專門的軟體供應鏈「ATT&CK框架」：OSC&R

近年來隨著重大軟體供應鏈攻擊事件不斷曝光，軟體供應鏈安全已引起各行各業資安人員高度重視，但是由於缺乏一個類似ATT&CK的開放框架，企業之間很難共用軟體供應鏈安全知識，難以對潛在威脅達成共識並制定有效的安全性原則。

因此業界迫切需要一個能夠為全球企業和安全團隊提供一種全面且可操作的開放知識框架，以瞭解攻擊者的行為和技術，特別是針對軟體供應鏈的威脅。

OX Security發佈了軟體供應鏈攻擊框架—OSC&R（開放軟體供應鏈攻擊參考框架），分類各種軟體供應鏈安全威脅，該框架涵蓋攻擊向量資訊，如：協力廠商資料庫和零組件中的漏洞、開發和部署系統的供應鏈攻擊、以及駭客攻擊或惡意軟體技術動態。

參與開發OSC&R的網路安全專業人士來自GitLab、Microsoft、Google Cloud、Check Point Technologies，還包括OWASP的前領導人。

OSC&R框架側重「網路攻擊鏈」

OX Security創始人Neatsun Ziv表示：「OSC&R可幫助資安從業人員更好地理解和評估軟體供應鏈風險。資安從業者都能使用這個框架來評估軟體供應鏈安全風險，並瞭解如何快速解決這些問題。」

GitLab高級安全工程師Hiroki Suezawa強調，OSC&R框架為全球資安社群提供了一個統一參考框架，可説明企業自我評估軟體供應鏈安全性原則和態勢，選擇合適的網路安全解決方案，並制定有效的供應鏈安全性原則。

Ziv指出，OSC&R框架從「網路攻擊鏈」觀察軟體供應鏈威脅，是攻擊戰術、技術和程式(TTP)的結構化視圖。第一版OSC&R框架已可以讓安全團隊立即使用，即刻評估現有防禦並定義需要優先處理哪些供應鏈威脅、現有覆蓋範圍如何解決這些威脅，及跟蹤攻擊者行為。

隨著軟體供應鏈攻擊的新策略與技術的出現和發展。OSC&R框架將定期更新，未來將能幫助滲透測試團隊或紅隊演練和測試範圍，並在測試期間和之後充當記分卡工具。

OX安全顧問Yeal Citro透露，大約20家工作組成員企業正在為OSC&R框架做出貢獻，目標是未來數月內為更多行業開放。

軟體供應鏈是網路安全的頭號難題

軟體供應鏈安全是近年來企業和資安行業的重要議題，因為全球企業和機構正面臨越來越嚴峻的軟體供應鏈相關攻擊風險。

2022年5月，Rezilion推出了Dynamic SBOM（軟體物料清單），協助企業檢查軟體環境多個組件的運行動態，發現並追蹤漏洞。

9月，美國國家安全局(NSA)、網路安全與基礎設施安全局(CISA)和國家情報總監辦公室(ODNI)發佈了針對關鍵基礎設施安全的《保護軟體供應鏈：開發人員推薦實踐指南》。該指南強調了開發人員在開發安全軟體方面的作用，並給出了符合行業最佳實踐的方法。但是不少安全業內人士對仍多有疑慮，認為該指南不符現實，仍需要檢驗改善。

OSC&R框架連結：https://pbom.dev/

本文轉載自secrss。