本年度软件供应链攻击事件回顾

本年度,软件,供应链,攻击,事件,回顾 · 浏览次数 : 244

小编点评

**2022 年到目前为止观察到的软件供应链攻击** **主要事件:** * **Okta 身份验证服务遭受数据勒索:** Lapsus$ 攻击成功利用 Okta 的访问权限,窃取了 366 家公司客户的敏感信息。 * **Comm100 聊天供应商遭受破坏:** malwares.com 攻击破坏了 Comm100 的基础设施并劫持了实时聊天软件的安装程序。 * **GitHub OAuth 令牌攻击:** Heroku 和 Travis-CI 供应商被窃取 OAuth 令牌,并利用这些令牌下载恶意代码。 * **Fishpig 供应链攻击:**攻击者破坏了 Fishpig Magento 和 WordPress 插件网站,访问了其使用者网站的网站。 * **AccessPress 供应链攻击:**攻击者通过单一请求,对访问多个主题和插件的网站进行权限提升。 **事件的影响:** * **软件供应链攻击已成为最危险的安全威胁之一。** * **实施防御策略至关重要,以加强软件供应链并避免相应攻击。** * **零信任技术是网络安全最大的风险之一,因为它缺乏意识和严格的访问控制。** * **事件应急计划非常重要,以应对突发安全事件。**

正文

软件供应链攻击在过去几年呈上升趋势,并且迅速成为最危险的安全威胁之一。本文将重点介绍了 2022 年到目前为止观察到的一些最值得注意的软件供应链攻击事件。
 

盘点2022五大软件供应链攻击

Okta

身份验证服务主要提供商 Okta 的网络遭到知名数据勒索组织 Lapsus$ 的攻击,该组织当时表示,他们的目标并不是从供应商那里窃取数据,而是通过利用对 Okta 的访问权来攻击其客户。Lapsus$ 集团通过第三方分包商 Sitel 获得了对公司网络的访问权限,并且能够查看 Okta 的客户公司内部网络并执行管理操作。黑客的攻击行为发生在 2022 年1月16日至21日,并于3月下旬公开披露。Okta 表示有366家公司客户(约占 Okta 客户的2.5%)受到安全漏洞的影响。
 

Comm100

总部位于加拿大的商业聊天提供商 Comm100 表示其在 51 个国家/地区拥有 15,000 名客户,遭到网络攻击,恶意攻击者破坏了供应商的基础设施并劫持了 Comm100 的实时聊天软件的安装程序。攻击者将安装程序修改为后门程序,得以部署其他恶意软件。此次攻击时间从2022年9月27日持续到9月29日上午,影响了北美和欧洲的工业、医疗保健、技术、制造、保险和电信行业的公司,有多少受害者在此次攻击中受到影响仍不得而知。
 

GitHub OAuth 令牌攻击

今年 4 月,GitHub 的安全团队披露了一起安全事件,攻击者窃取了发给第三方集成商 Heroku 和 Travis-CI 的 OAuth 用户令牌,并利用从 GitHub 的数十名客户那里下载了数据,这些客户一直在使用上述供应商维护的 OAuth 应用程序,包括 npm 和存储库托管服务本身。GitHub 表示,这些攻击具有很强的针对性,因为恶意攻击者仔细列出了所有可访问的私有存储库,并且只从特定组织下载了存储库。
 

Fishpig

由提供 Magento-WordPress 集成软件的公司 FishPig 开发的多个扩展在 8 月发生的供应链攻击中感染了恶意软件。攻击者破坏了供应商的基础设施,并注入了恶意代码,将 Recoobe 恶意软件安装到 FishPig Magento Security Suite 和 FishPig WordPress Multisite 软件中,从而访问使用 FishPig 产品的网站。这次攻击影响了付费的 Fishpig 扩展,托管在 GitHub 上的免费扩展没有受到影响。
 

AccessPress 供应链攻击

AccessPress 是一个流行的 WordPress 插件和插件主题开发商,在超过 360,000 个活跃网站中使用,在一次大规模软件供应链攻击中遭到破坏,该公司的软件被后门版本取代。后门使恶意攻击者可以完全访问使用恶意插件的网站。此次攻击总共破坏了 AccessPress Themes 网站上可用的 40 个主题和 53 个插件。
 

如何缓解软件供应链攻击风险

纵观过去三年中的各大软件供应链攻击事件,我们可以看到软件供应链攻击的破坏力之大与影响之深远。因此,实施防御策略来加强软件供应链并避免相应攻击对企业来说至关重要。
 

特权访问管理(PAM)

当今的公司和组织在云平台、人员分布、混合办公环境和第三方供应商的技术环境中以惊人的速度发展。在工作环境中,用户通常需要提升权限和对特权帐户的访问请求才能完成他们的任务。相同的用户首先需要向服务器提供他们需要访问权限的正当理由。PAM 简化了批准或拒绝用户访问请求的过程并记录每个决定。此外,PAM 解决方案通常设置为需要获得管理员对特定访问的批准,一旦用户申请得到批准,PAM 会临时为他们提供更高的任务访问权限,这样就无需手动处理请求和记录特权访问凭据。
 

实施零信任

人为因素仍然是网络安全最大的风险,这在很大程度上是由于缺乏意识、疏忽或不适当的访问控制造成的,然而单靠培训并不能解决这些问题。随着攻击面的扩大,企业实施零信任框架。零信任假定不再有传统的网络边缘,而是采用更严格、连续和动态的用户身份验证方法,同时无缝执行此操作来避免影响用户体验。用户对资源的访问也将根据对其当前行为的实时风险评估进行动态控制,同时在每个企业网络和云应用程序入口点部署以用户为中心的安全控制,防止远程员工意外或故意违反安全策略。

第三方风险管理

第三方风险管理十分关键,因为使用第三方会直接或间接影响企业的网络安全。第三方增加了信息安全的复杂性,第三方通常不受企业的控制,无法完全了解他们的安全控制情况。一些供应商拥有强大的安全标准和良好的风险管理实践,但还有一些供应商的安全策略并不周密和完善。每个第三方都是数据泄露或网络攻击的潜在攻击媒介。如果供应商具有易受攻击的攻击面,企业使用的此类供应商越多,攻击面就越大,可能面临的潜在漏洞就越多。定期的第三方风险评估计划将在网络犯罪分子利用它们之前发现供应链安全风险。理想情况下,这些评估应该是完全可定制的,以适应每个供应商的独特风险状况。
 

事件应急计划

企业应当具备计划和实施事件处理能力,以应对突发的安全事件。包括响应安全事件的技能、角色、程序、流程和工具。企业需要具备完善的事件响应计划,使企业能够尽可能快速有效地检测问题,当受到恶意攻击时,企业能够快速响应时间,并有效地确定原因,控制影响与损失继续扩大。
 

参考链接:
https://techcrunch.com/2022/03/23/okta-breach-sykes-sitel/
https://www.crowdstrike.com/blog/new-supply-chain-attack-leverages-comm100-chat-installer/
https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/
https://jetpack.com/blog/backdoor-found-in-themes-and-plugins-from-accesspress-themes/
https://sansec.io/research/rekoobe-fishpig-magento
https://www.immuniweb.com/blog/5-biggest-supply-chain-attacks-in-2022-so-far.html

与本年度软件供应链攻击事件回顾相似的内容:

本年度软件供应链攻击事件回顾

软件供应链攻击在过去几年呈上升趋势,并且迅速成为最危险的安全威胁之一。本文将重点介绍了 2022 年到目前为止观察到的一些最值得注意的软件供应链攻击事件。 盘点2022五大软件供应链攻击 Okta 身份验证服务主要提供商 Okta 的网络遭到知名数据勒索组织 Lapsus$ 的攻击,该组织当时表示,

梁胜博士:软件供应链安全两手抓,既要安全左移也要全链路防护丨活动回顾

11月1日下午,由深圳金融科技协会主办的湾区湾区金科(Fintech)沙龙(第四十期)—— 敏捷开发安全与软件供应链安全实践探讨专场圆满举办,逾1500名业界人士线上线下同步参加。数澈软件 Seal 联合创始人梁胜博士和江鹏受邀出席此次沙龙并发表题为《如何保证企业软件供应链安全》的演讲,本文为演讲实

CNCF社区首个!KubeEdge达到软件供应链SLSA L3等级

摘要:在v1.13.0版本中,KubeEdge项目已达到 SLSAL3等级(包括二进制和容器镜像构件),成为CNCF社区首个达到SLSA L3等级的项目。 本文分享自华为云社区《CNCF社区首个!KubeEdge达到软件供应链SLSA L3等级》,作者:KubeEdge SIG-Security (

关于软件物料清单(SBOM),你所需要了解的一切

在此前的多篇文章中,我们已经详细地介绍了软件物料清单(SBOM)对于保障软件供应链安全的重要性以及一些注意事项。在本文中,我们将会更深入地介绍SBOM,包括最低要求元素、格式、使用场景以及如何对其进行管理等。 SBOM所包含的元素 2021年年中,NTIA发布了软件物料清单(SBOM)的最少必需元素

[转帖]终于!SOFATracer 完成了它的链路可视化之旅

https://my.oschina.net/sofastack/blog/5283439 ▼ 背 景 有幸参与开源软件供应链点亮计划——暑期 2021 支持的开源项目,目前 SOFATracer 已经能够将埋点数据上报到 Zipkin 中,本项目的主要目标是将产生的埋点数据上报给 Jaeger 和

[转帖]linux defunct 进程,Defunct进程(死进程)

Defunct进程(死进程) IBM网站有关Defunct进程(死进程)的问题确定 内容提要: 本文介绍了为什么会产生defunct进程,如何确定引起defunct进程的原因,以及当需要进一步确定问题时应提供何种信息给软件供应商。 说明: 1.Defunct进程的产生 在AIX操作系统实施的进程结构

C#使用MX Component实现三菱PLC软元件数据采集的完整步骤(仿真)

前言 本文介绍了如何使用三菱提供的MX Component插件实现对三菱PLC软元件数据的读写,记录了使用计算机仿真,模拟PLC,直至完成测试的详细流程,并重点介绍了在这个过程中的易错点,供参考。 用到的软件: 1. PLC开发编程环境GX Works2,GX Works2下载链接 https://

C#S7.NET实现西门子PLCDB块数据采集的完整步骤

前言 本文介绍了如何使用S7.NET库实现对西门子PLC DB块数据的读写,记录了使用计算机仿真,模拟PLC,自至完成测试的详细流程,并重点介绍了在这个过程中的易错点,供参考。 用到的软件: 1.Windows环境下链路层网络访问的行业标准工具(WinPcap_4_1_3.exe)下载链接:http

事务相关知识集锦

作者:李玉亮 引言 数据库事务与大多数后端软件开发人员的工作密不可分,本文从事务理论、事务技术、事务实践等方面对常用的相关事务知识进行整理总结,供大家参考。 事务理论介绍 事务定义 在数据库管理系统中,事务是单个逻辑或工作单元,有时由多个操作组成,在数据库中以一致模式完成的逻辑处理称为事务。一个例子

EPAI手绘建模APP介绍

​ 本软件是一个基于OpenCASCADE、android JNI开发的APP。底层用c++实现,UI层用android实现。底层和UI层之间通过JNI接口和json数据格式通信。 UI层包括资源管理器、编辑器、创建模型、工具栏四个部分。具体来说,包括模型列表、图层列表、相机列表、灯光列表、颜色库、