不論企業的數位轉型正如火如荼進行、或者只是單純移轉至一些更具成本效益與靈活性的平台,數位資產受攻擊面都將因而擴大,並暴露於軟體供應鏈的資安威脅當中。根據 Venafi 近期一項調查指出,有 82% 的受訪者覺得其機構有可能遭到針對軟體供應鏈的網路攻擊。此外,由於網路駭客集團受到 Kaseya 和 SolarWinds 事件的鼓舞,針對軟體建構及派送環境的攻擊行動將越來越多。
企業當然也注意到這股威脅趨勢,有 85% 的受訪者表示他們「已收到執行長的明確指示要求改善軟體建構與派送環境的資安」。為了協助資安長 (CISO) 和資安領導人管理及防範供應鏈的資安風險,本文將探討軟體供應鏈為何會面臨風險,以及 CISA 提供了哪些策略性建議。
軟體供應鏈簡介
為了追求軟體開發的靈活性,許多企業因而移轉到雲端原生開發環境並採用 DevOps 流程。這樣做當然有其效益,但如此的開發速度卻也明顯地讓軟體供應鏈的保護變得更加複雜。
為了將軟體供應鏈視覺化,讓我們來看一下 DevOps 的生命週期。這套軟體開發方法強調的是藉由持續的回饋以及軟體生命週期所有元素之間的環環相扣來達到安全性,而且不拖慢開發人員的建構速度。在這張圖中,您可以看到 DevOps 完整的生命週期以及它與各個推動其流程前進的外部元件之間的連結:
DevOps 軟體開發流程始於新的需求,儘管這張圖只用了單線的方式來表達這套流程,但事實上它會有許多第三方元件和工具來幫忙加速流程。
軟體供應鏈攻擊
這就是問題所在,任何一個第三方元件和工具都可能遭到網路駭客的攻擊,進而讓駭客進入更多其他系統。
以下說明一些駭客主要的攻擊途徑:
- 開放原始碼
開發人員經常會從 GitHub 這類公開分享的儲存庫複製其日常所需的原始程式碼。當別人已經寫好一段程式碼來處理欄位間的訊息傳送時,為何還要浪費時間撰寫相同的程式碼?今日有 90% 的應用程式都使用到開放原始碼,原因就在於它很容易使用。
然而開放原始碼不受審核的特性,卻可能造成像熱門開放原始碼事件記錄函式庫 Apache Log4j 所帶來的嚴重攻擊。Log4j 的事件記錄架構被發現了一個嚴重的漏洞能讓駭客只需注入一道惡意程式碼就能攻擊含有此漏洞的系統。根據美國 FDA 的估計,Log4j 大約影響了 30 億台以上使用 Java 的醫療裝置。
- 系統管理工具
版本控管系統可用來管理應用程式實際的發布與部署流程。應用程式一旦上線之後,接著就由第三方和開放原始碼環境來負責管理。當系統在執行時,作業自動化工具會負責維持日常營運的服務品質、啟動和關閉排程活動,以及同步更新資料。企業有一整套系統管理工具來確保營運順暢與資源最佳化。
Kaseya VSA 這套熱門的遠端管理軟體在 2021 年初遭到 REvil 勒索病毒襲擊。駭客利用其更新機制的一個漏洞來將惡意檔案派送至該軟體所管理的主機。這起大規模攻擊的傷害遠遠超越了虛擬世界,造成瑞典一家連鎖超市 Coop 被迫關閉將近 800 家店面一個禮拜。
- 購買的應用程式
開發人員還會購買一些軟體產品來執行資料庫更新、網頁範本建立與測試等工作。這些軟體產品的漏洞也可能遭到攻擊,例如 Ripple20 就是 Treck, Inc. 旗下一套使用廣泛的底層 TCP/IP 軟體函式庫當中的一系列零時差漏洞。
Ripple 20 的衝擊效應在經過供應鏈之後又更加放大,這證明了即使是一個小小的元件漏洞,也可能因為漣漪效應而衝擊各種產業、應用程式與企業,包括《財星 500 大》(Fortune 500) 跨國企業。根據 JSOF 報告指出,由於該軟體函式庫流通廣泛,因此有數億台裝置受到影響。
矯正軟體供應鏈的資安風險
很顯然地,軟體供應鏈有眾多可攻擊的點,這使得軟體供應鏈的防護變得更為複雜。為了協助企業強化防禦,CISA 在一份名為「ICT SCRM Essentials」(資通訊技術供應鏈風險管理之基礎) 的文件當中提出了建立有效供應鏈風險管理實務的 6 個關鍵步驟:
- 發掘:找出須參與的人員。
- 管理:根據產業標準與最佳實務原則 (如 NIST 發布的原則) 來制定供應鏈資安政策與程序。
- 評估:了解您所採購的硬體、軟體與服務。
- 掌握:詳細列出完整供應鏈來掌握您採購了哪些元件。
- 檢驗:決定您的機構該如何評估供應商的資安文化。
- 評量:設定時程與系統,根據指導原則來評量供應鏈的資安狀況。
為了發揮 CISA 框架的最佳效果,您應確定現有資安工具和廠商不會拖慢上述步驟或造成更多障礙。例如,您不僅需要完整的可視性來發掘並掌握您數位受攻擊面的所有面向、追蹤更新與修補、了解流量模式,更要列出所有存取您資料與資產的廠商與第三方對象。像這樣的高度可視性對於任何防範措施都非常必要,尤其是對今日不斷擴大的數位受攻擊面。
尋找一家能提供全方位網路資安平台且支援廣泛第三方整合的廠商,確保您從單一儀表板就能掌握整個供應鏈狀況。某些資安功能 (例如自動化、持續監控、深度的資料蒐集與交叉關聯) 也同樣重要,如此才能更快偵測、回應威脅,並矯正受影響的供應鏈環節。
本文轉載自趨勢科技部落格。