-
-
[翻译]评估软件供应链安全可关注这5个关键问题
-
发表于: 2021-8-5 13:23 2154
-
知道向潜在供应商询问什么可以最大限度地降低与第三方软件漏洞和违规相关的风险。
去年12月SolarWinds和今年7月的Kaseya供应链攻击事件,表明软件供应链攻击已成为日益严重的威胁。事实上,网络罪犯似乎已经掌握了“一次入侵,多次感染”的攻击模式,并正在加大对软件公司的攻击力度。
这一趋势引起了广泛关注,以至于美国总统乔·拜登(Joe Biden)在5月份签署的一项网络安全行政命令中,将软件供应链安全列为重中之重。该命令要求所有联邦文职机构采取措施,评估和核实其供应商的安全措施。它还要求制定新的指导方针,最终要求软件开发人员维护安全的开发环境,对访问其网络实施强有力的控制,使用加密,为每个产品提供软件材料清单,以及一系列其他措施。
此外,美国国土安全部的美国网络安全和基础设施安全局(CISA)和美国国家标准与技术研究所(NIST)开发了一种新的资源,旨在向联邦机构提供软件供应链风险的概述和防范措施。
那么,在评估软件供应链和供应商的安全性时,组织需要考虑什么呢?根据安全专家的说法,以下是五个值得一问的问题。
是否进行了软件检测?
此处软件测试涉及渗透测试及静态代码安全检测。
渗透测试可以绕过应用程序的业务逻辑和安全控制(如身份验证和授权),从而提供有价值的结果。
尽管软件供应商可能会因为涉及知识产权问题,不会提供源代码供审查,但企业可以通过第三方代码安全检测认证以确保内部代码的安全性,多数情况下,静态代码检测技术可以尽可能多地分析代码路径、发现安全漏洞。从而充分了解软件的预期行为,监控意外行为。
在软件中探索尽可能多的代码路径,遵循控制流,理解软件行为是发现软件中潜在的隐藏安全问题的关键。
供应商如何评估其软件的安全性?
Fattah说,在他们的环境中购买和安装供应商软件的公司需要了解供应商的软件安全协议。例如,供应商是否有检查软件更新的完整性过程?软件多久更新一次?它是否在默认情况下以最小特权模式运行?
他表示:“许多软件(产品)需要在特权模式下(运行),这意味着软件可以完全控制它所运行的系统。”需要高权限的产品包括安全工具和网络管理工具,如SolarWinds的Orion平台。
此外,了解软件的材料清单——或者是软件的组成部分,包括开源组件——是知道要监视哪些漏洞的关键。
根据安全解决方案高级经理的说法,全面了解供应商的安全实践“是审查过程中最重要的部分之一。您需要了解他们有哪些控制措施,他们如何监控对你数据的访问,以及在他们这一方发生安全事件时,他们如何保护你的数据。”
供应商如何检查其软件产品中的漏洞?
验证软件供应商采取了哪些措施来检查其产品是否存在已知漏洞。一个重要的问题是,它使用什么商业或开源应用程序测试工具或服务来确保其软件没有已知的安全缺陷和恶意功能。安全检测工具是否具有权威性?
一个附带的问题是,他们是否对软件开发过程进行了基准测试/成熟度级别评估,同时对开源代码及框架等及时进行安全漏洞检测。
网络的使用应该尽可能分段,并且所有管理员帐户都应该需要两因素身份验证,同时还需要持续监控进出该软件的日志和网络流量。
供应商如何保护其网络和设备?
攻击者喜欢攻击软件供应链,因为通过损害一个供应商,他们有机会损害其他许多公司。因此,了解供应商如何管理和保护对其数字资产的访问是很重要的。
安全专家表示,组织应该考虑使用第三方网络安全评级公司的服务来了解供应商的安全状况。此类公司根据从Internet外部收集的有关公司的数据为组织计算安全评级(类似于信用评分)。这可能包括与受感染系统之间的通信、文件共享、暴力攻击的迹象以及物联网 (IoT) 流量。
这些数据通常可以通过开放端口、软件和网络漏洞、外部可见的配置错误以及一系列其他安全问题揭示组织的脆弱性。它还突出了一些问题,如web应用程序防火墙的缺失,未打补丁的系统,以及使用过时的SSL协议。
ThycoticCentrify首席安全科学家表示,安全团队还需要了解供应商如何保护和验证对关键数据和系统的特权访问。
他们如何维护活动的审计日志,他们如何加密敏感数据,以及如果他们受到威胁,您的组织会面临什么风险?
SaaS供应商是否符合组织的风险偏好?
在与软件即服务 (SaaS) 供应商打交道时,企业在将其软件本地化部署之前询问软件供应商的所有问题是必要的。但同时还需要了解更多。
Panorays的首席技术官兼联合创始人表示,有必要查明客户数据是否离开了供应商的生产系统。供应商是否支持用于内部系统或客户访问的单点登录,它是否符合公司很重要的法规。
还要验证SaaS供应商是否有流程确保员工仅在需要了解的基础上进行访问客户数据。了解它如何保护内部Wi-F网络,以及如何加固关键服务器以防止攻击。
供应商是否有适当的控制措施,以防止未经授权访问其应用程序、程序或目标源代码?供应商是否加密存储在云中的数据?
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课