https://www.informationsecurity.com.tw/Seminar/2024_TCM/
https://www.informationsecurity.com.tw/Seminar/2024_TCM/

觀點

Black Hat 2022大會焦點:軟體供應鏈安全

2022 / 08 / 12
編輯部
Black Hat 2022大會焦點:軟體供應鏈安全
Black Hat年會以往聚焦多在硬體和傳統軟體,不過今年出現了更多軟體供應鏈安全相關探討,顯示全球威脅局面正在改變。今年舉行的第25屆Black Hat針對支援現代 DevOps 的組織機構開發人員、開源模組及基礎設施底層有許多討論,而這些討論代表威脅局面轉變以及軟體供應鏈面臨越來越多的安全威脅。

大家關心什麼?

Black Hat發佈了《供應鏈和雲端安全風險是首要考慮》的調查報告。研究結果顯示,針對雲服務的攻擊、勒索軟體和全球供應鏈風險最令人擔憂。

2021年是供應鏈攻擊之年,組織機構瞭解供應鏈可被攻擊並同時影響大量受害者。大會調查結果顯示:
  • 53%的受訪人員表示,由協力廠商提供的雲/網路服務漏洞是最被擔心的網路安全問題;
  • 同樣比例的受訪人員認為,由承包商、方案商和客戶維護的系統、應用程式和網路中的漏洞是也令人擔心;
  • 34%的受訪者認為從協力廠商購買的系統中現成可用軟體中的漏洞是最被擔心的問題之一;
  • 26%的受訪人員表示最擔心的是基於開源元件架設的軟體或雲服務隱藏的漏洞。
調查當前面臨最大的威脅和挑戰時,39%參會人員表示最擔心的是:釣魚攻擊和其它形式的社工攻擊 (39%),具有針對性的複雜攻擊 (35%),針對供應商、承包商或其它合作夥伴等的攻擊 (28%),以及雲服務提供商的潛在攻擊 (26%)。

近年來,勒索軟體從以加密資料取得贖金演變為破壞系統或刪除資料的複雜攻擊。59%的受訪人員認為,近兩年來自己所在組織機構遭受的勒索威脅增多。雖然遭受的攻擊增多,但96%的安全專業人員表示已能夠成功攔截或將勒索攻擊的影響最小化。

開發團隊成為攻擊目標

今年大會另一個明確的主題是DevOps:組織機構使用的工具和平台的安全性,許多討論有關開源軟體的原始程式碼管理中的威脅問題。

NCC Group 分享在多家規模不一的企業中測試開發團隊安全性。NCC Group將CI/CD通道稱為「軟體供應鏈中最危險的潛在攻擊面」,DevOps開發平台是任何企業IT基礎設施中的發展重點,本意是要加速軟體發展,但攻擊者卻讓CI/CD通道轉變為惡意「遠端程式碼執行即服務」的平台。

IBM X-Force 團隊的研究員圍繞「DevOps 環境中的威脅」主題,挖掘了原始程式碼管理系統如 GitHub Enterprise、GitLab Enterprise 和 Bitbucket 等可遭攻擊和攻陷的多種方式。

開源:風險生意

軟體產業在開發過程中對開源元件的嚴重依賴是不爭的事實。但透由開源平台和程式碼進行攻擊越來越普遍,因此開源網路風險是本次大會另一個中心議題。如Synopsys 公司發現,2021年平均每款軟體應用依賴於500多個開源庫和組件,近兩年來增加了77%。攻擊者也注意到了這一點,很多攻擊針對的是嚴重依賴於開源倉庫如 PyPi 和 npm。

開發人員:安全房間裡的大象

DevOps 安全是房間中的大象(即非常顯而易見但一直被忽略的問題),指的是開發人員本身的安全意識。雖然原始程式碼分析工具能夠改進專有和開源軟體安全性評估,漏洞掃描可以識別出開發程式碼中的缺陷和弱點,但最好的安全修復方案源自好好編寫的高品質程式碼。

專家提到很多組織機構在培訓開發人員忽略了安全層面的訓練。培訓的目的是在於提升開發人員的安全意識和技能,減少所開發應用程式的存在常見且普遍的安全問題。

本文轉載自Secrss.com。