2023年,对软件供应链的网络攻击将持续增加。相应地,人们将看到安全团队处理网络防御的方式发生转变。这是根据ReversingLabs最近的一份报告得出的,该报告评估了自SolarWinds网络攻击以来软件供应链事件的影响。2020年SolarWinds网络攻击的影响范围广泛且影响深远。突然之间,软件供应链成为网络犯罪的温床,可以进行有利可图的网络攻击、网络间谍活动,或者只是发表声明。为了应对这种发现和利用软件供应链中的弱点的新趋势,安全团队也加强了安全保护,政府制定了具体的指导方针以确保软件供应链在《持久安全框架》下的安全,以及一项名为《2022年开源软件安全法案》的新立法。ReversingLabs在《2022~2023年软件供应链安全状况》报告中表示:“这些软件供应链攻击基于无处不在的实践和行为。其中包括:严重依赖集中式、基于云的基础设施;快速发展的DevOps实践显着提高了软件发布节奏,部分原因是大量使用第三方商业现成模块和开源模块来加速开发;以及更多地依赖集中式自动更新机制来促进现代基于云的应用程序和服务的快速发布。”ReversingLabs过去12个月观察到的主要软件供应链安全趋势对植入恶意代码的开源软件的信任已被证明是企业安全的一个缺陷。例如,在过去四年中,对npm和PyPI存储库的攻击激增了289%。恶意包已经成为开源库中的恶性存在,尤其是npm,在2022年1月至2022年10月期间被发现有多达7000个恶意包。这个数字比2020年高出100倍,比2021年高出40%。npm和PyPI中的packagenpm存储库是网络犯罪分子传播恶意代码和感染下游组织的选择。ReversingLabs表示,这是因为npm存储库托管了超过310万个项目,其中407,000个项目在PyPi上,173,000个项目在RubyGems上。具体来说,拼写错误欺诈(即恶意行为者发布名称与流行库名称相似的包的技术)有所增加。Protestware软件给软件供应链带来了另一个风险。Protestware软件出现在2022年,其中合法应用程序的维护者决定将他们的软件武器化以服务于一些更大的事业(无论是个人的还是政治的)。npm库colors.js和fakerr.js(打印“LIBERTY”LIBERTYLIBERTY,后跟一系列乱码的非ASCII字符,而不是所需的输出)和开源库node.ipc是Protestware的一些示例。同时,企业可能会无意中将敏感信息留在存储库中。安全分析师查理琼斯说:“直到最近,我们看到恶意行为者开始将注意力转向软件供应链,因为他们开始意识到源代码是无意中嵌入的秘密的丰富来源,可用于进一步的攻击。”在ReversingLabs。”一些企业对源代码、凭据、访问令牌等敏感信息的存在感到“尴尬”,这些信息嵌入在他们自己或第三方在开源平台上维护的存储库中,包括美国退伍军人事务部、丰田、CarbonTV等托管项目的泄露凭证数量此外,企业被发现依赖易受攻击的软件依赖项。然而,Log4Shell、Text4Shell、Spring4Shell、Python和OpenSSL等开源漏洞的增加表明,威胁参与者一直在试图寻找新的利用途径。好消息是,企业对当前的问题持谨慎态度。根据RversingLabs的一项调查显示:98%的受访者表示,第三方软件、开源软件和软件篡改是企业面临的风险。66%的受访者表示,可利用的软件漏洞会带来风险。63%的受访者表示,隐藏在开源存储库中的威胁和恶意软件可能导致SolarWinds和Codecov等网络安全事件。51%的受访者表示,无法检测软件篡改是一种安全风险。持续集成(CI)/持续交付(CD)工具链中的漏洞也被40%的受访者强调为一个问题。因此,安全团队应采取以下措施来应对供应链攻击:引入了新的恶意软件包识别能力。与扫描平台的更多集成。IP范围已锁定。供应链安全自动化。开源项目办公室。开源安全符合《2022年开源软件安全法案》规定。ReversingLabs总结道:“过去三年的数据表明,2023年对软件供应链的攻击频率和严重程度将增加,这与旨在解决供应链风险的新法规和指南相结合,将给开发人员和企业带来新的压力。展望未来,ReversingLabs研究人员预计安全思维和投资将发生转变,对内部代码和共享代码的保密证据审查力度加大,例如对AWS和Azure等基于云的服务的访问凭证;SSH、SSL和PGP密钥,以及各种其他访问令牌和API密钥。“
