为什么必须防止供应链攻击?
共 1743字,需浏览 4分钟
·
2021-12-07 11:43
SolarWinds的攻击持续在网络安全世界产生影响。在外行人眼中,这种形式的网络攻击就像毒气,逐渐传播及其影响是巨大。
供应链攻击保护
这次攻击证明是一个巨大的警钟,并引起企业对软件供应链攻击的广泛关注。鉴于威胁行为者已迅速将这种相同的方法应用于其他供应链,这一点变得尤为重要。
事实上,他们似乎通过瞄准拥有强大网络系统的公司而找到诀窍。因此,2021年出现了一个关键的增长攻击载体:“网络供应链攻击”。
是什么为供应链攻击提供契机?
让我们从源头开始找寻,看看JavaScript在web上的主导地位。JavaScript是网络的“语言”。据估计,世界上97%的网站使用javascript——包括所有财富500强公司的网站。
20年前,网络主要由静态网站组成,几乎没有任何功能,但这种情况很快就改变了。自从JavaScript开源社区在2009年开始维护自己的权利以来,我们见证了开源项目的爆炸式增长,社区发布了数以百万计的可重用代码块(模块或包),这些代码块可以被不同的项目轻松共享。这个生态系统的后续发展提高了所有应用程序的开发速度——网络、移动和桌面。
在这样一个炙手可热的领域,公司寻求依靠同行评审的第三方模块来缩短产品开发时间,而不是在内部开发每一段代码。因此,使用第三方代码成为web开发的标准。
与此同时,网络变得越来越有价值和复杂。静态的网站变成了动态的页面,最终形成了今天成熟的数字服务,如网上银行、电子商务和流媒体。市场营销、用户体验和商业工具的数字服务供应链的增长也推动了这种快速转变。这些公司没有使用自己的聊天机器人、分析工具或CRM工具,而是从第三方购买了这些服务,并将它们直接集成到自己的网站上。
难怪,如今平均有超过三分之二的网站代码来自第三方。这就是安全问题出现的地方。在网站的上下文中,第三方代码的每一段都与内部开发的任何剩余代码具有完全相同的权限。因此,如果聊天机器人工具突然决定开始捕捉并泄露购物者的信用卡信息到电子商务网站,没有什么可以阻止它。这是网络供应链攻击的本质——破坏第三方服务提供商,将恶意代码注入到实际服务中,并因此将其传播到每个使用它的网站。
公司不仅无法控制这一点,而且他们也无法实际了解这些攻击。这就是为什么像Magecart这样的攻击通常会连续数月保持活跃。
什么是最好的防守?
在评估供应链安全和评估供应链管理实践时,不同国家都实施了相关的法规,并加强在软件供应链安全方面的关注。但处理 Web 供应链攻击需要深入了解第三方代码的使用情况。
第三方代码将继续存在。它嵌入在Web开发的核心结构中,并且仍然是竞争产品开发中最有价值的资产之一。但是,如果公司学会安全地集成外部源代码,就有可能减轻外部源代码内在的风险。
这将要求安全和开发团队尽可能减少代码依赖性,并实施技术来为他们提供对其网站客户端上运行的所有代码的行为的可见性和控制(即,在浏览器或终端上发生的一切) -用户设备)。
这将需要安全和开发团队尽可能地减少代码依赖,同时通过SCA开源软件成分分析工具及SAST静态代码检测等代码安全检测工具来提高代码的安全性,并控制所有在他们网站的客户端上运行的代码的行为(例如,发生在浏览器或最终用户设备上的一切)。
如果公司要控制其网络供应链,为了最大限度地提高安全级别,公司需要在运行时持续监控每个用户会话是否有恶意行为的迹象。
这也正是DevSecOps背后的想法,软件行业的真正范式转变,旨在将安全性稳健地集成到现代应用程序开发和部署中。作为全球推动更安全供应链的一部分,DevSecOps可以在整个软件开发生命周期中植入安全控制。这些做法当然可以帮助企业重新获得我们已经提到的对其网站供应链的可见性和控制权。
SolarWinds 供应链攻击无疑激怒了许多重要的企业。另一方面,它引起全球对软件供应链的关注和重视。今天,我们正处于一个关键时刻,防止这些攻击是触手可及的,而不这样做的代价太高,不容忽视。
参读链接:
https://www.helpnetsecurity.com/2021/12/01/supply-chain-attacks-protection/