2023年，針對軟件供應(yīng)鏈的網(wǎng)絡(luò)攻擊將會繼續(xù)增加。相應(yīng)地，人們將會看到安全團隊進行網(wǎng)絡(luò)防御的轉(zhuǎn)變。這是根據(jù)ReversingLabs最近發(fā)布的一份報告得出的結(jié)論，該報告評估了自SolarWinds網(wǎng)絡(luò)攻擊事件以來軟件供應(yīng)鏈?zhǔn)录挠绊憽?/p>

2020年SolarWinds網(wǎng)絡(luò)攻擊的影響廣泛而深遠(yuǎn)。突然之間，軟件供應(yīng)鏈變成了網(wǎng)絡(luò)犯罪的溫床，可以進行有利可圖的網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)間諜活動，或者只是發(fā)表聲明。

為了應(yīng)對這種尋找和利用軟件供應(yīng)鏈弱點的新趨勢，安全團隊也提高了他們的安全防護水平，各國政府制定了《持久安全框架》下保護軟件供應(yīng)鏈的具體指南，以及名為《2022年開源軟件安全法案》的新立法。

ReversingLabs在《2022～2023年軟件供應(yīng)鏈安全狀況》報告中指出：“這些軟件供應(yīng)鏈攻擊以普遍存在的實踐和行為為基礎(chǔ)。其中包括：嚴(yán)重依賴集中的、基于云的基礎(chǔ)設(shè)施;快速發(fā)展的DevOps實踐顯著地提高了軟件發(fā)布的節(jié)奏，部分原因是大量使用第三方商用現(xiàn)成模塊和開源模塊來加快開發(fā);以及更加依賴集中的自動更新機制，以促進現(xiàn)代基于云的應(yīng)用程序和服務(wù)的快速發(fā)布?！?/p>

ReversingLabs在過去12個月觀察到的主要軟件供應(yīng)鏈安全趨勢

對植入惡意代碼的開源軟件的信任已被證明是企業(yè)安全的一個缺陷。例如，在過去四年中，對npm和PyPI存儲庫的攻擊激增了289%。

惡意軟件包已經(jīng)成為開源存儲庫中的惡性存在，尤其是npm，在2022年1月至10月期間，npm被發(fā)現(xiàn)有多達(dá)7000個惡意包。這一數(shù)字比2020年高出100倍，比2021年高出40%。

npm和PyPI中的惡意包

npm存儲庫是網(wǎng)絡(luò)犯罪分子傳播惡意代碼和感染下游組織的選擇。ReversingLabs表示，這是因為npm存儲庫托管了310多萬個項目，PyPi上有40.7萬個項目，RubyGems上有17.3萬個項目。

具體而言，拼寫錯誤欺詐(即惡意行為者發(fā)布名稱與流行庫名稱相似的包的技術(shù))已經(jīng)增加。

Protestware軟件給軟件供應(yīng)鏈帶來了另一個風(fēng)險。Protestware軟件出現(xiàn)于2022年，其中合法應(yīng)用程序的維護者決定將他們的軟件武器化，以服務(wù)于一些更大的事業(yè)(無論是個人還是政治)。

npm libraries colors.js和faker r.js(打印“LIBERTY”LIBERTY LIBERTY，后面有一系列亂碼非ASCII字符，而不是所需的輸出)和open-source library node.ipc是Protestware的一些例子。

與此同時，企業(yè)可能無意中將敏感信息留在存儲庫中。ReversingLabs安全分析師Charlie Jones指出：“直到最近，我們才看到惡意攻擊者將注意力轉(zhuǎn)向軟件供應(yīng)鏈，因為他們開始意識到源代碼是一個無意中嵌入秘密的豐富來源，可以用于進一步的攻擊?！?/p>

一些企業(yè)對敏感信息的存在感到“尷尬”，例如源代碼、憑證、訪問令牌等，嵌入在由他們自己或第三方在開源平臺上維護的存儲庫中，包括美國退伍軍人事務(wù)部、豐田公司、CarbonTV等。

PyPi|托管項目泄漏憑據(jù)的數(shù)量

此外，企業(yè)被發(fā)現(xiàn)依賴于脆弱的軟件依賴項。然而，Log4Shell、Text4Shell、Spring4Shell、Python和OpenSSL等開源漏洞的增加表明威脅行為者一直在試圖尋找新的利用途徑。

好消息是，企業(yè)對當(dāng)前的問題持謹(jǐn)慎態(tài)度。RversingLabs進行的一項調(diào)查表明：

• 98%的受訪者表示，第三方軟件、開源軟件和軟件篡改對企業(yè)來說是風(fēng)險。
• 66%的受訪者表示，可利用的軟件漏洞構(gòu)成風(fēng)險。
• 63%的受訪者表示，隱藏在開源存儲庫中的威脅和惡意軟件可能導(dǎo)致SolarWinds和Codecov這樣的網(wǎng)絡(luò)安全事件。
• 51%的受訪者表示，無法檢測軟件篡改是一種安全風(fēng)險。
• 40%的受訪者還強調(diào)了持續(xù)集成(CI)/持續(xù)交付(CD)工具鏈中的漏洞是一個問題。

因此，安全團隊?wèi)?yīng)采取以下措施應(yīng)對供應(yīng)鏈攻擊：

• 引入了識別惡意軟件包的新功能。
• 與掃描平臺的更多集成。
• IP范圍鎖定。
• 供應(yīng)鏈安全自動化。
• 開源項目辦公室。
• 遵守《2022年開源軟件安全法案》規(guī)定的開源安全。

ReversingLabs總結(jié)道：“過去三年的數(shù)據(jù)表明，2023年軟件供應(yīng)鏈?zhǔn)艿降墓魧⒃陬l率和嚴(yán)重程度上增加，再加上旨在解決供應(yīng)鏈風(fēng)險的新法規(guī)和指南，將給開發(fā)商和企業(yè)帶來新的壓力。

展望未來，ReversingLabs的研究人員預(yù)計安全思維和投資都會發(fā)生變化，預(yù)計將加強對內(nèi)部代碼和共享代碼的審查，以尋找機密證據(jù)，例如AWS和Azure等基于云的服務(wù)的訪問憑證;SSH、SSL和PGP密鑰，以及各種其他訪問令牌和API密鑰。”