<sup id="zebix"><mark id="zebix"></mark></sup>

    <nav id="zebix"><code id="zebix"></code></nav>

      1. <form id="zebix"></form>

        <nobr id="zebix"></nobr>
        <var id="zebix"></var>

        當前位置:企業應用軟件行業動態 → 正文

        研究表明2023年對軟件供應鏈的攻擊將會加劇

        責任編輯:cres 作者:Sumeet Wadhwani |來源:企業網D1Net  2022-12-12 14:22:03 原創文章 企業網D1Net

        2023年,針對軟件供應鏈的網絡攻擊將會繼續增加。相應地,人們將會看到安全團隊進行網絡防御的轉變。這是根據ReversingLabs最近發布的一份報告得出的結論,該報告評估了自SolarWinds網絡攻擊事件以來軟件供應鏈事件的影響。
         
        2020年SolarWinds網絡攻擊的影響廣泛而深遠。突然之間,軟件供應鏈變成了網絡犯罪的溫床,可以進行有利可圖的網絡攻擊、網絡間諜活動,或者只是發表聲明。
         
        為了應對這種尋找和利用軟件供應鏈弱點的新趨勢,安全團隊也提高了他們的安全防護水平,各國政府制定了《持久安全框架》下保護軟件供應鏈的具體指南,以及名為《2022年開源軟件安全法案》的新立法。
         
        ReversingLabs在《2022~2023年軟件供應鏈安全狀況》報告中指出:“這些軟件供應鏈攻擊以普遍存在的實踐和行為為基礎。其中包括:嚴重依賴集中的、基于云的基礎設施;快速發展的DevOps實踐顯著地提高了軟件發布的節奏,部分原因是大量使用第三方商用現成模塊和開源模塊來加快開發;以及更加依賴集中的自動更新機制,以促進現代基于云的應用程序和服務的快速發布。”
         
        ReversingLabs在過去12個月觀察到的主要軟件供應鏈安全趨勢
         
        對植入惡意代碼的開源軟件的信任已被證明是企業安全的一個缺陷。例如,在過去四年中,對npm和PyPI存儲庫的攻擊激增了289%。
         
        惡意軟件包已經成為開源存儲庫中的惡性存在,尤其是npm,在2022年1月至10月期間,npm被發現有多達7000個惡意包。這一數字比2020年高出100倍,比2021年高出40%。
         
         
        npm和PyPI中的惡意包
         
        npm存儲庫是網絡犯罪分子傳播惡意代碼和感染下游組織的選擇。ReversingLabs表示,這是因為npm存儲庫托管了310多萬個項目,PyPi上有40.7萬個項目,RubyGems上有17.3萬個項目。
         
        具體而言,拼寫錯誤欺詐(即惡意行為者發布名稱與流行庫名稱相似的包的技術)已經增加。
         
        Protestware軟件給軟件供應鏈帶來了另一個風險。Protestware軟件出現于2022年,其中合法應用程序的維護者決定將他們的軟件武器化,以服務于一些更大的事業(無論是個人還是政治)。
         
        npm libraries colors.js和faker r.js(打印“LIBERTY”LIBERTY LIBERTY,后面有一系列亂碼非ASCII字符,而不是所需的輸出)和open-source library node.ipc是Protestware的一些例子。
         
        與此同時,企業可能無意中將敏感信息留在存儲庫中。ReversingLabs安全分析師Charlie Jones指出:“直到最近,我們才看到惡意攻擊者將注意力轉向軟件供應鏈,因為他們開始意識到源代碼是一個無意中嵌入秘密的豐富來源,可以用于進一步的攻擊。”
         
        一些企業對敏感信息的存在感到“尷尬”,例如源代碼、憑證、訪問令牌等,嵌入在由他們自己或第三方在開源平臺上維護的存儲庫中,包括美國退伍軍人事務部、豐田公司、CarbonTV等。
         

         
        PyPi|托管項目泄漏憑據的數量
         
        此外,企業被發現依賴于脆弱的軟件依賴項。然而,Log4Shell、Text4Shell、Spring4Shell、Python和OpenSSL等開源漏洞的增加表明威脅行為者一直在試圖尋找新的利用途徑。
         
        好消息是,企業對當前的問題持謹慎態度。RversingLabs進行的一項調查表明:
         
        ·98%的受訪者表示,第三方軟件、開源軟件和軟件篡改對企業來說是風險。
         
        ·66%的受訪者表示,可利用的軟件漏洞構成風險。
         
        ·63%的受訪者表示,隱藏在開源存儲庫中的威脅和惡意軟件可能導致SolarWinds和Codecov這樣的網絡安全事件。
         
        ·51%的受訪者表示,無法檢測軟件篡改是一種安全風險。
         
        ·40%的受訪者還強調了持續集成(CI)/持續交付(CD)工具鏈中的漏洞是一個問題。
         
        因此,安全團隊應采取以下措施應對供應鏈攻擊:
         
        ·引入了識別惡意軟件包的新功能。
         
        ·與掃描平臺的更多集成。
         
        ·IP范圍鎖定。
         
        ·供應鏈安全自動化。
         
        ·開源項目辦公室。
         
        ·遵守《2022年開源軟件安全法案》規定的開源安全。
         
        ReversingLabs總結道:“過去三年的數據表明,2023年軟件供應鏈受到的攻擊將在頻率和嚴重程度上增加,再加上旨在解決供應鏈風險的新法規和指南,將給開發商和企業帶來新的壓力。
         
        展望未來,ReversingLabs的研究人員預計安全思維和投資都會發生變化,預計將加強對內部代碼和共享代碼的審查,以尋找機密證據,例如AWS和Azure等基于云的服務的訪問憑證;SSH、SSL和PGP密鑰,以及各種其他訪問令牌和API密鑰。”
         
        關于企業網D1net(www.shixingcraft.com):
         
        國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
         
        版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。

        關鍵字:軟件供應鏈

        原創文章 企業網D1Net

        x 研究表明2023年對軟件供應鏈的攻擊將會加劇 掃一掃
        分享本文到朋友圈
        當前位置:企業應用軟件行業動態 → 正文

        研究表明2023年對軟件供應鏈的攻擊將會加劇

        責任編輯:cres 作者:Sumeet Wadhwani |來源:企業網D1Net  2022-12-12 14:22:03 原創文章 企業網D1Net

        2023年,針對軟件供應鏈的網絡攻擊將會繼續增加。相應地,人們將會看到安全團隊進行網絡防御的轉變。這是根據ReversingLabs最近發布的一份報告得出的結論,該報告評估了自SolarWinds網絡攻擊事件以來軟件供應鏈事件的影響。
         
        2020年SolarWinds網絡攻擊的影響廣泛而深遠。突然之間,軟件供應鏈變成了網絡犯罪的溫床,可以進行有利可圖的網絡攻擊、網絡間諜活動,或者只是發表聲明。
         
        為了應對這種尋找和利用軟件供應鏈弱點的新趨勢,安全團隊也提高了他們的安全防護水平,各國政府制定了《持久安全框架》下保護軟件供應鏈的具體指南,以及名為《2022年開源軟件安全法案》的新立法。
         
        ReversingLabs在《2022~2023年軟件供應鏈安全狀況》報告中指出:“這些軟件供應鏈攻擊以普遍存在的實踐和行為為基礎。其中包括:嚴重依賴集中的、基于云的基礎設施;快速發展的DevOps實踐顯著地提高了軟件發布的節奏,部分原因是大量使用第三方商用現成模塊和開源模塊來加快開發;以及更加依賴集中的自動更新機制,以促進現代基于云的應用程序和服務的快速發布。”
         
        ReversingLabs在過去12個月觀察到的主要軟件供應鏈安全趨勢
         
        對植入惡意代碼的開源軟件的信任已被證明是企業安全的一個缺陷。例如,在過去四年中,對npm和PyPI存儲庫的攻擊激增了289%。
         
        惡意軟件包已經成為開源存儲庫中的惡性存在,尤其是npm,在2022年1月至10月期間,npm被發現有多達7000個惡意包。這一數字比2020年高出100倍,比2021年高出40%。
         
         
        npm和PyPI中的惡意包
         
        npm存儲庫是網絡犯罪分子傳播惡意代碼和感染下游組織的選擇。ReversingLabs表示,這是因為npm存儲庫托管了310多萬個項目,PyPi上有40.7萬個項目,RubyGems上有17.3萬個項目。
         
        具體而言,拼寫錯誤欺詐(即惡意行為者發布名稱與流行庫名稱相似的包的技術)已經增加。
         
        Protestware軟件給軟件供應鏈帶來了另一個風險。Protestware軟件出現于2022年,其中合法應用程序的維護者決定將他們的軟件武器化,以服務于一些更大的事業(無論是個人還是政治)。
         
        npm libraries colors.js和faker r.js(打印“LIBERTY”LIBERTY LIBERTY,后面有一系列亂碼非ASCII字符,而不是所需的輸出)和open-source library node.ipc是Protestware的一些例子。
         
        與此同時,企業可能無意中將敏感信息留在存儲庫中。ReversingLabs安全分析師Charlie Jones指出:“直到最近,我們才看到惡意攻擊者將注意力轉向軟件供應鏈,因為他們開始意識到源代碼是一個無意中嵌入秘密的豐富來源,可以用于進一步的攻擊。”
         
        一些企業對敏感信息的存在感到“尷尬”,例如源代碼、憑證、訪問令牌等,嵌入在由他們自己或第三方在開源平臺上維護的存儲庫中,包括美國退伍軍人事務部、豐田公司、CarbonTV等。
         

         
        PyPi|托管項目泄漏憑據的數量
         
        此外,企業被發現依賴于脆弱的軟件依賴項。然而,Log4Shell、Text4Shell、Spring4Shell、Python和OpenSSL等開源漏洞的增加表明威脅行為者一直在試圖尋找新的利用途徑。
         
        好消息是,企業對當前的問題持謹慎態度。RversingLabs進行的一項調查表明:
         
        ·98%的受訪者表示,第三方軟件、開源軟件和軟件篡改對企業來說是風險。
         
        ·66%的受訪者表示,可利用的軟件漏洞構成風險。
         
        ·63%的受訪者表示,隱藏在開源存儲庫中的威脅和惡意軟件可能導致SolarWinds和Codecov這樣的網絡安全事件。
         
        ·51%的受訪者表示,無法檢測軟件篡改是一種安全風險。
         
        ·40%的受訪者還強調了持續集成(CI)/持續交付(CD)工具鏈中的漏洞是一個問題。
         
        因此,安全團隊應采取以下措施應對供應鏈攻擊:
         
        ·引入了識別惡意軟件包的新功能。
         
        ·與掃描平臺的更多集成。
         
        ·IP范圍鎖定。
         
        ·供應鏈安全自動化。
         
        ·開源項目辦公室。
         
        ·遵守《2022年開源軟件安全法案》規定的開源安全。
         
        ReversingLabs總結道:“過去三年的數據表明,2023年軟件供應鏈受到的攻擊將在頻率和嚴重程度上增加,再加上旨在解決供應鏈風險的新法規和指南,將給開發商和企業帶來新的壓力。
         
        展望未來,ReversingLabs的研究人員預計安全思維和投資都會發生變化,預計將加強對內部代碼和共享代碼的審查,以尋找機密證據,例如AWS和Azure等基于云的服務的訪問憑證;SSH、SSL和PGP密鑰,以及各種其他訪問令牌和API密鑰。”
         
        關于企業網D1net(www.shixingcraft.com):
         
        國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
         
        版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。

        關鍵字:軟件供應鏈

        原創文章 企業網D1Net

        電子周刊
        回到頂部

        關于我們聯系我們版權聲明隱私條款廣告服務友情鏈接投稿中心招賢納士

        企業網版權所有 ©2010-2024 京ICP備09108050號-6 京公網安備 11010502049343號

        ^
        欧美日韩动漫另类