根据Argon Security的一项研究,与2020年相比,2021年的软件供应链攻击增长了300% 以上。
根据这项研究,研究人员发现攻击者主要关注开源漏洞和中毒、代码完整性问题,以及利用软件供应链流程和供应商信任分发恶意软件或后门。他们发现,跨软件开发环境的安全级别仍然很低,而且值得注意的是,每一家被评估的公司都有漏洞和配置错误,这些都可能使他们暴露在供应链攻击之下。
调查结果基于Argon研究人员对客户安全评估进行的为期六个月的分析,以确定企业安全状态和防御软件供应链攻击的准备情况。
Argon公司客户成功与销售高级总监Eran Orzel表示:“过去一年的攻击数量和单一攻击的广泛影响凸显了应用程序安全团队面临的巨大挑战。不幸的是,大多数团队都缺乏应对供应链攻击的资源、预算和知识。此外,要解决这种攻击向量,AppSec团队需要开发团队和DevOps团队的合作。”
三个主要的风险领域
1. 漏洞包的使用:
开源代码几乎是商业软件的一部分。许多正在使用的开源软件包都存在漏洞,升级到更安全版本的过程需要开发团队和DevOps团队的努力。这是实施供应链攻击增长最快的方法之一。
有两种常见的攻击利用存在安全问题的软件包:
利用现有漏洞——利用包的现有漏洞来获取对应用程序的访问权限并执行攻击。(例如:最近的Log4j网络攻击)
包中毒——在流行的开源包和私有包中植入恶意代码,以诱骗开发人员或自动化管道工具将它们合并为应用程序构建过程的一部分。(示例:us-parser-js包中毒)
2. 受损的管道工具:
攻击者可以利用CI/CD管道基础设施(例如源代码管理系统、构建代理、包注册表和服务依赖项)中的特权访问、错误配置和漏洞,从而提供对关键IT基础设施、开发过程、源代码和应用程序的访问。
受损的CI/CD管道可能会暴露应用程序的源代码,即应用程序、开发基础设施和流程的蓝图。它使攻击者能够在构建过程中更改代码或注入恶意代码并篡改应用程序(例如SolarWinds)。
这种类型的漏洞很难识别,在被发现和解决之前可能会造成很大的损害。攻击者还使用被破坏的包注册中心来上传被破坏的构件,而不是合法的构件。此外,还有许多外部依赖关系连接到管道上,可以用来访问管道并发起攻击(例如Codecov)。
3. 代码/组件完整性:
Argon研究中确定的主要风险领域之一是将不良代码上传到源代码存储库,这直接影响组件质量和安全状况。在大多数客户环境中发现的常见问题是代码中的敏感数据(秘密)、代码质量和安全问题、基础设施即代码问题、容器映像漏洞和错误配置。在许多情况下,发现的问题数量众多,需要专门的清理项目来减少暴露,例如秘密清理、标准化容器映像等。
“软件供应链流程是现代应用程序开发生命周期的核心组成部分。让这种广泛的攻击向量处于开放状态,可能会严重降低公司的应用程序安全状况,甚至可能会暴露敏感数据并在运行时为应用程序创建额外的入口点,”Orzel称。
保护软件供应链
为了解决这个问题,安全团队需要加强与DevOps团队的协作,并在开发过程中实现安全检测自动化,如静态代码检测等。组织应采用新的安全解决方案,来保护软件开发过程免受这一波新的复杂攻击。
文章来源:
