0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

軟件供應(yīng)鏈攻擊如何工作?如何評估軟件供應(yīng)鏈安全?

虹科網(wǎng)絡(luò)可視化技術(shù) ? 2023-09-04 16:20 ? 次閱讀

說到應(yīng)用程序和軟件,關(guān)鍵詞是“更多”。在數(shù)字經(jīng)濟需求的推動下,從簡化業(yè)務(wù)運營到創(chuàng)造創(chuàng)新的新收入機會,企業(yè)越來越依賴應(yīng)用程序。云本地應(yīng)用程序開發(fā)更是火上澆油。然而,情況是雙向的:這些應(yīng)用程序通常更復(fù)雜,使用的開放源代碼比以往任何時候都包含更多的漏洞。此外,威脅行為者正在創(chuàng)造和使用更多的攻擊方法和技術(shù),通常是組合在一起的。


最終,我們得到了各種攻擊機會的大雜燴,威脅行為者知道這一點。事實上,Mend.io最近發(fā)布的關(guān)于軟件供應(yīng)鏈惡意軟件的報告顯示,從2021年到2022年,發(fā)布到NPM和RubyGems上的惡意包數(shù)量躍升了315%。這些攻擊通常會危及受信任的供應(yīng)商。


正是因為他們利用了可信的關(guān)系,他們可能很難被發(fā)現(xiàn)和擊退。

那么,如何防御它們呢?

軟件供應(yīng)鏈攻擊是如何運作的

軟件供應(yīng)鏈是為應(yīng)用程序提供軟件組件的供應(yīng)商和供應(yīng)商的網(wǎng)絡(luò)。敵手侵入第三方軟件以獲取對您的系統(tǒng)和代碼庫的訪問權(quán)限。然后,他們在你的供應(yīng)鏈中橫向移動,直到他們到達預(yù)期的目標。

一般來說,軟件供應(yīng)鏈攻擊遵循一系列階段。

偵察

惡意行為者研究他們的目標并識別供應(yīng)鏈中的漏洞。這涉及到收集關(guān)于供應(yīng)鏈中的供應(yīng)商、供應(yīng)商和合作伙伴的信息。

最初的妥協(xié)

第一次接觸到供應(yīng)鏈中的薄弱環(huán)節(jié),如第三方供應(yīng)商或供應(yīng)商。它可能涉及網(wǎng)絡(luò)釣魚和其他社交工程,以誘騙員工提供訪問憑據(jù)。

橫向運動

一旦進入供應(yīng)鏈,攻擊者就會試圖使用被盜的憑據(jù)或利用漏洞等手段訪問其他系統(tǒng)或數(shù)據(jù)。

特權(quán)升級

攻擊者試圖獲得對目標企業(yè)內(nèi)的關(guān)鍵系統(tǒng)的管理訪問權(quán)限,如域控制器或其他保存敏感數(shù)據(jù)的服務(wù)器。

數(shù)據(jù)外泄

數(shù)據(jù)或知識產(chǎn)權(quán)被盜,或造成其他破壞。

通過了解這些階段,您可以采取措施在軟件供應(yīng)鏈攻擊造成重大破壞之前檢測、減輕和防止它們。

軟件供應(yīng)鏈安全漏洞的常見原因

代碼審查和測試不足,導(dǎo)致漏洞未被檢測到。企業(yè)應(yīng)實施全面的代碼審查和測試流程,以識別和緩解任何潛在的安全問題。

過時/未打補丁的軟件使系統(tǒng)容易受到攻擊者利用的已知安全漏洞的攻擊。

設(shè)計不佳的訪問控制和薄弱的身份驗證允許攻擊者輕松獲得對敏感系統(tǒng)和數(shù)據(jù)的未經(jīng)授權(quán)訪問。

薄弱的加密和不安全的通信使數(shù)據(jù)泄露變得很容易。

如果企業(yè)沒有工具或?qū)I(yè)知識來有效地監(jiān)控和檢測威脅,缺乏對供應(yīng)鏈的可見性就會增加暴露在潛在問題中的風(fēng)險。這是也構(gòu)成威脅的一些隱藏漏洞中的第一個。

其他包括:

隱藏的漏洞:

c078f11c-4afb-11ee-a20b-92fbcf53809c.png

第三方依賴項:應(yīng)用程序通常依賴于第三方庫和組件,如果管理不當,可能會引入漏洞。這些可能很難檢測到,特別是當企業(yè)對源代碼的可見性很差的時候。

軟件供應(yīng)商缺乏多樣性:如果企業(yè)依賴于單一的軟件供應(yīng)商,并且無法了解其安全實踐,那么它就無法有效地檢測隱藏的漏洞。

針對開源軟件的攻擊之所以發(fā)生,是因為企業(yè)大量使用開源軟件,以至于它是一個巨大的攻擊面。


如何評估供應(yīng)鏈安全?

確定軟件供應(yīng)商和合作伙伴

生成軟件材料清單(SBOM)-所有供應(yīng)商、承包商和其他合作伙伴的清單,檢查他們的安全策略和控制,以及他們是否符合法規(guī)。

進行風(fēng)險評估并制定補救計劃

包括可靠的軟件測試和增強安全意識。

審查并實施您的控制和策略

確保您的策略符合安全要求。檢查訪問控制和數(shù)據(jù)保護,以防止未經(jīng)授權(quán)的訪問、加強保密性、限制攻擊面并降低第三方風(fēng)險。

增強加密和安全通信的能力

評估和重新設(shè)計供應(yīng)鏈架構(gòu)

以提高供應(yīng)鏈可見性,更好地識別和管理潛在問題、惡意活動、第三方風(fēng)險,并確保滿足合規(guī)和監(jiān)管要求。

構(gòu)建全面的安全方法

結(jié)合使用漏洞掃描儀、終端保護軟件、網(wǎng)絡(luò)安全工具、身份和訪問管理以及特定的軟件供應(yīng)鏈工具,以及員工培訓(xùn)和響應(yīng)規(guī)劃。

c10953e2-4afb-11ee-a20b-92fbcf53809c.png

用于加強安全性的工具

在下一篇文章中,我將介紹如何成功地做到這一點,以及您應(yīng)該如何使用這些工具來加強軟件和應(yīng)用程序的安全性。

虹科推薦

虹科軟件組成分解決方案

c12290e6-4afb-11ee-a20b-92fbcf53809c.png

虹科Mend是唯一一款旨在讓安全團隊完全控制整個組織的開源使用情況的 SCA 工具。使用 Mend.io,您可以在所有開發(fā)人員和應(yīng)用程序中實施策略,以消除開源許可風(fēng)險并更新易受攻擊的軟件包。

· 減少MTTR:通過自動拉取請求加速修復(fù),以快速修復(fù)開源漏洞。

·停止惡意軟件包:檢測和消除現(xiàn)有代碼庫中的惡意軟件包,并阻止它們進入新的應(yīng)用程序與Mend的360°惡意軟件包保護。

·消除誤報:確保您的開發(fā)人員關(guān)注真正的風(fēng)險。Mend SCA檢測漏洞是否實際可訪問,指示非可利用漏洞,以便可以安全地忽略它們。

·大規(guī)模快速部署:在不到一個小時的時間內(nèi),跨越所有開發(fā)中的應(yīng)用程序為數(shù)千名開發(fā)人員實現(xiàn)SCA。

·確保完全采用:確保100%采用Mend SCA,并通過選擇在每次代碼提交后都要求掃描來提高整體風(fēng)險的降低。

·持續(xù)監(jiān)控并確定優(yōu)先順序


訪問控制、風(fēng)險管理和設(shè)計將限制已知漏洞的影響,但是如何確定沒有已知漏洞所存在的風(fēng)險,自動化依賴項更新十分重要。高級的依賴性更新產(chǎn)品將創(chuàng)建一個拉取請求,以便自動合并更新。您的基礎(chǔ)設(shè)施、容器和應(yīng)用程序代碼也應(yīng)該自動更新。自動掃描是至關(guān)重要的,但它不能涵蓋所有內(nèi)容。SCA能夠做到不斷監(jiān)視漏洞并確定其優(yōu)先級,當一些組件過時或有新的漏洞時將會被標記。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • 軟件
    +關(guān)注

    關(guān)注

    69

    文章

    4987

    瀏覽量

    87819
  • 程序
    +關(guān)注

    關(guān)注

    117

    文章

    3793

    瀏覽量

    81223
  • 源代碼
    +關(guān)注

    關(guān)注

    96

    文章

    2946

    瀏覽量

    66833
收藏 人收藏

    評論

    相關(guān)推薦

    東軟獲《電信和互聯(lián)網(wǎng)軟件供應(yīng)鏈安全能力成熟度模型》第三等級認證

    近日,東軟憑借其在軟件供應(yīng)鏈安全領(lǐng)域的卓越表現(xiàn),成功通過了《電信和互聯(lián)網(wǎng)軟件供應(yīng)鏈安全能力成熟度
    的頭像 發(fā)表于 01-15 17:31 ?274次閱讀

    天合光能入選國家級數(shù)字化供應(yīng)鏈案例

    近日,工業(yè)和信息化部公示“2024年實數(shù)融合典型案例名單”,天合光能以“基于產(chǎn)銷協(xié)同一體化的供應(yīng)鏈精細數(shù)字化管控”成功入選國家級數(shù)字化供應(yīng)鏈案例,這是繼國家綠色供應(yīng)鏈、全國供應(yīng)鏈創(chuàng)新與
    的頭像 發(fā)表于 01-13 11:48 ?180次閱讀

    同星智能即將亮相第六屆汽車新供應(yīng)鏈大會

    同星一周展會TOSUN.EXHIBIT第六屆汽車新供應(yīng)鏈大會第六屆汽車新供應(yīng)鏈大會將于2025年1月14-15日在上海舉辦,本屆汽車新供應(yīng)鏈大會以“共建生態(tài),協(xié)同出?!睘楹诵淖h題,既是對當前汽車整車
    的頭像 發(fā)表于 01-10 20:04 ?160次閱讀
    同星智能即將亮相第六屆汽車新<b class='flag-5'>供應(yīng)鏈</b>大會

    利用Minitab應(yīng)對供應(yīng)鏈中斷問題

    供應(yīng)鏈中斷是不可避免的,但積極的措施和數(shù)據(jù)驅(qū)動的戰(zhàn)略可以減輕其影響。Minitab全面的數(shù)據(jù)分析和問題解決工具使組織能夠分析、優(yōu)化和調(diào)整其供應(yīng)鏈,以應(yīng)對不可預(yù)見的挑戰(zhàn),確保面對中斷時的彈性和連續(xù)性。
    的頭像 發(fā)表于 01-02 17:16 ?122次閱讀

    智能制造裝備行業(yè)的供應(yīng)鏈特點分析

    智能制造裝備行業(yè)供應(yīng)鏈涉及多個環(huán)節(jié),包括原材料采購、生產(chǎn)制造、物流配送和售后服務(wù)等,其特點包括復(fù)雜性與多樣性、全球化與分散性、技術(shù)密集型和快速變化性。供應(yīng)鏈面臨的挑戰(zhàn)包括數(shù)據(jù)孤島、信息不對稱、供應(yīng)鏈中斷風(fēng)險和成本控制難度大等。
    的頭像 發(fā)表于 11-28 10:15 ?243次閱讀
    智能制造裝備行業(yè)的<b class='flag-5'>供應(yīng)鏈</b>特點分析

    活動回顧 艾體寶 開源軟件供應(yīng)鏈安全的最佳實踐 線下研討會圓滿落幕!

    艾體寶與Mend舉辦研討會,聚焦開源軟件供應(yīng)鏈安全,邀請行業(yè)專家分享合規(guī)管理、治理之路及最佳實踐,圓桌討論加深理解,助力企業(yè)更安全穩(wěn)健發(fā)展。
    的頭像 發(fā)表于 10-30 17:52 ?509次閱讀
    活動回顧 艾體寶 開源<b class='flag-5'>軟件</b><b class='flag-5'>供應(yīng)鏈</b><b class='flag-5'>安全</b>的最佳實踐 線下研討會圓滿落幕!

    數(shù)字孿生在供應(yīng)鏈優(yōu)化中的作用

    在當今快速變化的商業(yè)環(huán)境中,供應(yīng)鏈管理的復(fù)雜性和挑戰(zhàn)性日益增加。企業(yè)需要不斷創(chuàng)新和優(yōu)化其供應(yīng)鏈流程,以提高效率、降低成本并增強競爭力。數(shù)字孿生技術(shù)的出現(xiàn)為供應(yīng)鏈管理提供了一種全新的視角和工具,它通過
    的頭像 發(fā)表于 10-25 14:56 ?564次閱讀

    艾睿電子供應(yīng)鏈方案助力客戶產(chǎn)品上市

    從物流、倉儲以至庫存管理,艾睿電子的供應(yīng)鏈解決方案均可助您運籌帷幄,精準掌控供應(yīng)鏈的每個環(huán)節(jié),為您領(lǐng)航,攜手共進。
    的頭像 發(fā)表于 08-27 11:15 ?526次閱讀

    連獲殊榮!普羅格智慧倉儲解決方案引領(lǐng)酒類供應(yīng)鏈數(shù)字化革新

    案例》、《酒類物流供應(yīng)鏈典型案例》,再次彰顯了普羅格供應(yīng)鏈軟件的創(chuàng)新能力、產(chǎn)品競爭力、數(shù)字化服務(wù)能力以及品牌影響力。
    的頭像 發(fā)表于 07-22 15:55 ?339次閱讀

    供應(yīng)鏈場景使用ClickHouse最佳實踐

    關(guān)于ClickHouse的基礎(chǔ)概念這里就不做太多的贅述了,ClickHouse官網(wǎng)都有很詳細說明。結(jié)合供應(yīng)鏈數(shù)字化團隊在使用ClickHouse時總結(jié)出的一些注意事項,尤其在命名方面要求研發(fā)嚴格遵守
    的頭像 發(fā)表于 07-18 15:05 ?308次閱讀
    <b class='flag-5'>供應(yīng)鏈</b>場景使用ClickHouse最佳實踐

    供應(yīng)鏈大屏設(shè)計實踐

    概述 在物流系統(tǒng)相關(guān)的大屏中,供應(yīng)鏈大屏復(fù)雜度較高,數(shù)據(jù)路較長,穩(wěn)定性要求較高,當前大屏已經(jīng)經(jīng)過2年時間的打磨,整體表現(xiàn)已經(jīng)相對比較成熟穩(wěn)定。 本文描述了物流供應(yīng)鏈業(yè)務(wù)較復(fù)雜的業(yè)務(wù)場景下,結(jié)合了
    的頭像 發(fā)表于 07-03 16:32 ?386次閱讀
    <b class='flag-5'>供應(yīng)鏈</b>大屏設(shè)計實踐

    生成式AI之下,軟件供應(yīng)鏈安全的升級更迫切

    電子發(fā)燒友網(wǎng)報道(文/黃晶晶)AI大模型不僅能夠文生圖、文生視頻、人機對話等,還能夠幫助開發(fā)人員寫代碼,但這又出現(xiàn)另一個問題,ChatGPT產(chǎn)生的代碼也可能存在漏洞??梢哉f,全球軟件供應(yīng)鏈安全正面
    的頭像 發(fā)表于 05-31 18:05 ?7026次閱讀
    生成式AI之下,<b class='flag-5'>軟件</b><b class='flag-5'>供應(yīng)鏈</b><b class='flag-5'>安全</b>的升級更迫切

    韓國承諾為電動汽車電池供應(yīng)鏈提供71億美元的援助計劃

    韓國政府承諾為電動汽車電池供應(yīng)鏈提供71億美元的援助計劃,旨在建立符合美國稅收減免規(guī)則的新供應(yīng)鏈,減少對中國的依賴。
    的頭像 發(fā)表于 05-10 15:30 ?1241次閱讀

    戴爾榮獲Gartner供應(yīng)鏈的最高榮譽“年度供應(yīng)鏈突破獎”

    Gartner Power of the Profession供應(yīng)鏈獎項由全球領(lǐng)先的研究顧問公司Gartner主辦,至今已舉辦了10個年頭。
    的頭像 發(fā)表于 03-19 10:36 ?693次閱讀
    戴爾榮獲Gartner<b class='flag-5'>供應(yīng)鏈</b>的最高榮譽“年度<b class='flag-5'>供應(yīng)鏈</b>突破獎”

    掌控供應(yīng)鏈,決勝市場:SCM供應(yīng)鏈管理系統(tǒng)的戰(zhàn)略意義

    SCM供應(yīng)鏈管理系統(tǒng)是現(xiàn)代企業(yè)管理中的重要組成部分,它通過整合和優(yōu)化供應(yīng)鏈中的各個環(huán)節(jié),實現(xiàn)企業(yè)資源的高效利用和協(xié)同運作。
    的頭像 發(fā)表于 03-06 10:54 ?443次閱讀