关于安全:​Black-Hat-2022-聚焦软件供应链安全

37次阅读

共计 1726 个字符,预计需要花费 5 分钟才能阅读完成。

Black Hat 大会被公认为世界信息安全行业最权威大会,也是在寰球范畴内最具备技术性的信息安全大会。Black Hat USA 聚焦网络安全事件,并且继续向外界输入前沿平安技术研究成果以及行业发展趋势剖析,吸引着寰球各地的平安从业者。

软件供应链平安备受关注

软件供应链平安成为 Black Hat 2022 的热点话题。

随着企业逐步向云原生开发转移,并采纳 DevOps 流程来放慢开发速度,使得软件供应链平安挑战变得更加简单。与此同时,受到 SolarWinds 和 Kaseya 此类大型攻打事件的影响,攻击者正在加紧对软件构建和散发环境开展攻打。在过来的 12 个月中,这些攻打的数量激增,复杂性更是空前,软件供应链攻打可能导致的重大业务中断、支出损失、数据偷盗和客户利益侵害。因而,软件供应链平安开始受到 CEO 及 CIO 们的高度关注,也成为公众关注的焦点。

攻打指标向开发转移

在数字化转型的大背景下,各个企业相继开始进行软件开发工作。因而,软件开发环境已成为歹意攻击者的微小指标。在这些类型的攻打中,毁坏开发环境的办法已达数十种,包含利用 Log4j 等开源软件组件进行攻打。令人担忧的是开发人员目前专一与翻新和开发速度,而不是安全性,而平安团队不足充分的常识和资源来帮忙开发团队解决和解决平安问题。

超过 90% 的软件应用程序应用开源组件,与开源软件相干的依赖关系和破绽极其简单。CI/CD 和 DevOps 流水线的构造可能进步开发人员的开发效率,但不意味着更加平安。在推动更快翻新的过程中,开源的复杂性和开发速度限制了软件供应链安全控制的有效性。

Black Hat USA 2022 大会还关注 DevOps 应用的工具和平台的安全性,会议中对闭源和开源软件的源代码管理系统的特定威逼问题进行了深刻的探讨。CI/CD 流水线成为软件供应链最危险的攻击面,只管很多企业尽可能网络安全集成到 DevOps 流水线的外围局部,但 CI/CD 流水线依然能够被破解。攻击者利用企业开发平台开发出一个歹意的 REC(Remote Code Execution)即服务平台来侵入企业的软件供应链。

同样值得关注的议题是黑客如何疾速应用源代码治理(Source Code Management)零碎,包含 GitHub Enterprise、GitLab Enterprise 等,在企业中实现横向挪动、权限降级、感化存储库,从而大规模拜访企业软件供应链,并进一步进行攻打。

Black Hat 2022 报告要害后果

在往年 Black Hat 公布了对于供应链和云平安危险的重要调查报告。该报告对 180 多位有着丰盛从业教训的平安专业人士进行访谈和调研,报告结果显示了平安从业人员对云服务攻打、勒索软件和寰球软件供应链日益增长的危险的担心。

平安威逼随着 IT 环境一直演变

2021 年是充斥软件供应链平安挑战的一年。当受访者被问及供应链及厂商和客户之间的关系时,有 53% 的受访者示意他们最放心的网络安全问题来自第三方软件服务提供商所提供的云服务或网络服务中的破绽。此外,超过 50% 的受访者坦言他们顾虑最大的破绽来自于合同承包商、供应商和客户保护的零碎、应用程序和网络。

与此同时,34% 的受访者提出他们最关怀的平安问题是从第三方购买的零碎中现成可用软件中的破绽。还有 26% 的人非常放心来自开源组件所引入商业软件或云服务中的破绽。

软件供应链与云服务

当谈及企业和组织面临的最大的平安威逼和挑战时,大家对四大类事件示意放心和顾虑:钓鱼攻打及各种模式的社交工程(Social Engineering)欺骗(39%),有针对性且简单的攻打(35%),针对供应商、外包或其余合作伙伴的攻打殃及企业的网络(28%),还有云服务提供商存在的潜在平安危险(26%)。

勒索软件

在之前的文章中,咱们汇总了开发人员须要关注的 11 中顶级恶意软件,包含近程拜访木马、银行木马、信息窃取程序和勒索软件。 多年来,勒索软件曾经从通过加密数据来进行勒索,倒退到可能毁坏零碎或革除数据等简单攻打流动。 59% 的受访者认为在过来的两年中,他们所在的企业遭逢的软件勒索威逼数量有所增加。但值得庆幸的是,尽管攻打数量减少,但 96% 的平安人士示意他们所在的企业可能胜利组织或最大水平缩小勒索软件攻打对企业造成的影响。

正文完
 0