什么是软件供应链攻击？

什么是软件供应链攻击？

#

在本词汇表中，我们将定义什么是软件供应链攻击，并且我们还将揭示一些软件供应链攻击的示例。

您可能已经知道，软件供应链攻击是一种特殊的网络攻击。它们通常针对第三方软件组件、库、开发工具或用于构建和分发软件应用程序的基础设施。威胁行为者并非直接攻击目标组织，而是渗透到受信任的软件供应商或服务提供商， 引入恶意代码 or 后门 这些软件随后作为合法更新或安装的一部分交付给最终用户。由于软件供应链攻击利用了软件内部隐含的信任关系， SDLC，这使得检测变得困难且特别阴险和具有挑战性。

主要特点 #

软件供应链攻击的一些主要特征是：

• 信任利用： 恶意行为者经常利用开发人员与其工具、第三方依赖项和供应商之间的信任关系
• 横向冲击： 一次独特的攻击就可能通过软件分发渠道波及多个受害者
• 隐身和持久性： 恶意代码通常嵌入经过签名的、看似合法的软件包中，从而实现长期持久性
• 复杂归因： 由于此类攻击源自供应链上游，追踪源头可能非常复杂且耗时

软件供应链攻击的常见载体
#

第三方组件和依赖项： 攻击者可以破坏广泛使用的 OSS 包或专有 SDK，这些包或 SDK 在不知情的情况下包含在开发项目中

构建系统和 CI/CD Pipelines: 利用错误配置或易受攻击的构建环境在软件编译或打包期间注入恶意代码

代码存储库： 未经授权访问源代码存储库（例如 GitHub），使用恶意负载更改合法代码库

软件更新和补丁机制： 拦截或操纵更新渠道以提供受信任软件的受损版本

现在，让我们来探讨一些例子。如果你想了解更多关于攻击媒介和攻击类型的信息—— 潜入!

软件供应链攻击示例 #

• SolarWinds Orion（2020年）：这可能是最臭名昭著的例子之一。攻击者在一个合法的软件更新中植入了一个名为“SUNBURST”的后门，该更新已被超过 18,000 名客户下载，其中包括财富 500 强企业和美国政府机构。
• Codecov Bash 上传器 (2021)：在这种情况下，威胁行为者修改了 CI 中使用的脚本 pipeline窃取数千个项目的凭证和环境变量
• UAParser.js (2021): an NPM 数百万人使用的图书馆被劫持，并通过加密货币挖掘和凭证窃取恶意软件重新发布
• Kaseya VSA (2021): 在这里，攻击者利用远程监控平台的漏洞向托管服务提供商及其客户部署勒索软件

这些软件供应链攻击示例说明了技术的多样性和潜在影响的规模，强调了强大的软件完整性检查的必要性。

一些检测和预防技术

#

鉴于其复杂性和隐秘性，软件供应链攻击的预防和检测需要分层的安全方法：

• SBOM （软件物料清单）：维护所有第三方组件及其版本的详细清单，以检测异常或未经授权的更改
• 代码签名和验证： 确保所有工件在构建和部署期间都经过加密签名和验证
• 运行时监控： 实施 EDR 和运行时应用程序自我保护 (RASP) 以检测执行期间的可疑行为
• 访问控制和审计： 强化对代码存储库的访问，并 CI/CD 具有多因素身份验证和基于角色的访问控制的环境
• 持续漏洞扫描： 使用自动化工具扫描开源依赖项并检测已知漏洞或错误配置
• 供应商风险管理： 评估所有第三方供应商的安全态势，特别是那些可以访问敏感开发环境的供应商

您知道安全团队和 DevSecOps 的风险影响吗？

#

#

安全经理、DevOps 和 DevSecOps 团队必须重新调整其策略以应对软件供应链攻击的风险：

DevSecOps 集成: 安全性需要贯穿整个软件生命周期，从设计到部署

威胁建模： 将供应链威胁纳入风险评估和威胁建模实践cises

开发人员培训： 对开发人员进行安全编码实践以及集成未经充分审查的第三方组件的风险的教育

这些做法不仅减轻了受到损害的风险，而且还在整个开发和运营过程中培育了安全第一的文化。

你为什么要关心？

#

对于任何开发软件应用程序的人来说，了解什么是软件供应链攻击都至关重要。由于这类攻击利用了快速软件创新的机制，将受信任的工具变成了攻击的载体，因此非常危险。通过记录的供应链攻击案例和全面的防御策略，我们可以清楚地看到，为了缓解这些攻击，您需要：可见性、问责制和跨职能安全集成。

对于想要监控和保护其软件供应链的组织， 西吉尼 就是答案。 观看我们的视频演示 或得到一个 今天免费试用!