2023年，針對(duì)軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊將會(huì)繼續(xù)增加。相應(yīng)地，人們將會(huì)看到安全團(tuán)隊(duì)進(jìn)行網(wǎng)絡(luò)防御的轉(zhuǎn)變。這是根據(jù)ReversingLabs最近發(fā)布的一份報(bào)告得出的結(jié)論，該報(bào)告評(píng)估了自SolarWinds網(wǎng)絡(luò)攻擊事件以來(lái)軟件供應(yīng)鏈?zhǔn)录挠绊憽?/p>

2020年SolarWinds網(wǎng)絡(luò)攻擊的影響廣泛而深遠(yuǎn)。突然之間，軟件供應(yīng)鏈變成了網(wǎng)絡(luò)犯罪的溫床，可以進(jìn)行有利可圖的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)間諜活動(dòng)，或者只是發(fā)表聲明。

為了應(yīng)對(duì)這種尋找和利用軟件供應(yīng)鏈弱點(diǎn)的新趨勢(shì)，安全團(tuán)隊(duì)也提高了他們的安全防護(hù)水平，各國(guó)政府制定了《持久安全框架》下保護(hù)軟件供應(yīng)鏈的具體指南，以及名為《2022年開源軟件安全法案》的新立法。

ReversingLabs在《2022～2023年軟件供應(yīng)鏈安全狀況》報(bào)告中指出：“這些軟件供應(yīng)鏈攻擊以普遍存在的實(shí)踐和行為為基礎(chǔ)。其中包括：嚴(yán)重依賴集中的、基于云的基礎(chǔ)設(shè)施;快速發(fā)展的DevOps實(shí)踐顯著地提高了軟件發(fā)布的節(jié)奏，部分原因是大量使用第三方商用現(xiàn)成模塊和開源模塊來(lái)加快開發(fā);以及更加依賴集中的自動(dòng)更新機(jī)制，以促進(jìn)現(xiàn)代基于云的應(yīng)用程序和服務(wù)的快速發(fā)布。”

ReversingLabs在過(guò)去12個(gè)月觀察到的主要軟件供應(yīng)鏈安全趨勢(shì)

對(duì)植入惡意代碼的開源軟件的信任已被證明是企業(yè)安全的一個(gè)缺陷。例如，在過(guò)去四年中，對(duì)npm和PyPI存儲(chǔ)庫(kù)的攻擊激增了289%。

惡意軟件包已經(jīng)成為開源存儲(chǔ)庫(kù)中的惡性存在，尤其是npm，在2022年1月至10月期間，npm被發(fā)現(xiàn)有多達(dá)7000個(gè)惡意包。這一數(shù)字比2020年高出100倍，比2021年高出40%。

npm和PyPI中的惡意包

npm存儲(chǔ)庫(kù)是網(wǎng)絡(luò)犯罪分子傳播惡意代碼和感染下游組織的選擇。ReversingLabs表示，這是因?yàn)閚pm存儲(chǔ)庫(kù)托管了310多萬(wàn)個(gè)項(xiàng)目，PyPi上有40.7萬(wàn)個(gè)項(xiàng)目，RubyGems上有17.3萬(wàn)個(gè)項(xiàng)目。

具體而言，拼寫錯(cuò)誤欺詐(即惡意行為者發(fā)布名稱與流行庫(kù)名稱相似的包的技術(shù))已經(jīng)增加。

Protestware軟件給軟件供應(yīng)鏈帶來(lái)了另一個(gè)風(fēng)險(xiǎn)。Protestware軟件出現(xiàn)于2022年，其中合法應(yīng)用程序的維護(hù)者決定將他們的軟件武器化，以服務(wù)于一些更大的事業(yè)(無(wú)論是個(gè)人還是政治)。

npm libraries colors.js和faker r.js(打印“LIBERTY”LIBERTY LIBERTY，后面有一系列亂碼非ASCII字符，而不是所需的輸出)和open-source library node.ipc是Protestware的一些例子。

與此同時(shí)，企業(yè)可能無(wú)意中將敏感信息留在存儲(chǔ)庫(kù)中。ReversingLabs安全分析師Charlie Jones指出：“直到最近，我們才看到惡意攻擊者將注意力轉(zhuǎn)向軟件供應(yīng)鏈，因?yàn)樗麄冮_始意識(shí)到源代碼是一個(gè)無(wú)意中嵌入秘密的豐富來(lái)源，可以用于進(jìn)一步的攻擊。”

一些企業(yè)對(duì)敏感信息的存在感到“尷尬”，例如源代碼、憑證、訪問(wèn)令牌等，嵌入在由他們自己或第三方在開源平臺(tái)上維護(hù)的存儲(chǔ)庫(kù)中，包括美國(guó)退伍軍人事務(wù)部、豐田公司、CarbonTV等。

PyPi|托管項(xiàng)目泄漏憑據(jù)的數(shù)量

此外，企業(yè)被發(fā)現(xiàn)依賴于脆弱的軟件依賴項(xiàng)。然而，Log4Shell、Text4Shell、Spring4Shell、Python和OpenSSL等開源漏洞的增加表明威脅行為者一直在試圖尋找新的利用途徑。

好消息是，企業(yè)對(duì)當(dāng)前的問(wèn)題持謹(jǐn)慎態(tài)度。RversingLabs進(jìn)行的一項(xiàng)調(diào)查表明：

• 98%的受訪者表示，第三方軟件、開源軟件和軟件篡改對(duì)企業(yè)來(lái)說(shuō)是風(fēng)險(xiǎn)。
• 66%的受訪者表示，可利用的軟件漏洞構(gòu)成風(fēng)險(xiǎn)。
• 63%的受訪者表示，隱藏在開源存儲(chǔ)庫(kù)中的威脅和惡意軟件可能導(dǎo)致SolarWinds和Codecov這樣的網(wǎng)絡(luò)安全事件。
• 51%的受訪者表示，無(wú)法檢測(cè)軟件篡改是一種安全風(fēng)險(xiǎn)。
• 40%的受訪者還強(qiáng)調(diào)了持續(xù)集成(CI)/持續(xù)交付(CD)工具鏈中的漏洞是一個(gè)問(wèn)題。

因此，安全團(tuán)隊(duì)?wèi)?yīng)采取以下措施應(yīng)對(duì)供應(yīng)鏈攻擊：

• 引入了識(shí)別惡意軟件包的新功能。
• 與掃描平臺(tái)的更多集成。
• IP范圍鎖定。
• 供應(yīng)鏈安全自動(dòng)化。
• 開源項(xiàng)目辦公室。
• 遵守《2022年開源軟件安全法案》規(guī)定的開源安全。

ReversingLabs總結(jié)道：“過(guò)去三年的數(shù)據(jù)表明，2023年軟件供應(yīng)鏈?zhǔn)艿降墓魧⒃陬l率和嚴(yán)重程度上增加，再加上旨在解決供應(yīng)鏈風(fēng)險(xiǎn)的新法規(guī)和指南，將給開發(fā)商和企業(yè)帶來(lái)新的壓力。

展望未來(lái)，ReversingLabs的研究人員預(yù)計(jì)安全思維和投資都會(huì)發(fā)生變化，預(yù)計(jì)將加強(qiáng)對(duì)內(nèi)部代碼和共享代碼的審查，以尋找機(jī)密證據(jù)，例如AWS和Azure等基于云的服務(wù)的訪問(wèn)憑證;SSH、SSL和PGP密鑰，以及各種其他訪問(wèn)令牌和API密鑰。”