أصبحت هجمات سلسلة توريد البرمجيات أكثر انتشارًا وتدميرًا. على سبيل المثال، غارتنر ويتوقع أن 45% من جميع الشركات ستواجه خرقًا بحلول عام 2025. بالإضافة إلى ذلك، مشاريع الأمن السيبراني يؤكد على خطورة هذا التهديد، حيث يتوقع خسائر سنوية مذهلة تصل إلى 138 مليار دولار بحلول عام 2031. وفي المجمل، تسلط هذه التوقعات الضوء على الحاجة الملحة للمنظمات لإعطاء الأولوية software supply chain security وتنفيذ تدابير قوية لحماية البيانات الحساسة والعمليات والسمعة.
لأن الحديث pipelineتعتمد الشركات بشكل كبير على المكونات الخارجية، وظهور مكتبات الطرف الثالث، ودورات تطوير البرامج الأسرع، وسلاسل التوريد المعقدة، ونقص الرؤية، وتقنيات الهجوم الجديدة، وتبني SaaS، والموارد المحدودة، كل ذلك يدفع إلى زيادة الطلب على البرمجيات. هجمات سلسلة توريد البرمجياتولذلك، يتعين على المنظمات اعتماد نهج شامل وفعال لمواجهة هذه التحديات وحماية سلاسل توريد البرامج الخاصة بها.
ما هو هجوم سلسلة توريد البرمجيات؟
ENISA يعرف هجوم على سلسلة توريد البرمجيات as "التنازل عن أصل معين، مثل البنية التحتية لمزود البرامج والبرمجيات التجارية، لإلحاق الضرر بشكل غير مباشر بهدف أو أهداف معينة، مثل عملاء مزود البرامج." بمعنى آخر، هجوم سلسلة توريد البرمجيات هو نشاط خبيث يستهدف سلسلة توريد البرمجيات، ويهدف إلى اختراقها وإدخال ثغرات أمنية أو برمجيات خبيثة إليها في عملية التطوير والتوزيع. ونتيجة لذلك، يستغل هذا النوع من الهجمات شبكة مترابطة، وغالبًا ما تكون معقدة، من العمليات والأدوات والجهات المشاركة في بناء وتسليم البرمجيات.
المكونات والمفاهيم الرئيسية المتعلقة بهجوم سلسلة توريد البرامج
غالبًا ما تنهار أدبيات استخبارات التهديدات السيبرانية والأمن المعلوماتي هجمات سلسلة توريد البرمجيات إلى فئات منفصلة لتحسين التحليل والدفاع. وبناءً على ذلك، يقدم هذا القسم المفاهيم الخمسة الرئيسية التي حددها كتالوج نمط الهجوم MITREيقوم هذا الكتالوج بتنظيم أنماط هجوم سلسلة التوريد لتسهيل التحليل باستخدام مصادر مختلفة، بما في ذلك التهديدات المعادية التي جمعها المعهد الوطني للمعايير والتكنولوجيا.
قانون الهجوم: ماذا
الهجوم هو فعلٌ مُحدد يُرسل حمولةً أو نيةً خبيثةً إلى نظامٍ ما، ما يُسبب ضررًا مباشرًا.
- المثال 1: البرامج الضارة التي تم إدراجها في برنامج النظام أثناء عملية البناء.
- المثال 2: متطلبات النظام أو مستندات التصميم التي تم تغييرها بشكل ضار.
ناقل الهجوم: كيف
متجه الهجوم هو الطريقة التي يستخدمها الخصوم لاستغلال الثغرات الأمنية أو نقاط ضعف العمليات. وبالتالي، يُظهر كيفية وصول المهاجمين إلى سطح الهجوم وإساءة استخدامه.
- المثال 1: يقوم المهاجم بتعديل الكود المصدر في مستودع مخترق.
- المثال 2: يتمكن المهاجم من الوصول بشكل غير مصرح به إلى الوثائق التقنية الداخلية.
استكشف المزيد في مسرد متجهات الهجوم للحصول على رؤى إضافية.
مصدر الهجوم: ذا هو
يُحدد الأصل مصدر الهجوم. وبالتالي، يُوضح دور المهاجم أو وضعه أو علاقته بالنظام.
- المثال 1: يقوم شخص داخلي يتمتع بإمكانية الوصول المتميز لبناء الخوادم بتعديل البرنامج النصي.
- المثال 2: يقوم أحد الجهات الفاعلة في التهديد الخارجي بتحميل حزمة مصابة بأحصنة طروادة إلى سجل عام.
هدف الهجوم: السبب
الهدف يشرح سبب الهجوم، والأهم من ذلك، أنه يُبرز ما يسعى الخصوم إلى تحقيقه.
- التعطيل: إيقاف الخدمات أو البناء.
- الفساد: تقليل الثقة عن طريق تغيير القطع الأثرية أو الكود المصدر.
- الإفصاح: تسريب الأسرار الحساسة أو الملكية الفكرية.
تأثير الهجوم: العواقب
وأخيرًا، يصف التأثير نتائج الهجوم، موضحًا العواقب بالنسبة لمقدمي البرامج والعملاء.
- المثال 1: أي مشروع يستخدم برنامجًا سيئًا سوف يتعرض للفساد في وقت لاحق.
- المثال 2: يقوم الأشخاص بتثبيت برامج سيئة في أنظمة عملهم دون أن يعرفوا ذلك.
هجمات سلسلة توريد البرمجيات الأكثر شيوعًا
أنواع عديدة من هجمات سلسلة توريد البرمجيات يجب أن تكون المؤسسات على دراية بمختلف ناقلات التهديد في كل مرحلة من مراحل دورة الحياة. بناءً على إطار عمل SLSA, المعهد الوطني الأمريكي للطب Standardالمعهد الوطني للمعايير والتكنولوجيا (NIST)و وكالة الأمن السيبراني وأمن البنية التحتية (CISA)يمكن تقسيم هذه التهديدات إلى أربع فئات: مخاطر المصدر والبناء والحزمة والتبعية.
هجمات سلسلة توريد البرمجيات في مرحلة المصدر
- إرسال الكود الخاطئ → شاهد كيف طلب قارورة. الحصول على سوء الاستخدام or عيوب إلغاء التسلسل غير الآمن إنشاء أسطح هجوم مباشرة.
- تسوية مصدر الريبو
- البناء من مصدر معدل
- كتابة رمز غير آمن
- التلاعب بالملفات الهامة → كما هو موضح في تحليل الباب الخلفي chmod 777.
هجمات سلسلة توريد البرامج في مرحلة البناء
في خانة رمز الخصم، أدخل TABBYDAY. مرحلة البناءيقوم المطورون بتجميع الكود ودمجه في إصدار عمل. لأن هذه المرحلة حرجة للغاية، وتتضمن المخاطر تخطي عمليات التحقق الأمني في CI/CD pipeline، تغيير الكود بعد التحكم في الإصدار، أو المساس بعملية البناء. بناء على ذلكيمكن للرموز الخبيثة أن تتسلل إلى القطع الأثرية دون أن يلاحظها أحد.
- تجنب CI/CD → مرتبط بـ برامج ضارة مسبقة البناء على GitHub.
- تعديل التعليمات البرمجية بعد التحكم بالمصدر
- عملية بناء التسوية → تم التخفيف منها بـ اكتشاف التحذير المبكر من DevSecOps.
- تسوية مستودع القطع الأثرية
هجمات سلسلة توريد البرامج في مرحلة الحزمة
استخدم مرحلة الحزمة هي عملية تجميع الشيفرة البرمجية لإنتاج منتج نهائي. هذا الجزء محفوف بالمخاطر، إذ قد يستخدم أحدهم حزمًا ضارة أو يغير مصادرها الإلكترونية. بل إن المهاجمين قد يرفعون نسخًا ضارة من حزم شائعة إلى هذه المواقع.
- استخدم الحزمة المخترقة → المشمولة في تقييمات ماسح البرامج الضارة.
- اختراق تسجيل الحزمة
- تحميل الحزمة المعدلة → تم تحليلها في برنامج ضار لمولد Namso-gen المزيف.
هجمات سلسلة توريد البرمجيات في مرحلة التبعية
في خانة رمز الخصم، أدخل TABBYDAY. مرحلة التبعيةنضيف مكتبات وحزمًا خارجية إلى برنامجنا. هذه المرحلة محفوفة بالمخاطر، إذ يمكن لأي مشاكل في هذه الأجزاء أن تنتشر بسهولة وهدوء إلى بقية المشروع.
- استخدام التبعية المخترقة → موضحة مع مخاطر الحرمان من الخدمة في التبعيات المشوشة.
- التبعيات القديمة أو المعرضة للخطر
- مخاطر التبعية الانتقالية
- سجلات الحزم الضارة → تم التخفيف منها باستخدام أدوات أمان DevOps و إدارة المخاطر لجهة خارجية.
المخاطر الشائعة في سلسلة التوريد في كل مرحلة من مراحل SDLC
| المرحلة | التهديدات النموذجية | مثال |
|---|---|---|
| مصدر |
• إرسال أكواد ضارة أو غير آمنة • العبث بالملفات الهامة • المساس بمستودع المصدر |
XcodeGhost (2015): تم حقن كود خبيث في مُجمِّع Xcode الخاص بشركة Apple، وانتشر عبر تطبيقات iOS. |
| نبنيها |
• تجاوز CI/CD التفتيش الأمني • تعديل الكود بعد التحكم في المصدر • اختراق مستودعات القطع الأثرية |
سولارويندز أوريون (2020): تسلل المهاجمون إلى المبنى pipeline، إدخال باب خلفي في تحديثات البرامج الموقعة. |
| فئة الإشتراك |
• تحميل الحزم المعدلة • سجلات عبوات التسمم • توزيع القطع الأثرية المخترقة |
EventStream NPM (2018): قام المهاجم بإدخال باب خلفي في حزمة NPM الشهيرة التي تم تنزيلها آلاف المرات. |
| التبعية |
• استخدام التبعيات القديمة أو المعرضة للخطر • استغلال التبعيات الانتقالية • نشر حزم متشابهة ضارة |
XZ Utils Backdoor (2024): مكتبة ضغط مصابة بأحصنة طروادة تم نقلها تقريبًا إلى توزيعات Linux. |
تقنيات الهجوم الشائعة على سلسلة توريد البرامج
وفقًا CISوبحسب تقرير المعهد الوطني للمعايير والتكنولوجيا، فإن هجمات سلسلة توريد البرامج غالباً ما تنقسم إلى ثلاث فئات رئيسية.
ومع ذلك، فإن الحوادث الأخيرة تظهر متجهات إضافية يجب على المطورين فهمها.
فيما يلي سنتناول التقنيات الأكثر أهمية من خلال أمثلة عملية.
تحديثات الاختطاف
يقوم المهاجمون باختراق آليات التحديث المشروعة لتوزيع البرامج الضارة.
على سبيل المثال، أساء هجوم NotPetya في عام 2017 استخدام خادم تحديث برنامج الضرائب الأوكراني MEDoc، مما أدى إلى تقديم
برامج ضارة مدمرة تُخفي نفسها في صورة رقعة. وللحماية من هذا الخطر، ينبغي على الفرق تطبيق اكتشاف التهديدات والاستجابة لها في DevOps الممارسات التي تشير إلى السلوك الشاذ في تدفقات التحديث.
تقويض توقيع التعليمات البرمجية
تتضمن هذه التقنية إساءة استخدام شهادات التوقيع الصالحة أو سرقتها لجعل التعليمات البرمجية الضارة تبدو شرعية.
ومن الأمثلة البارزة على ذلك اختراق CCleaner في عام 2017، حيث قام المهاجمون بتوزيع برامج مصابة بأحصنة طروادة وموقعة بشهادات صالحة.
وبالتالي، تحتاج المنظمات إلى ضوابط سلامة موحدة مثل تلك الموضحة في استراتيجيات منصة الأمن السيبراني
المساس بالشفرة مفتوحة المصدر
يقوم الخصوم بإدخال أبواب خلفية في حزم مفتوحة المصدر شائعة الاستخدام، والتي يتم سحبها لاحقًا إلى آلاف المشاريع.
يوضح حادث EventStream NPM والباب الخلفي XZ Utils (2024) مدى أهمية هذا المتجه.
ينبغي على المطورين مراجعة الموارد مثل الأسئلة الشائعة حول أمان NPM و حوادث الطرود المطبعية لتعلم كيفية تجنب التبعيات السامة.
ارتباك التبعية
تم وصف هذا الهجوم لأول مرة بواسطة Alex Birsan في عام 2021، وهو يستغل تصادمات التسمية بين سجلات الحزم الداخلية والعامة، مما يخدع أنظمة البناء لسحب إصدارات ضارة بدلاً من الحزم الداخلية الموثوقة.
التطفل على النصوص البرمجية والحزم الضارة
يقوم المهاجمون بنشر حزم ضارة تحمل أسماء مشابهة للمكتبات الشائعة (على سبيل المثال، "reqeusts" بدلاً من "requests").
يقوم المطورون بتثبيت هذه البرامج عن طريق الخطأ، مما يؤدي إلى إدخال البرامج الضارة إلى مشاريعهم.
تم تحليل مثال حقيقي في برنامج Namso-gen الخبيث وفي قائمتنا ماسحات البرامج الضارة مفتوحة المصدر.
نبنيها Pipeline العبث
كما هو موضح في اختراق SolarWinds Orion، يمكن للمهاجمين التسلل إلى خوادم البناء لحقن التعليمات البرمجية الضارة أثناء التجميع.
هذا يجعل سلسلة القطع الأثرية الموقعة بأكملها غير موثوقة. تشمل تقنيات الوقاية المراقبة CI/CD النزاهة مع الكشف عن الإنذار المبكر والتحليل
حملات البرامج الضارة المبنية مسبقًا على GitHub.
كيف يبدو هجوم سلسلة توريد البرمجيات: قضية SolarWinds
يُعَدّ هجوم SolarWinds Orion، قبل كل شيء، المثال الأبرز على اختراق سلسلة توريد البرمجيات. فهو يُظهر كيف يُمكن للمهاجمين التحرّك خطوةً بخطوة في عملية البناء، وبالتالي نشر شيفرة ضارة لآلاف المستخدمين.
أولاً، تمكن المهاجمون من الوصول إلى خوادم البناء الخاصة بـ SolarWinds.
بعد ذلك، قاموا بإضافة الكود الخبيث بهدوء إلى تحديثات Orion.
وبما أن هذه التحديثات تم توقيعها وإرسالها كبرامج موثوقة، فقد قامت العديد من الشركات بتثبيتها دون معرفة المخاطر.
وفي المجمل، تأثرت أكثر من 18,000 ألف منظمة، وتمكن المهاجمون من الوصول إلى أنظمة حساسة للغاية.
من وجهة نظر المطور، يقدم هذا الهجوم ثلاثة دروس بسيطة:
- الدفاعات المحيطية ليست كافية: قام المهاجمون بتغيير البناء pipeline نفسها.
- الفحوصات المستمرة أمر بالغ الأهمية: يؤمن build attestationsوتساعد عمليات التحقق من السلامة واكتشاف الشذوذ في منع التلاعب.
- مبنى مسموم واحد يمكن أن يصبح عالميًا:واحد pipeline إن التسوية قد تؤدي إلى خلق أزمة أمنية عالمية.
Xygeni: منصة AppSec الشاملة المثالية
لأن هجمات سلسلة توريد البرامج يمكن أن تضرب في كل خطوة من خطوات SDLC,
منصة AppSec الشاملة، زيجينييحمي Xygeni مراحل المصدر والبناء والحزمة والتبعية. يوفر للمطورين وفرق الأمن منصة واحدة لمنع المخاطر واكتشافها وإصلاحها بسهولة. ونتيجةً لذلك، لم تعد بحاجة إلى استخدام أدوات متعددة، إذ يغطي Xygeni دورة حياة النظام بالكامل.
حماية مرحلة المصدر
في مرحلة المصدر، تشمل المخاطر عدم الأمان commitمستودعات مسمومة أو ملفات معدلة. يقوم Xygeni بمسح الكود في الوقت الفعلي مع عميق SAST وكشف الأسرار.
كما أنه يمنع المواد الضارة commitمن خلال CI/CD guardrails.
بهذه الطريقة، يتم إيقاف المشكلات قبل أن تخرج من المستودع.
حماية مرحلة البناء
أثناء مرحلة البناء، قد يحاول المهاجمون تجاوز pipelines أو تغيير القطع الأثرية.
Xygeni يؤمن عملية البناء مع فحوصات متوافقة مع معايير SLSA، والتحقق من السلامة، والتوقيعات الإلكترونية. كما يراقب أي سلوك غير طبيعي داخل CI/CD نتيجةً لذلك، يتم تحديد الإصدارات المُعَدَّلة فورًا وحظرها قبل الإصدار.
حماية مرحلة الحزمة
في مرحلة الحزمة، غالبًا ما تؤدي السجلات المخترقة أو المكتبات المعدلة إلى إدخال البرامج الضارة. كشف البرامج الضارة ومسح التراخيص من Xygeni مراجعة كل قطعة أثرية، في حين يقترح AutoFix مسارات ترقية آمنة مع تحليل مخاطر المعالجة. فقط الحزم التي تم التحقق منها والمتوافقة هي التي تتقدم في pipeline.
حماية مرحلة التبعية
يُعد الكود الخاص بطرف ثالث أكبر سطح للهجوم. تحليل تركيب البرمجيات في Xygeni (SCA) لا يقتصر دور هذا النظام على سرد الثغرات الأمنية الشائعة (CVE)، بل يتحقق من إمكانية استغلال الأكواد الخطرة. كما يُحدد البرمجيات الخبيثة المخفية والتبعيات الانتقالية الخطرة. والأهم من ذلك، يضمن هذا للمطورين نشر التبعيات الآمنة فقط.
الأسرار وأمن البنية التحتية
بالإضافة إلى التعليمات البرمجية والحزم، غالبًا ما تستغل الهجمات الأسرار المسربة أو البنية التحتية الضعيفة. يقوم Xygeni بالبحث عن المفاتيح والرموز وبيانات الاعتماد المكشوفة في الكود والتكوينات وطبقات Docker. كما يمكنه التحقق من صحة الأسرار المسربة وإلغاؤها تلقائيًا باستخدام إصلاح تلقائي. في نفس الوقت، IaC مسح يمنع التكوينات الخاطئة التي قد يستغلها المهاجمون لاحقًا.
الكشف والإصلاحات الذكية
تتوقف معظم الأدوات عند التنبيهات. Xygeni يذهب إلى أبعد من ذلك. يقوم محرك AutoFix الخاص به بإنشاء تصحيحات آمنة، pull requestsأو إرشادات خطوة بخطوة حسب المشكلة. كما يُظهر عرض "مخاطر المعالجة" إصدار التصحيح الأكثر أمانًا، مما يُمكّن الفرق من إصلاح المشكلات دون إضافة مشاكل جديدة.
منصة موحدة واحدة
لأن Xygeni يجمع SAST, SCA، اكتشاف البرامج الضارة، وإدارة الأسرار، IaC المسح الضوئي، واكتشاف الشذوذ، وضوابط البناء الآمنة في منصة AppSec واحدة،
إنه يوفر تغطية كاملة عبر SDLCيحصل كل من المطورين وفرق الأمان على مصدر واحد للحقيقة من خلال الرؤية الواضحة والإصلاحات العملية والحماية القوية ضد هجمات سلسلة التوريد.
كل الأشياء تم اعتبارها، Xygeni، منصة AppSec الشاملة المثاليةيساعد هذا النظام الفرق على البناء بسرعة والحفاظ على الأمان. من خلال حماية مراحل المصدر والبناء والحزمة والتبعيات، وإضافة إصلاحات آلية في كل خطوة، يضمن النظام إيقاف هجمات سلسلة توريد البرامج قبل وصولها إلى مرحلة الإنتاج.
