強加密和安全通信的能力

評估和重新設計供應鏈架構

以提高供應鏈可見性，更好地識別和管理潛在問題、惡意活動、第三方風險，并確保滿足合規和監管要求。

構建全面的安全方法

結合使用漏洞掃描儀、終端保護軟件、網絡安全工具、身份和訪問管理以及特定的軟件供應鏈工具，以及員工培訓和響應規劃。

用于加強安全性的工具

在下一篇文章中，我將介紹如何成功地做到這一點，以及您應該如何使用這些工具來加強軟件和應用程序的安全性。

虹科推薦

虹科軟件組成分解決方案

虹科Mend是唯一一款旨在讓安全團隊完全控制整個組織的開源使用情況的 SCA 工具。使用 Mend.io，您可以在所有開發人員和應用程序中實施策略，以消除開源許可風險并更新易受攻擊的軟件包。

· 減少MTTR：通過自動拉取請求加速修復，以快速修復開源漏洞。

·停止惡意軟件包：檢測和消除現有代碼庫中的惡意軟件包，并阻止它們進入新的應用程序與Mend的360°惡意軟件包保護。

·消除誤報：確保您的開發人員關注真正的風險。Mend SCA檢測漏洞是否實際可訪問，指示非可利用漏洞，以便可以安全地忽略它們。

·大規模快速部署：在不到一個小時的時間內，跨越所有開發中的應用程序為數千名開發人員實現SCA。

·確保完全采用：確保100%采用Mend SCA，并通過選擇在每次代碼提交后都要求掃描來提高整體風險的降低。

·持續監控并確定優先順序

訪問控制、風險管理和設計將限制已知漏洞的影響，但是如何確定沒有已知漏洞所存在的風險，自動化依賴項更新十分重要。高級的依賴性更新產品將創建一個拉取請求，以便自動合并更新。您的基礎設施、容器和應用程序代碼也應該自動更新。自動掃描是至關重要的，但它不能涵蓋所有內容。SCA能夠做到不斷監視漏洞并確定其優先級，當一些組件過時或有新的漏洞時將會被標記。