隨著開發人員面臨越來越大的快速交付項目的壓力,開發團隊和安全團隊之間的衝突也越來越多。而攻擊者正利用這一沖突,將目標鎖定在軟件供應鏈上。
那麼,企業面臨著什麼樣的威脅,企業又該如何保護自己呢?我們採訪了供應鏈安全公司 Phylum 的聯合創始人兼 CSO Pete Morgan 以找出答案。
BN:為什麼軟件供應鏈對攻擊者如此有吸引力?
PM:不良行為者瞄準軟件供應鏈的三個主要原因:
開發人員是新的高價值目標:攻擊者知道供應的目標鏈妥協是軟件開發商或特權基礎設施。任何一個目標的妥協都會產生雲訪問密鑰、SSH 密鑰、簽名密鑰和其他秘密。這些密鑰通常會存在很長時間,這意味著未被發現的妥協使攻擊者有足夠的訪問權限和時間來仔細計劃下一階段。有許多盲點需要利用: 軟件供應鍊是一個不斷變化的概念。 85% 到 95% 的應用程序使用開源包,並且由互聯網上的陌生人創建和維護。開發人員在不受安全團隊監督或控制的情況下使用這些包。為一個組織的軟件供應鏈繪製出真正的攻擊面是複雜的,並且因組織而異,留下許多空白。隨著時間的推移不斷維護它更加困難,為攻擊者提供了各種機會。防守必須完美,進攻方只需要贏一次。低投資高回報:攻擊軟件供應鏈的成本極低,而且通常是免費的。有些攻擊只需要運行腳本並等待。在組織升級他們的軟件供應鏈安全程序之前,攻擊者知道他們不必那麼努力或使用複雜的攻擊就可以成功。
BN:開發團隊和安全團隊之間的主要摩擦點是什麼?
PM:安全團隊希望對開發過程有更多的可見性和控制,而開發人員希望盡可能少創新的障礙盡可能多。當目標、政策和流程沒有很好地協調一致,或者在這種情況下經常發生衝突時,摩擦自然會存在。
BN:安全性如何改善與開發團隊的關係?
PM:同理心是在這兩個團隊之間找到共同點的一個重要因素,這兩個團隊必須協調工作以實現關鍵的業務目標。安全團隊應將開發人員納入安全決策的早期階段,並使他們更容易採用策略,並且當被要求將安全實踐納入其流程時,開發人員應保持開放的心態。暢通的溝通渠道、定期分享關於什麼有效、什麼無效的反饋,以及採用可自動執行政策並在不中斷開發過程的情況下將問題具體化的技術,將帶來更有效的合作。
BN:為什麼開源軟件包中的惡意軟件如此危險嗎?
PM:哦,從哪裡開始!惡意軟件包與傳統惡意軟件的不同之處在於,大多數惡意軟件包不需要利用任何漏洞或誘騙用戶執行它們。安裝錯誤包或安裝具有錯誤依賴性的包的開發人員可能會受到損害,99% 的時間他們永遠不會知道。
大多數開發人員根本沒有時間或工具來分析他們使用的包裹的風險。包有依賴關係,而依賴關係鏈可以是 20-30 級,包含數以萬計的開源包。大多數組織仍然只掃描漏洞和許可證濫用,因此惡意軟件很容易未被發現:它是對密鑰和秘密的粉碎和搶奪,然後發動進一步的攻擊。
BN:有哪些與經常被忽視的開源代碼相關的其他風險?
PM:有很多,但最突出的是維護者過渡。它不是軟件漏洞或惡意程序包;這是源於開源生態系統中常見做法的眾多作者風險之一。有時,開發人員不再有興趣或時間維護流行的開源包。他們通常希望為依賴它的用戶保持功能,因此他們將維護權移交給另一個人或團隊。審查新維護者的動機和動機非常困難,因此這些包的控制權就交到了互聯網上不同的陌生人手中。如果惡意作者控制了應用程序中使用的包,則會引入初始構建中未考慮的新風險。
BN:了解這一點有多重要並管理依賴關係?
PM:我們應該對依賴關係持批判態度,因為每個包的長期包含會極大地擴大攻擊面。我們需要了解重用不斷變化的代碼的風險,以有效地保護軟件。否則,組織將繼續重用 Internet 上陌生人的代碼,並採取只希望最好的策略。這就是軟件供應鏈現在成為新聞的原因。
BN:SBOM 如何幫助提高可見性和安全性?
PM: SBOM 是朝著正確方向邁出的一步,但我擔心全面採用 SBOM 流程的法規和要求將導致大量動議,而沒有對軟件安全性進行有意義的改進。獲得軟件項目組件的可見性的想法是顯而易見的,但我看到傳遞的 SBOM 過程非常缺乏,因為它只提供不完整的及時快照。
SBOM 提供的信息不足以覆蓋軟件供應鏈的攻擊面,供應商和消費者組織採用 SBOM 流程的意義假設應用程序安全和/或產品安全預算實際上是無限的。 SBOM 格式和流程需要顯著發展才能以有意義的方式採用。
BN:組織需要改變哪些標準、規範或行為才能最好地保護其軟件供應鏈?
PM:需要進行根本性的心態轉變。公司需要了解他們現在面臨著重大的軟件供應鏈風險,而且很可能已經存在很長時間了。軟件供應鏈安全處於起步階段,因此攻擊每天都在演變,而防禦措施只是在過去幾年才建立起來的。假設您的開發人員正在積極成為目標,並且您沒有意識到暴露在軟件供應鏈風險中。一旦你突破了錯誤的安全感,你就可以從一個誠實的地方開始,構建一個可以根據你的獨特需求進行擴展的有效程序。
圖片來源: Manczurov/Shutterstock