2021年软件供应链攻击数量激增300%+

研究显示，攻击者重点关注的是开源漏洞和投毒、代码完整性问题以及利用软件供应链流程和供应商信任分发恶意软件或后门。他们发现软件开发环境中的安全水平仍然低下，而且更重要的是，所评估的每个公司都存在漏洞和配置不当问题，从而导致这些公司易受供应链攻击影响。

研究人员花了6个月对客户进行了安全评估，从而判断企业安全状况，防御软件供应链攻击。

Argon 客户成功和销售高级总监 Eran Orzel 表示，“去年的攻击数量和单个攻击产生的广泛影响反映了应用安全团队正在面临的巨大挑战。遗憾的是，多数团队缺乏应对供应链攻击所需的资源、预算和知识。加上要解决这个攻击向量，应用安全团队需要和开发以及DevOps 团队合作，因此足以看出挑战之艰巨。”

1、使用易受攻击的软件包。几乎在所有商业软件中都可看到开源代码的影子。很多处于使用状态的开源包均存在漏洞，更新至更安全的版本需要开发和 DevOps 团队合作。所以，它成为执行供应链攻击最快速的方法之一。利用易受攻击软件包的常见攻击有两种：

2、 受陷的管道工具：攻击者可利用提升后的访问权限、配置不当和CI/CD管道基础设施（如源代码管理系统、构建代理、包注册表和服务依赖）中的漏洞，访问关键IT基础设施、开发流程、源代码和应用程序。

受陷CI/CD 管道可暴露应用程序的源代码，而该源代码是应用程序、开发基础设施和流程的蓝图。这些受陷管道可导致攻击者在build 进程中更改代码或注入恶意代码并篡改应用程序（如SolarWinds事件）。

这种安全事件难以识别且可造成很多损害。攻击者还可利用受陷包注册表上传受陷工件而非合法工件。另外，和该管道关联的数十个外部依赖可用于访问管道并发动攻击（如Codecov 事件）。

3、代码/工件完整性：研究指出发现的主要风险之一就是将恶意代码上传到源代码仓库中，从而直接影响工件质量和安全状况。多数客户环境中出现的常见问题是代码中的敏感数据（机密）、代码质量和安全问题，基础设施即代码问题，容器镜像漏洞和配置不当。在很多情况下这些问题数量庞大且需要专门处理以减少暴露情况如机密清理、容器镜像标准化等。

Orzel 表示，“软件供应链流程是现代应用开发生命周期的核心组件。作为广泛的攻击向量，它严重威胁到下游企业的应用安全态势，有可能暴露敏感数据并在运行时的应用中制造更多入口点。在很多情况下，等安全团队发现时为时已晚，因为多数企业在CI/CD工具和流程方面并不具备防御能力。”

为解决这些问题，安全团队需要和 DevOps 团队协作并在开发流程中实现安全自动化。组织机构应当使用相关安全解决方案，确保软件开发流程免受软件供应链攻击。

奇安信网神开源卫士系统（简称：开源卫士）是一款集开源软件识别与安全管控于一体的软件成分分析系统，该系统通过智能化数据收集引擎在全球范围内获取开源软件信息及其相关漏洞信息，利用自主研发的开源软件分析引擎为企业提供开源软件资产识别、开源软件安全风险分析、开源软件漏洞告警及开源软件安全管理等功能，帮助用户掌握开源软件资产信息，及时获取开源软件漏洞情报，降低由开源软件带来的安全风险，保障企业交付更安全的软件。

开源卫士试用地址：https://oss.qianxin.com 

或戳“原文链接”直达

https://www.helpnetsecurity.com/2022/01/20/software-supply-chain-attacks-2021/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~