关于安全:本年度软件供应链攻击事件回顾

软件供应链攻打在过来几年呈上升趋势，并且迅速成为最危险的平安威逼之一。本文将重点介绍了 2022 年到目前为止察看到的一些最值得注意的软件供应链攻打事件。
 

盘点 2022 五大软件供应链攻打

Okta

身份验证服务次要提供商 Okta 的网络受到出名数据勒索组织 Lapsus$ 的攻打，该组织过后示意，他们的指标并不是从供应商那里窃取数据，而是通过利用对 Okta 的拜访权来攻打其客户。Lapsus$ 团体 通过第三方分包商 Sitel 取得了对公司网络的拜访权限，并且可能查看 Okta 的客户公司外部网络并执行治理操作。黑客的攻击行为产生在 2022 年 1 月 16 日至 21 日，并于 3 月下旬公开披露。Okta 示意有 366 家公司客户（约占 Okta 客户的 2.5%）受到安全漏洞的影响。
 

Comm100

总部位于加拿大的商业聊天提供商 Comm100 示意其在 51 个国家 / 地区领有 15,000 名客户，受到网络攻击，歹意攻击者毁坏了供应商的基础设施并劫持了 Comm100 的实时聊天软件的安装程序。攻击者将安装程序批改为后门程序，得以部署其余恶意软件。此次攻打工夫从 2022 年 9 月 27 日继续到 9 月 29 日上午，影响了北美和欧洲的工业、医疗保健、技术、制作、保险和电信行业的公司，有多少受害者在此次攻打中受到影响仍不得而知。
 

GitHub OAuth 令牌攻打

往年 4 月，GitHub 的平安团队披露了一起安全事件，攻击者窃取了发给第三方集成商 Heroku 和 Travis-CI 的 OAuth 用户令牌，并利用从 GitHub 的数十名客户那里下载了数据，这些客户始终在应用上述供应商保护的 OAuth 应用程序，包含 npm 和存储库托管服务自身。GitHub 示意，这些攻打具备很强的针对性，因为歹意攻击者认真列出了所有可拜访的公有存储库，并且只从特定组织下载了存储库。
 

Fishpig

由提供 Magento-WordPress 集成软件的公司 FishPig 开发的多个扩大在 8 月产生的供应链攻打中感化了恶意软件。攻击者 毁坏了供应商的基础设施，并注入了恶意代码，将 Recoobe 恶意软件装置到 FishPig Magento Security Suite 和 FishPig WordPress Multisite 软件中，从而拜访应用 FishPig 产品的网站。这次攻打影响了付费的 Fishpig 扩大，托管在 GitHub 上的收费扩大没有受到影响。
 

AccessPress 供应链攻打

AccessPress 是一个风行的 WordPress 插件和插件主题开发商，在超过 360,000 个沉闷网站中应用，在一次大规模软件供应链攻打中受到毁坏，该公司的软件被后门版本取代。后门使歹意攻击者能够齐全拜访应用歹意插件的网站。此次攻打总共毁坏了 AccessPress Themes 网站上可用的 40 个主题和 53 个插件。
 

如何缓解软件供应链攻打危险

纵观过来三年中的各大软件供应链攻打事件，咱们能够看到软件供应链攻打的破坏力之大与影响之深远。因而，施行进攻策略来增强软件供应链并防止相应攻打对企业来说至关重要。
 

特权拜访治理（PAM）

当今的公司和组织在云平台、人员散布、混合办公环境和第三方供应商的技术环境中以惊人的速度倒退。在工作环境中，用户通常须要晋升权限和对特权帐户的拜访申请能力实现他们的工作。雷同的用户首先须要向服务器提供他们须要拜访权限的正当理由。PAM 简化了批准或回绝用户拜访申请的过程并记录每个决定。此外，PAM 解决方案通常设置为须要取得管理员对特定拜访的批准，一旦用户申请失去批准，PAM 会长期为他们提供更高的工作拜访权限，这样就无需手动解决申请和记录特权拜访凭据。
 

施行零信赖

人为因素依然是网络安全最大的危险，这在很大水平上是因为不足意识、忽略或不适当的访问控制造成的，然而单靠培训并不能解决这些问题。随着攻击面的扩充，企业施行零信赖框架。零信赖假设不再有传统的网络边缘，而是采纳更严格、间断和动静的用户身份验证办法，同时无缝执行此操作来防止影响用户体验。用户对资源的拜访也将依据对其以后行为的实时危险评估进行动态控制，同时在每个企业网络和云应用程序入口点部署以用户为核心的安全控制，避免近程员工意外或成心违反安全策略。

第三方风险管理

第三方风险管理非常要害，因为应用第三方会间接或间接影响企业的网络安全。第三方减少了信息安全的复杂性，第三方通常不受企业的管制，无奈齐全理解他们的安全控制状况。一些供应商领有弱小的平安规范和良好的风险管理实际，但还有一些供应商的安全策略并不周密和欠缺。每个第三方都是数据泄露或网络攻击的潜在攻打媒介。如果供应商具备易受攻击的攻击面，企业应用的此类供应商越多，攻击面就越大，可能面临的潜在破绽就越多。定期的第三方危险评估打算将在网络犯罪分子利用它们之前发现供应链平安危险。现实状况下，这些评估应该是齐全可定制的，以适应每个供应商的独特危险情况。
 

事件应急打算

企业该当具备打算和施行事件处理能力，以应答突发的安全事件。包含响应安全事件的技能、角色、程序、流程和工具。企业须要具备欠缺的事件响应打算，使企业可能尽可能疾速无效地检测问题，当受到歹意攻打时，企业可能疾速响应工夫，并无效地确定起因，管制影响与损失持续扩充。
 

参考链接：
https://techcrunch.com/2022/0…
https://www.crowdstrike.com/b…
https://github.blog/2022-04-1…
https://jetpack.com/blog/back…
https://sansec.io/research/re…
https://www.immuniweb.com/blo…