如何防范软件供应链攻击

根据研究，软件供应链攻击从2020年到2021年增长了300%以上。攻击者变得更加大胆，因为针对SolarWinds和Kaseya等主要供应商的成功攻击影响了它们下游的数千名客户。

为什么以供应链为目标?

组织依赖第三方提供的软件和服务来帮助运营其业务的多个方面。对这些组织和软件解决方案的信任可能会导致大规模的数据安全漏洞。如果这些供应商遭遇网络攻击，他们服务的所有组织随后都面临数据泄露的风险。

供应链攻击利用供应商和客户之间的信任关系，为攻击者提供更高的权限和对内部资源的访问权限，有时甚至允许他们访问管理员凭据。通过这种级别的访问权限，攻击者可以在整个组织中进行寻找敏感数据或执行未经授权的操作。

通过供应链进入不同系统的攻击者可能不仅仅专注于窃取数据。有时，他们可能正在采取措施进行重复攻击。在整个组织中嵌入rootkit和后门可以创建持久访问，为将来的一段时间提供访问路径。

组织为何易受到软件供应链攻击?

组织安全防御不足也会增加攻击风险，包括：

过度信任：攻击者通过受信任的系统进入，接收没有经过彻底审查的补丁和更新。

测试不足：与授予过度信任类似，随着大量补丁和更新的出现，许多组织缺少时间和资源来定期评估所有内容，或者没有将第三方资产纳入测试范围内。

缺乏代码评估：对于开发代码的组织来说，扫描和分析外部库中的变动，可以避免将恶意代码包含到构建的软件当中。

无入侵检测：即使遵循最佳实践，攻击者也可能溜进去。如果没有入侵检测，他们可以在不被阻止的情况下操作和进行更深入的攻击。

如何防止供应攻击

虽然没有单一的工具或流程可以完全防止软件供应链攻击，但采用多种防御方法将大大降低风险。

减少系统之间的信任

减少内部系统之间的信任数量对于降低攻击者利用供应链攻击深入组织的能力至关重要。

端点上的访问级别应该使用最小权限原则来定义，这样用户仅具有完成其工作所需的访问权限。同时即便是攻击者窃取凭据，也会限制其访问其他系统和资源的能力，从而降低影响。

识别漏洞

组织还可以通过测试其IT环境和安全流程来降低风险。漏洞管理解决方案可以通过识别可能成为攻击载体的安全缺陷，来防止企业遭到软件供应链攻击。

检测代码中的漏洞和缺陷可以在软件开发期间提高应用软件的安全性，如静态应用程序安全测试，动态应用安全测试等。开源组件分析用来查找企业引用的第三方开源组件安全性。渗透测试可以评估组织是否给与过多的信任，以及对网络攻击的警惕程度。