供应链风险让您失望？ 保持冷静并获得战略！

当在软件中发现新的漏洞时，安全行业会集体失去理智。 OpenSSL 也不例外，两个新漏洞在 2022 年 XNUMX 月底和 XNUMX 月初淹没了新闻提要。发现和披露只是这个永无止境的漏洞循环的开始。 受影响的组织面临补救，这对 IT 一线人员来说尤其痛苦。 安全领导者必须保持有效的网络安全策略，以帮助过滤一些新漏洞的噪音，识别对供应链的影响，并相应地保护他们的资产。

供应链攻击不会消失

在大约一年的时间里，我们遭受了组件中的严重漏洞，包括 日志4j, Spring框架及 OpenSSL的. 对旧漏洞的利用也永远不会因配置错误或使用已知易受攻击的依赖项的实现而停止。 2022 年 XNUMX 月，公众了解到一个 针对联邦文职行政部门的攻击活动 (FCEB)，归因于国家支持的伊朗威胁。 这个美国联邦实体正在运行包含 Log4Shell 漏洞的 VMware Horizo​​n 基础架构，该漏洞充当初始攻击媒介。 FCEB 遭受了复杂的攻击链攻击，其中包括横向移动、凭证泄露、系统泄露、网络持久性、端点保护绕过和加密劫持。

组织可能会问“为什么要使用 OSS？” 在 OpenSSL 或 Log4j 等易受攻击的软件包发生安全事件之后。 供应链攻击继续呈上升趋势，因为组件重用对合作伙伴和供应商具有“良好的商业意义”。 我们通过重新利用现有代码而不是从头开始构建系统来设计系统。 这是为了减少工程工作量、扩大运营规模并快速交付。 开源软件 (OSS) 由于受到公众监督，通常被认为是值得信赖的。 然而，软件是不断变化的，并且由于编码错误或链接的依赖关系而出现问题。 通过测试和开发技术的发展也发现了新问题。

应对供应链漏洞

组织需要适当的工具和流程来保护现代设计。 仅靠漏洞管理或时间点评估等传统方法无法跟上。 法规可能仍然允许使用这些方法，这使得“安全”和“合规”之间的鸿沟长期存在。 大多数组织都渴望获得某种程度的 DevOps 成熟度。 “持续”和“自动化”是 DevOps 实践的共同特征。 安全流程不应该有所不同。 作为安全策略的一部分，安全领导者必须在整个构建、交付和运行时阶段保持专注：

• 在 CI/CD 中持续扫描： 旨在保护构建管道（即左移），但承认您将无法扫描所有代码和嵌套代码。 左移方法的成功受到扫描器效率、扫描器输出的相关性、发布决策的自动化以及发布窗口内扫描器完成的限制。 工具应有助于确定调查结果风险的优先级。 并非所有发现都是可行的，并且您的体系结构中的漏洞可能无法利用。

• 交付期间连续扫描： 组件妥协和环境漂移发生了。 应在交付时扫描应用程序、基础设施和工作负载，以防在从注册表或存储库采购和引导时数字供应链中的某些内容受到损害。

• 在运行时连续扫描： 运行时安全是许多安全程序的起点，而安全监控是大多数网络安全工作的基础。 不过，您需要能够在所有类型的环境中收集和关联遥测数据的机制，包括云、容器和 Kubernetes 环境。 在运行时收集的见解应该反馈到早期的构建和交付阶段。 身份和服务交互

• 优先考虑运行时暴露的漏洞： 所有组织都在努力争取足够的时间和资源来扫描和修复所有问题。 基于风险的优先级排序是安全计划工作的基础。 互联网曝光只是一个因素。 另一个是漏洞严重性，组织通常关注高严重性和严重性问题，因为它们被认为影响最大。 这种方法仍然会浪费工程和安全团队的周期，因为他们可能正在寻找在运行时永远不会加载并且无法利用的漏洞。 使用运行时智能来验证在运行的应用程序和基础架构中实际加载了哪些包，以了解您的组织面临的实际安全风险。

我们创造了 特定产品指南 通过最近的 OpenSSL 疯狂来引导客户。

最新的 OpenSSL 漏洞和 Log4Shell 提醒我们需要网络安全准备和有效的安全策略。 我们必须记住，CVE-ID 只是公共软件或硬件中的那些已知问题。 许多漏洞未被报告，尤其是本地代码或环境错误配置中的弱点。 您的网络安全策略必须考虑现代设计的分布式和多样化技术。 您需要一个现代化的漏洞管理程序，该程序使用运行时洞察力来确定工程团队修复工作的优先级。 您还需要威胁检测和响应功能来关联跨环境的信号以避免意外。

关于作者

Michael Isbitski 是 Sysdig 的网络安全战略总监，五年多来一直在研究网络安全并提供建议。 他精通云安全、容器安全、Kubernetes 安全、API 安全、安全测试、移动安全、应用程序保护和安全持续交付。 他指导了全球无数组织的安全计划并支持他们的业务。

在获得研究和咨询经验之前，Mike 在 IT 前线吸取了许多惨痛的教训，拥有超过 20 年的从业者和领导经验，专注于应用程序安全、漏洞管理、企业架构和系统工程。