在过去的两年中,您听到的有关供应链攻击的信息可能比您希望或期望的要多。根据一项研究,这些攻击已经发生了大约。同比增长 650%。调查发现,软件开发环境的安全级别仍然很低。此外,所分析的每家企业都存在缺陷和配置错误,使它们容易受到供应链攻击。
当邪恶的黑客渗透到众多“下游”应用程序中使用的第三方软件依赖项时,就会导致软件供应链攻击。共同的元素是开源软件,通常是内部系统开发人员使用的自动信任的代码源。攻击者可能会通过渗透单个开源程序或库来窃取数百甚至数千家企业的敏感信息、中断服务或破坏网络。
最近的研究揭示了五分之三的公司受到软件供应链攻击的趋势。到 2021 年,只有 38% 的企业声称他们没有受到这次攻击的影响。并非每次攻击都是相同的;有些很大,而另一些则迅速出现在后视镜中。使互联网摆脱风暴的一些备受瞩目的软件攻击包括:
太阳风(2020 年 12 月)
威胁行为者使用 Orion 软件作为武器访问全球多个政府网络和数千个私人系统,使 SolarWinds 供应链攻击成为全球黑客攻击。美国卫生部、财政部和国务院是此次攻击的重要受害者。
Codecov(2021 年 4 月)
攻击者能够在 Codecov 中插入后门,以获取对敏感客户端数据的访问权限,这导致了最近的一次大破坏。非常熟练的攻击者利用 Codecov 创建 Docker 映像的方式中的一个缺陷来执行此入侵。他们利用它来改变一个脚本,让他们使用来自 Codecov 用户的 CI 的环境变量从远程服务器发起多次攻击。
微软的 Winget(2021 年 5 月)
WinGet 的软件注册表被应用程序的拉取请求淹没,这些应用程序要么是重复的,要么是在启动后的周末行为不端。它被错误或重复的数据包淹没,这些数据包覆盖了已经存在的数据包。
加濑谷(2021 年 7 月)
许多托管安全提供商的远程监控和管理软件平台包含一个勒索软件组织发现并利用的零日漏洞。这一事件加密了 1,500 多家企业的文件。
Log4j 漏洞(2021 年 12 月)
该缺陷使攻击者能够远程访问使用Log4j 的应用程序。该漏洞存在于通信机制中,允许攻击者在日志中插入恶意代码并使其在系统上运行。
名单上还有更多。
许多不同的攻击向量被用来破坏软件提供商并成功地通过开发管道进行攻击。攻击者主要集中攻击以下几点:
利用开源应用程序漏洞
大多数商业软件都有开源代码。两个领域是易受攻击的应用程序供应链攻击的重点:
破坏管道工具并改变构建过程
第二种攻击方法是破坏管道工具,使攻击者能够更改或引入恶意代码。应用程序的源代码,作为其蓝图以及开发基础设施和程序,可以通过受损的 CI/CD 管道公开。
同时,正在构建该程序(就像 SolarWinds 一样)。此外,管道与数十个外部依赖项相结合,可用于访问和发起攻击,如 Codecov 攻击。
操纵诚信准则
在许多客户的环境中经常观察到代码中的敏感数据、代码质量差和安全漏洞。向源代码存储库提交有缺陷的代码已被认为是第三个风险因素。这会影响安全态势和工件质量。
代码签名是确认数字信息(例如一段软件代码)的真实性和原创性的过程。它向用户保证此数字信息是有效的,并确立了作者的合法性。
代码签名还确保此数字信息在有效签名后没有更改或被撤销。当您在整个 SDLC 中共享源代码时,代码签名可以确保双重身份验证、阻止攻击,甚至避免命名空间冲突。
以下是一些代码签名最佳实践,可确保您的应用程序代码的安全性。
保护所有私钥
代码签名私钥的丢失、被盗或泄露会带来严重的安全风险。我们可以遵循一些简单的规则来规避风险:
通过管道自动化签名过程
在执行安全法规的同时对代码签名过程采用端到端的集中式方法是自动代码签名过程的一部分。在不减慢 SDLC 速度的情况下,这种自动化方法与 CI/CD 管道连接并使用粒度访问控制。
使用时间戳记录所有的代码设计活动。
您的软件供应链错综复杂、广泛且相互关联,因此容易受到攻击。过去发生过几次毁灭性的小规模攻击,未来可能会好得多。攻击者一直在使用不同的攻击向量来针对特定的一方。代码签名的应用是一项重要的安全加固技术。
代码签名确保未经批准的各方不会进行篡改,并且最终发布的软件来自原始发布者。通过遵循某些代码签名最佳实践,我们可以确保供应链攻击不再威胁我们。
想了解更多信息,您可以联系我们揽阁信息。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!