软件技术不断发展,黑客也随之发展。与坏人的军备竞赛主要局限于漏洞和针对已部署软件的攻击。攻击软件供应链虽然并非前所未见,但并不是坏人的主要目标……
许多人认为这次攻击是高级持续性威胁 (APT) 作案手法转变的开始, SolarWinds攻击。这不是第一次,但影响如此之大,成为头条新闻并席卷 ITsec。
例如:SolarWinds、Codecov、Kaseya
SolarWinds 是一家提供网络和基础设施监控工具的大型软件供应商。该公司的产品之一是基础设施监控和管理平台 Orion。超过 30,000 个公共和私人组织使用它来管理其 IT 资源。Orion 访问 IT 系统以获取日志和系统性能数据。
2019 年 XNUMX 月,黑客入侵了数千名 SolarWinds 客户的网络、系统和数据。他们攻击了其软件供应链,将恶意代码插入平台。随后,SolarWinds 将后门恶意软件作为 Orion 软件的更新发布,黑客可以访问并冒充受害组织的用户和帐户。SolarWinds 漏洞让所有在云原生世界中运营的组织都意识到了网络安全问题。
此次供应链攻击之后,又出现了其他攻击,例如软件代码覆盖工具 Codecov。2021 年 XNUMX 月, 攻击者提取了凭证 攻击者错误地将 CI 存储在 Codecov 的 Docker 镜像中,并利用该镜像修改了工具中的上传脚本。攻击者只需插入一行代码,即可在执行脚本时将所有 CI 的环境变量发送到攻击者控制的服务器。几个月来,攻击者一直能够访问使用修改后的 Codecov 脚本的系统。
随后,2 年 2021 月 XNUMX 日, 对卡西亚的攻击 发生了。其 VSA 平台被许多为其他公司提供 IT 服务的 MSP 使用,以执行补丁管理和客户监控。黑客攻击了 Kaseya VSA 的供应链,破坏了其基础设施,随后在 VSA 的本地服务器上发布恶意更新,以感染所管理公司的系统,加密其数据并索要赎金。勒索软件通过 MSP 在其管理的公司上使用的木马工具进行攻击,而这些公司是最终目标。真聪明!
自 SolarWinds 事件以来,针对软件供应链的攻击越来越多,影响了三星、Uber、日产、Nvidia 等公司的形象和经济。据 Gartner 称,“到 2025 年,全球 45% 的组织将遭受针对其软件供应链的攻击,比 2021 年增加了三倍。”
新一代软件供应链攻击
攻击公司的专有应用程序或生产环境只会产生一个受害者。再加上绝大多数公司已经实施了 AST 等 AppSec 保护, SCA 或 WAF 工具,导致了新一代攻击者的出现,他们瞄准的是软件开发 pipeline. 供应链攻击只需一种简单的攻击就能影响数千家公司:理想的放大器。
开发基础设施很容易成为攻击者的目标。其巨大的攻击面使其能够访问生产环境及其数据。DevOps 工具的整个基础设施:存储库、源代码控制管理系统、构建工具、部署工具、基础设施即代码模板、容器、脚本文件等等,都相当庞大且易受攻击。此外,所有这些工具都远离安全部门的控制范围,而由开发和生产团队管理。黑客们深知这一点,并利用了这些弱点。
新目标
开发人员通常会在源代码中写入机密信息,例如用于在开发过程中进行测试的凭证和密钥。这些机密信息存储在通常受版本控制的文件中,即使文件或机密信息被删除,攻击者将来也可以找到它们。这将允许攻击者安装后门、阅读源代码、插入恶意代码、提取敏感数据等……一旦恶意行为者拥有有效的 login 他们可以通过 SDLC。这些凭证允许他们转向其他工具并获得高级用户权限来搜索更高价值的信息。
黑客可以使用凭证来破坏 SDLC,但它们也可能侵入配置不当或不安全的存储库或工具,从而使系统和数据面临风险。
攻击还针对开源软件包。我们都知道利用已知漏洞(例如 Log4j)进行攻击的恐怖故事。另一方面,供应链攻击则有所不同:攻击者将恶意代码注入流行的开源软件包中,供世界上许多组织在构建过程中使用。
简而言之:黑客可以利用特权访问、错误配置和漏洞 CI/CD pipeline 基础设施作为载体,将恶意软件插入到可以被许多人使用的软件中。
如何保护我们的 SDLC 来自软件供应链攻击?
供应链攻击的数量正在稳步增长,市场正在对此做出反应。一些组织已经建立了框架来应对 software supply chain security,如 NIST 安全软件开发框架 (SSDF) 和 Google 的软件工件供应链等级 (SLSA)。然而,很少有公司将保护 DevOps 工具和基础设施作为优先事项,以避免其供应链受到攻击。事实上, 82% 的 CIO 认为他们将容易受到这些攻击.
公司不仅要担心保护他们的应用程序,还要担心保护软件基础设施和工件,这些 SDLC 因为恶意攻击者瞄准的是供应链。攻击面广、开发团队对此类攻击缺乏认识以及缺乏专门的安全工具,使得攻击者能够专注于软件供应链。
结束语
保护我们的 pipeline 变得越来越紧迫,并且成为 CISOs 必须确保安全团队关注供应链,并与 DevOps 团队合作保护 SDLC 免受此类攻击。
使用可以帮助我们保护我们的工具 SDLC识别后门、可疑行为并阻止供应链攻击对于确保我们的 DevOps 环境的私密性和安全性至关重要。保护的第一个工具 software supply chain security 开始出现。有些更专注于开发方面,有些则专注于运营方面。还有一些,例如 西吉尼,肩负着在整个 DevOps 过程中保护软件生态系统的完整性和安全性的使命。
阅读更多 |
|
|
|
|
