大多數(shù)公司都有供應鏈,第三方組織在供應鏈中開發(fā)用于其產(chǎn)品開發(fā)的組件。軟件也是如此。公司依賴第三方開發(fā)的應用程序,甚至內(nèi)部開發(fā)的軟件也使用第三方庫和代碼。然而,這種對第三方代碼的依賴為攻擊者創(chuàng)造了機會。供應鏈安全可防止攻擊者通過組織使用的第三方應用程序和代碼攻擊組織。
為什么供應鏈安全很重要
近年來,供應鏈攻擊已成為日益嚴重的威脅。備受矚目的網(wǎng)絡攻擊,例如對 SolarWinds 和 Kaseya 的攻擊,表明攻擊者可以通過破壞單個組織并利用信任關(guān)系來訪問客戶網(wǎng)絡來顯著增加攻擊的影響。
網(wǎng)絡罪犯通常還會在攻擊中以開源庫和代碼存儲庫為目標。如果他們成功感染了這些庫,那么所有使用受感染庫的應用程序也將受到影響。大多數(shù)應用程序都依賴于幾個不同的庫,并且依賴關(guān)系可能很深。供應鏈安全解決方案可幫助組織保持對其軟件供應鏈依賴關(guān)系的可見性,使他們能夠有效地識別和修復攻擊者插入的可利用漏洞或后門。
供應鏈安全威脅
供應鏈攻擊利用組織的信任關(guān)系,包括對外部組織和第三方軟件的信任。組織面臨的一些主要供應鏈威脅包括:
受損的合作伙伴:許多組織允許第三方組織訪問他們的網(wǎng)絡和系統(tǒng)。如果攻擊者破壞了該供應商或合作伙伴,他們可以利用這種信任關(guān)系來訪問組織的環(huán)境。
易受攻擊的代碼:應用程序通常具有大量第三方依賴項,開發(fā)人員通常無法完全了解他們在應用程序中包含的代碼。如果第三方庫包含可利用的漏洞,則攻擊者可以利用這些漏洞來損害組織或其客戶。
植入的后門:網(wǎng)絡罪犯越來越多地試圖破壞常用庫或創(chuàng)建惡意的類似物。這些受損的庫可能包含旨在讓攻擊者訪問公司數(shù)據(jù)或系統(tǒng)的漏洞或后門。
供應鏈安全最佳實踐
供應鏈攻擊會給組織帶來重大風險,并可能產(chǎn)生巨大影響。公司可以采取各種措施來防止供應鏈攻擊或?qū)⑵溆绊懡抵磷畹汀R恍┕湴踩罴褜嵺`包括:
最小權(quán)限:最小權(quán)限原則規(guī)定用戶、應用程序、系統(tǒng)等應僅具有其角色所需的訪問權(quán)限。最大限度地減少訪問限制了受感染的應用程序或供應商可能造成的損害。
網(wǎng)絡分段:網(wǎng)絡分段根據(jù)目的和信任級別將網(wǎng)絡劃分為多個部分。網(wǎng)絡分段使攻擊者更難在不被發(fā)現(xiàn)的情況下穿過公司網(wǎng)絡。
DevSecOps: DevSecOps 提倡將安全融入開發(fā)生命周期。通過在開發(fā)過程的早期考慮潛在的安全問題,組織可以在應用程序投入生產(chǎn)之前識別和修復供應鏈漏洞。
漏洞掃描:漏洞掃描器有可能識別應用程序中已知和未知的漏洞。定期漏洞掃描使組織能夠識別并快速響應第三方代碼中的新漏洞。
軟件組合分析 (SCA): SCA 自動識別應用程序中的依賴關(guān)系。執(zhí)行 SCA 使組織能夠保持對第三方代碼使用的可見性,并監(jiān)控該代碼是否存在漏洞或潛在后門。
自動化安全:主動防御對于最小化攻擊對組織的風險和影響至關(guān)重要。SOC 分析師應該使用以預防為中心的防御措施來保護 Web 應用程序。
威脅搜尋:威脅搜尋是在組織環(huán)境中主動搜索未知威脅的做法。威脅搜尋可以幫助識別通過供應鏈攻擊獲得企業(yè)系統(tǒng)訪問權(quán)限的攻擊者。
