软件供应链
网络空间对抗的焦点
当前,随着数字化转型的加速,网络攻击的不断左移,针对软件供应链的攻击事件呈快速增长态势。软件供应链已经成为网络空间攻防对抗的焦点,直接影响关键基础设施和重要信息系统安全。
2021中国软件供应链安全分析报告
全文查看主要攻击类型
上游服务器妥协——Codecov攻击对于大多数软件供应链攻击,攻击者会破坏上游服务器或代码存储库并注入恶意负载(例如,恶意代码行或木马更新)。然后将该有效载荷向下游分发给众多用户。然而,从技术角度来看,情况并非总是如此。Codecov 供应链攻击就是这样一个例子。
中游妥协以传播恶意更新术语“中游”在这里主要指攻击者破坏中间软件升级功能或 CI/CD工具而非原始上游源代码库的实例。今年4月,许多《财富》500 强公司使用的Passwordstate企业密码管理器的制造商Click Studios通知客户称,攻击者破坏了Passwordstate的升级机制,并利用它在用户的计算机上安装了一个恶意文件。
依赖项混淆(dependency confusion)攻击2021年,提及供应链攻击就少不了要提“依赖项混淆”,特别是因为这种攻击的简单化和自动化特质,使其日渐受到攻击者的青睐。得益于在多个开源生态系统中发现的固有设计缺陷,依赖项混淆能够在攻击者端通过最小的努力甚至是自动化的方式发挥作用。
被盗的SSL和代码签名证书随着HTTPS网站的增加,SSL/TLS证书已经无处不在,它可以保护您的在线通信。因此,SSL 证书私钥的泄露可能会威胁到端到端加密连接为最终用户提供的安全通信和保证。
针对开发者的CI/CD基础设施如今,软件供应链攻击盛行,这些攻击不仅依赖于向用户的GitHub项目引入恶意拉取请求,还会滥用GitHub的CI/CD自动化基础设施GitHub Actions来挖掘加密货币。GitHub Actions为开发人员提供了一种为GitHub上托管的存储库安排自动化CI/CD任务的方法。
使用社会工程学来引入恶意代码任何安全专业人员都知道,安全性取决于其最薄弱的环节。由于人为因素仍然是最薄弱的环节,因此泄露往往来自最意想不到的地方。最近,明尼苏达大学的研究人员被踢出了 Linux 贡献群体,Linux 内核社区也撤销了他们之前提交的所有Linux内核代码,原因在于他们故意提出有缺陷的“补丁”,而这些“补丁”又会在 Linux 内核源代码中引入漏洞。
攻击频发主要原因
* 生产模式的变化
用户对软件功能、应用实效等方面的需求越来越高,这就要求开发者在短时间内实现相应功能,还要持续不断地进行迭代更新。软件系统往往由自主研发的、开源获取的、外包开发的、商业购买的等多种来源的部件组合而成,为了响应快速开发的需求,软件供应链中第三方来源的如开源、外包、商业等成分软件的占比会增加,从而引入更多“不可控”成分,增加了软件安全评估的难度,也提高了软件供应链风险。
用户对软件功能、应用实效等方面的需求越来越高,这就要求开发者在短时间内实现相应功能,还要持续不断地进行迭代更新。软件系统往往由自主研发的、开源获取的、外包开发的、商业购买的等多种来源的部件组合而成,为了响应快速开发的需求,软件供应链中第三方来源的如开源、外包、商业等成分软件的占比会增加,从而引入更多“不可控”成分,增加了软件安全评估的难度,也提高了软件供应链风险。
* 软件自身的变化
软件系统规模越来越大,程序逻辑越来越复杂,因此对软件的理解和分析也越来越难,这也造成了对软件把关和分析技术的门槛越来越高。另外,开源、库文件等提高了代码复用性,但在算法、结构、逻辑、特性等复用的同时,也带来了缺陷、漏洞等风险的复制,极大增加了供应链的攻击面,会造成某一点问题的大面积爆发,利用Struts2 等开源漏洞攻击的影响面之广就是个很好的例子。
软件系统规模越来越大,程序逻辑越来越复杂,因此对软件的理解和分析也越来越难,这也造成了对软件把关和分析技术的门槛越来越高。另外,开源、库文件等提高了代码复用性,但在算法、结构、逻辑、特性等复用的同时,也带来了缺陷、漏洞等风险的复制,极大增加了供应链的攻击面,会造成某一点问题的大面积爆发,利用Struts2 等开源漏洞攻击的影响面之广就是个很好的例子。
* 环境渠道的多样
软件产品开发、构建、部署、交付等环节的生产线环境和发布渠道越来越多样化、多元化,IDE、代码管理系统、Bug 管理系统、构建工具、CI/CD 工具、云平台部署、交付方式等的选择越来越多,这些辅助工具或渠道的不安全因素会作为“基因”传导至软件产品中,也会增加软件供应链的攻击面。
软件产品开发、构建、部署、交付等环节的生产线环境和发布渠道越来越多样化、多元化,IDE、代码管理系统、Bug 管理系统、构建工具、CI/CD 工具、云平台部署、交付方式等的选择越来越多,这些辅助工具或渠道的不安全因素会作为“基因”传导至软件产品中,也会增加软件供应链的攻击面。
安全防护建议
>> 提升整体软件供应链安全管理水平
我国在软件供应链安全方面的基础比较薄弱,亟需从国家、行业、机构、企业各个层面建立软件供应链安全风险的发现、分析、处置、防护能力,整体提升软件供应链安全管理水平。
>> 国家与行业监管层面
制定软件供应链安全相关的政策要求、标准规范和实施指南,建立长效工作机制;建立国家级/行业级软件供应链安全风险分析平台,及时发现和处置安全风险。
>> 软件最终用户层面
建议明确本单位内部软件供应链安全管理的目标、工作流程、检查内容、责任部门,充分评估供应商的安全能力,遵循软件安全开发生命周期管理流程,持续监测和消减开源软件的安全风险。
>> 软件厂商层面
建议提高安全责任意识,严控产品的安全质量;建立清晰的软件供应链安全策略,明确本单位内部软件供应链安全管理的目标、工作流程、检查内容、责任部门;严格管控上游及自主开发的代码质量。
政策支持
《网络安全法》规定了网络产品和服务提供者的职责,包括严禁的行为、及时采取补救措施、告知报告义务、维护的延续性等;《网络安全审查办法》和《关键信息基础设施安全保护条例》针对关键信息基础设施的供应链安全提出了要求,包括对可能影响国家安全的设施进行安全审查、网络产品和服务提供者应配合审查并承诺避免危及供应链安全的行为、安全审查时考虑供应链风险方面的因素、优先采购安全可信的网络产品和服务、与提供者签署协议等。
《信息安全技术 信息技术产品供应方行为安全准则》(GB/T 32921-2016)从供应商角度入手,规定了信息技术产品供应方的行为安全准则;《信息安全技术 ICT 供应链安全风险管理指南》(GB/T 36637-2018)规定了信息通信技术(ICT)供应链的安全风险管理过程和控制措施,适用于 ICT 供方和需方、第三方测评机构等;国标《信息安全技术 信息技术产品供应链安全要求》针对关键信息基础设施,规定了信息技术产品供应方和需求方应满足的供应链安全要求,该标准已完成征求意见,即将发布;中国信息安全测评中心牵头的国标《信息安全技术 软件供应链安全要求》也在编制中,将对软件供应链所涉及的相关方应满足的安全要求进行规范。
《信息安全技术 信息技术产品供应方行为安全准则》(GB/T 32921-2016)从供应商角度入手,规定了信息技术产品供应方的行为安全准则;《信息安全技术 ICT 供应链安全风险管理指南》(GB/T 36637-2018)规定了信息通信技术(ICT)供应链的安全风险管理过程和控制措施,适用于 ICT 供方和需方、第三方测评机构等;国标《信息安全技术 信息技术产品供应链安全要求》针对关键信息基础设施,规定了信息技术产品供应方和需求方应满足的供应链安全要求,该标准已完成征求意见,即将发布;中国信息安全测评中心牵头的国标《信息安全技术 软件供应链安全要求》也在编制中,将对软件供应链所涉及的相关方应满足的安全要求进行规范。
