供应链攻击：如何减少开源漏洞?

当您了解到2021年第一季度的软件供应链攻击比2020年第四季度增加了42%的时候，您可能会认为网络安全问题与传统的供应链有关。许多人把供应链看作是卡车和船上的产品箱。软件公司不像几十年前那样运送他们的最新产品的实体CD。相反，他们的供应链现在是他们发送产品时的互联网和云。如今，云实际上是为公司提供新的应用程序和更新的“卡车”。

这意味着威胁行为者可以在这些系统和方法中找到漏洞。通常，攻击会在管理员下载新应用或更新现有应用时开始。从那里，恶意软件将自己嵌入到应用程序中。有时员工甚至没有意识到这个错误——或者即使他们意识到的时候，已经太晚了。

几乎每个组织都使用多个应用程序来运行其业务。因此，软件供应链攻击有可能广泛存在且具有非常强的破坏性。看看是什么导致了这些攻击类型的增加，以及企业可以采取什么措施来防范它们。

开源问题与供应链网络安全

最大的问题之一是，许多组织都依赖于开源的供应链应用程序。2019年至2020年间，对开源代码的攻击增加了430%。并非所有这些攻击都与供应链有关。然而，许多软件公司用来分发其产品的系统都是开源的。这意味着供应链相关问题的数量可能会增加。威胁行为者对开源代码的攻击更加熟练。

要了解这个问题的普遍性，请查看《Contrast Security2021年开源安全状况报告》。研究发现，平均应用程序包括118个库，其中只有38%的库是活动状态。这将给恶意软件或恶意代码插入到非活动库而检测不到的情况下带来重大风险。因为库的平均年龄是2.5年，应用程序在旧库中可能存在未发现的问题。该报告还发现，平均每个Java应用程序包含50个开源库漏洞。这意味着每个库都有16%的机会被攻击者打开。

用红队测试对抗供应链攻击

因为现实世界的经验是学习团队合作和实时使用控制的最佳方式，所以组织越来越多地转向对手的模拟活动，以减少供应链攻击的影响。在这些测试中，一个“红色”的团队使用了与威胁行为者所使用的相同的战术、技术和程序。“蓝色”团队会对来自红队的攻击做出反应，他们将通过打击威胁行为者目前使用的相同工具来获得有价值的知识。

这些事件的最大好处是，您的团队可以直接了解攻击的具体情况。从这些模拟事件中，他们可以开发制定如何以最有效的方式响应攻击的详细过程。通过这些测试，蓝色团队可以减少检测的平均时间和平均响应时间。通过执行这两种操作，它们可以限制开放源代码开放对供应链攻击的损害。当研究合作伙伴进行攻击测试的时候，寻找一个可以提供关于团队性能的详细反馈的人，您可以使用这些反馈来更改流程和工具。

减少依赖混淆问题

一个新的问题正在出现，这可能与供应链攻击的增加有关——依赖混淆。在其应用程序中使用内部和第三方库的组织面临着通过依赖混淆而遭受供应链攻击的危险，即攻击者在外部库上创建一个假包。该包与内部库中的包的名称相同，因此当内部库正确的包不可用时，包管理器会选择它。虽然以前类似的攻击依赖于开发人员错误拼写了包名，但对于威胁行为者来说，依赖混淆更可靠，破坏性更强，在攻击自动化时更是如此。

防止依赖混淆的最佳保护措施是提高库、包和依赖项的可见性和安全性。当您保护系统的库和包的名称时，威胁行为者就不太可能创建一个具有重复名称的假包。通过使用支持命名空间模块的包管理器，您可以减少依赖混淆的攻击，因为具有相同名称的包不能在两个不同的地方使用。其他策略包括只使用信誉良好的开源库并且应该要求开发人员在安装前验证包的来源。

面向未来的工具

由于云很可能仍然是未来软件的交付方式，因此在可预见的未来，供应链攻击将是一个相当大的问题和挑战。安装新应用程序和更新应用程序是企业和消费者每天都在做的事情，通常是没有任何疑虑的。通过仔细评估您用于交付软件产品的过程和工具，您可以预防和减少这些类型的攻击的数量和影响。

来源网站：https://securityintelligence.com/ 沃通WoTrus原创翻译整理，转载请注明来源