去年12月SolarWinds事件以及今年7月的Kaseya事件表明,软件供应链攻击已经成为日益严重的威胁。事实上,网络犯罪分子似乎已经开始热衷于这种一次入侵、打击一片的攻击模式,并且正在尝试加大对软件公司的攻击力度。
这一趋势引起了广泛的关注,在近期的多次网络安全行业的大会中,软件供应链安全都成为了重要话题。
那么,在评估软件供应链和供应商的安全性时,组织需要考虑什么呢?根据安全专家的说法,以下是五个值得一问的问题。
1、软件是否经过了测试?
问正确的问题可以提供很多关于软件供应商的信息。但光有问题是不够的。在可能的情况下,负责安全业务的主管还需要做得更多一些,比如通过渗透测试这种方法来对软件进行一下安全性评估。
在安全专家看来,软件供应商不会提供源代码供审查,因为这是知识产权,所以对组织来说,充分理解他们的软件的预期行为是很重要的,这样他们就可以监控意外的行为。
来自于nVisium的CEO曼尼诺表示:”在可能的情况下,安全机构应该考虑自己分析代码,如果需要的话可以使用第三方。在许多情况下,软件是通过使用规避简单检测的技术进行后门操作的。”在他看来,理解软件行为是发现软件中潜在的隐藏安全问题的关键。
2、供应商如何评估其软件的安全性?
在采购软件或系统时,需要了解供应商的软件安全协议。例如,供应商是否有检查软件更新的完整性过程?软件多久更新一次?它是否在默认情况下以最小特权模式运行?
此外,了解你的软件的材料清单(或者是软件的组成部分,包括开源组件)是知道要监视哪些漏洞的关键,关于这个问题,关于这个问题,多家安全公司表示,在拥有这份软件的材料清单时,就意味着在出现问题时,你可以快速地查询到你所使用的供应商提供的软件产品或者是自己所使用的开源组件中是否存有风险,对于保障安全的价值很高。
Lookout的施莱斯表示,全面了解供应商的安全实践“是审查过程中最重要的部分之一”。“你需要了解他们有什么控制措施,他们如何监控对你数据的访问,以及在他们这一方发生安全事件时,他们如何保护你的数据,”
他建议,让你的IT、工程和安全团队看看你正在使用的任何第三方软件,“新的供应商应该对这个审查过程持开放态度。如果他们犹豫不决,这可能是一个危险信号。”
3、供应商如何检查其软件产品中的漏洞?
验证软件供应商采用了什么措施来检查其产品的已知漏洞。有安全专家表示,一个重要的问题是,该公司使用什么商业、或开源应用程序测试工具、或服务来确保其软件没有已知的安全缺陷和恶意功能。另外一个问题是,软件供应商是否对软件开发过程进行了基准测试/成熟度级别评估。
如果供应商对上述两个问题的回答都是否定的,那么最好还是避开他们,除非情况涉及到必须拥有的技术。
4、供应商如何保护其网络和设备?
攻击者热衷于发起软件供应链攻击,主要是在于可以通过入侵一个供应商,让他们有机会损害其他更多的公司。因此,了解供应商如何管理和保护对其数字资产的访问是很重要的。
安全专家说,组织应该考虑使用第三方网络安全评级公司的服务,以了解供应商的安全状况。这些公司根据外部从互联网上收集的公司数据,为组织计算安全评级(类似于信用评分)。这可能包括来自受损系统的通信、文件共享、暴力攻击的迹象和物联网流量。
这些数据通常可以通过开放端口、软件和网络漏洞、外部可见的配置错误以及一系列其他安全问题揭示组织的脆弱性。它还突出了一些问题,如web应用程序防火墙的缺失、未打补丁的系统以及使用过时的SSL协议。
专家认为,使用类似于安全评估评级这些服务可以让组织对他们正在考虑的供应商的安全实践和成熟度有一个快速的认识。供应商在补丁管理方面得分低吗?是否维护并发布了SPF、DMARC、DKIM等电子邮件安全协议?这些指标反映了他们对公司安全的重视程度,并将帮助你衡量公司的整体风险。
这些服务还具有持续监控功能,当其使用的供应商的安全状况发生重大变化时,可以向安全团队发出警报。
在这一方面,其他需要询问的问题包括,应用供应商何时进行了全面的网络应用渗透测试,是否有漏洞奖励计划以及与可能发现其软件缺陷的道德安全研究人员合作的政策是什么。
5、SaaS供应商是否符合组织的风险偏好?
组织在安装软件之前询问软件供应商的所有问题,在处理SaaS供应商时也是一样的,但是在考虑SaaS提供商时,组织还需要确保了解一些其他问题。
例如,Panorays的CTO本-阿里表示,查明客户数据是否脱离供应商的生产系统是值得的。供应商是否支持用于内部系统或客户访问的单点登录,它是否符合对公司业务运营地区的重要法规。
此外,还要验证SaaS供应商是否有流程确保员工仅在需要知道的基础上访问客户数据。了解它如何保护内部Wi-F网络以及它如何加固关键服务器以防止攻击。