软件供应链攻击的管理仍是安全团队面临的主要挑战。最近的一份Gartner报告突显了这一威胁的升级,预计这些攻击的成本到2031年将激增200%,达到1.38万亿美元。更令人担忧的统计数据显示,在2022年5月至2023年4月期间,近三分之二的美国企业遭受了此类攻击。
这些风险并非空穴来风。2020年的SolarWinds Orion攻击影响了全球1.8万家组织,2021年的Kaseya勒索软件攻击波及多达1500家企业,以及影响深远的Log4j漏洞,都表明我们的软件供应链是多么脆弱,以及随之而来的毁灭性后果。
简而言之,我们的软件供应链存在漏洞,且被利用的后果影响深远。这引发了一个紧迫的问题:我们最脆弱的环节在哪里?
识别弱点
软件供应链问题日益频繁和严重的背后有多个因素:
复杂性和缺乏可见性:软件供应链变得更加复杂,涉及来自众多来源的众多组件、工具和流程。这使得组织难以对所有构成其软件的元素保持全面可见性,从而增加了漏洞被忽视的可能性。
对第三方和开源组件的依赖:现代软件开发高度依赖开源库和预构建组件,这加快了开发速度,但也引入了潜在漏洞。这些组件可能来自组织直接控制之外,因此难以确保其安全性。由于这些工具使用广泛,它们成为攻击者的诱人目标。
对外部来源的控制有限:组织通常对其供应商的安全实践和第三方代码的来源影响有限。缺乏监督会在其安全态势中产生盲点,因为它们可能会无意中集成存在漏洞的组件。
快速的开发周期:快速交付软件的压力可能导致安全实践方面的捷径。这可能会在供应链中引入缺陷,因为安全检查被绕过或未彻底实施。一旦部署,这些软件和应用程序在开发过程中引入的漏洞往往没有得到频繁或全面的测试。
影子IT:随着组织的成长、采用新工具以及淘汰过时系统,攻击面不断变化。平均而言,攻击面每月波动4.5%,但未经检查的增长很常见。当未经授权或未被发现的资产(如工具、服务或平台)在没有适当监督的情况下启动时,就会发生这种现象,即影子IT。这些资产通常配置不当且被遗忘,为攻击者提供了脆弱的入口点。
但有一个主要原因可能会让即使是最有经验的安全团队感到惊讶:
根据我们最近的研究,在所有严重安全问题中,有高达34%的问题出现在Web服务器环境中,包括Apache、NGINX和Microsoft IIS等流行平台。这意味着,三分之一的严重漏洞潜伏在我们数字基础设施的最底层。
更令人担忧的是基本安全措施的状况。在接受调查的Web接口中,近三分之一(31%)未实施HTTPS,尽管这是一项已有30年历史的技术。这种缺乏加密的基本状况使敏感数据暴露于潜在的拦截和篡改风险之中。
当我们考虑处理个人身份信息(PII)的资产时,情况变得更加严峻。只有一半的处理PII的Web接口受到Web应用防火墙(WAF)的保护。这导致大量敏感的个人数据容易受到盗窃和利用。
然后是修复工作的缓慢进展。虽然网络安全实践建议在15天内解决关键漏洞,但现实却更加令人担忧。平均而言,需要76天才能修复CISA发布的咨询中所提及的严重安全问题。这为攻击者提供了充足的时间来利用已知漏洞,并对毫无防备的组织造成破坏。
加强Web服务器安全
为了解决暴露的Web服务器带来的供应链风险,组织应采用主动、多层次的资产管理和保护方法。以下是三个建议示例:
频繁映射和扫描:定期映射和扫描数字供应链中的所有资产,以保持对攻击面的全面可见性。这一做法得到了CISA的认可,有助于发现新兴风险,并支持问题修复的服务级别协议(SLA)。
关键资产的强保护:对于处理敏感信息(如PII)或关键应用程序的资产,实施强大的安全措施,但不要忘记基本保护,如强制使用HTTPS连接和使用Web应用防火墙(WAF)。将缺乏基线安全保护视为可能存在更深层次漏洞的警示信号。
超越CVSS优先级:在处理漏洞时,不要仅依赖标准CVSS评分。利用有关受影响资产和威胁行为者活动的上下文信息来优先处理最关键的威胁,确保资源集中在降低最大风险上。
有效管理供应链供应商对于维护安全的软件供应链也至关重要。理想情况下,组织应维护一个集中的软件物料清单(SBOM)和资产列表,但实际情况是,大公司通常面临重叠的供应商列表,导致漏洞百出。使用多个安全供应商可能会导致政策执行的不一致。供应商的多样化提供了监督,但需要跨所有资产实现全面可见性,以防止漏洞并维护统一的安全态势。
此外,范围界定可以将组织的攻击面分解为可控的部分,从而更有效地确定风险的优先级。无论是关注互联网暴露系统等广泛资产,还是处理个人身份信息 (PII) 的云托管网页接口等更具体目标,范围界定都能确保高风险区域得到应有的重视。利用人工智能和机器学习的工具能够提升范围界定的准确性,帮助组织识别与特定资产相关的关键风险,并保持对监管要求的合规性。
随着创新的快速推进,Web服务器中的漏洞使得软件供应链的安全防护变得日益复杂。组织必须采取积极主动的态度来应对这些挑战,实施持续监控、强化防护和智能优先排序。通过保持对其资产的全面可视性,组织可以更好地防御日益增长的威胁,确保其数字基础设施的安全。