OSS 攻击是否可以避免?
为什么开源攻击可以规避检测,以及如何阻止此类攻击
开源软件攻击可以预防,但无法避免
来自软件供应链的风险丝毫没有减弱的迹象。2023 年,此类攻击的数量是 2019 年至 2022 年观察到的攻击总数的两倍。
众所周知,保护供应链是一个棘手的问题,但具体原因是什么呢?根据 Sonatype 的年度软件供应链状况报�告,96% 的攻击都与已有可用补丁的开源软件 (OSS) 漏洞有关,而只有 4% 的攻击被视为“不可避免”。考虑到 OSS 漏洞带来的诸多后果,例如凭据收集和财务数据丢失,为什么如此多“可避免”的攻击仍然能够得逞?
通常,真正的问题是可见性,即:拥有一个能够妥善保护 OSS 软件包的系统,并首先了解哪些软件包容易受到攻击。随着此类攻击数量的持续飙升,这个更广泛的问题变得比以往任何时候都更加重要。继续阅读以了解:
是什么原因让 OSS 软件包容易受到攻击
为什么企业经常忽视受感染的软件,并将自己置于风险之中
4 项最佳实践,避免常见的 OSS 漏洞并降低遭受攻击的可能性
是什么原因导致 OSS 攻击难以阻止?
对于企业来说,防范开源软件 (OSS) 攻击可能是一项艰巨的挑战。据估计,2023 年,每 8 个开源组件下载中就有 1 个包含已知的安全风险;除此之外,同一年检测的恶意程序包数量超过 2 亿个。
以下是此类攻击普遍存在(且难以避免)的几个原因:
OSS 攻击的设计初衷是规避检测
随着 OSS 攻击的不断演变,它们经常能够绕过常见的安全措施。例如,某次 OSS 攻击 同时使用了预安装脚本和员工假冒策略,以一家银行作为攻击目标并在目标系统中安装恶意软件。然后,攻击者使用合法子域传输第二阶段的有效负载,该子域包含目标银行的名称,因此,更有可能避免被安全系统标记。
攻击者不仅使用复杂的方法来逃避检测,而且还将注意力从孤立的系统和应用转移到 DevOps 工具、平台、开源存储库以及软件组件中的薄弱环节。一个示例就是瞄准在客户端运行的开源脚本,因为大多数 OSS 安全工具都专注于服务器端代码。在采用这种策略的一个实例中,安全研究人员发现,使用“通过 Facebook 登录”的网站中嵌入的第三方 JavaScript 跟踪器,可用于收集 Facebook 登录数据。
过时或缺乏维护的软件�需要更长的时间来修补
可以通过多种方法发起 OSS 攻击,例如诱骗受害者下载恶意软件包、破坏软件更新等。而且,考虑到这些攻击通常潜伏期很长,有时长达数周甚至数月,尽快修补漏洞至关重要。
然而,如果企业使用过时或缺乏维护的软件,执行软件的关键升级将会是一个费力且耗时的过程,这可能会增加遭受入侵和攻击的风险。
可以在多大程度上避免这个问题?根据 Sonatype 2023 年的报告,企业每次进行高风险升级时,大约都有“10 个 [软件组件] 的更优版本可用”。
软件更新可能会危及原本无害的软件包
在更隐蔽的情况下,攻击者会破坏自动化软件更新,导致毫无戒心的用户无意中触发恶意操作。在某次攻击中,估计 300 万用户遭受了 Python 和 PHP 软件包恶意更新攻击,攻击者企图收集用户的 AWS 凭据。
其他恶意更新可能需要数月甚至数年才能执行,一旦用户已审核并信任了某些软件包,就会诱使用户产生一种虚假的安全感,例如某个处于休眠状态的 npm 软件包,在闲置了 8 个月后企图窃取 Ethereum 私钥。
防范 OSS 攻击的四种策略
鉴于 OSS 攻击的普遍性和多管齐下特点,企业几乎不可能修补每个程序、跟踪每个软件组件,以及记录其环境中的每个潜在漏洞。但是,企业仍然可以采取一些措施来缓解最大的威胁,包括:
1. 使用“主动维护的”开源软件。
糟糕的审核做法往往为开源软件风险和攻击大开方便之门。在评估开源软件和项目时,企业应采取措施确保其不仅部署了最新的软件版本,而且还应花时间评估是否正在积极审核软件的漏洞并进行相应的更新。
2. 识别并应用已知漏洞的补丁程序。
2023 年,超过 20 亿次开源软件 (OSS) 下载存在已知漏洞和可用的修复程序。虽然并非所有漏洞都可能被攻击者利用,但企业应该采取措施,通过评估其环境中的 OSS 软件包并尽可能应用补丁程序,以改善安全状况。
3. 识别最大的风险领域,并优先考虑软件供应链中的关键升级。
对于大多数企业来说,修补�所有漏洞可能是不切实际的目标,但优先处理最关键的风险并进行升级,有助于缓解可能造成最重大损害的攻击。
4. 利用 Zero Trust 最佳实践,减轻风险和损害,提升整体安全态势。
全面的安全框架(例如 Zero Trust)有助于企业缩小攻击面,缓解未修补 OSS 漏洞带来的风险。在 Zero Trust 架构中,默认情况下不信任任何实体,并且必须根据身份和其他上下文信号,对每个资源的每个请求进行验证。这意味着,即使攻击者入侵了某个设备或基础设施的一部分,也难以在 IT 环境中横向移动或提升权限。此外,通过将“默认不信任”方法扩展到 Web 活动,企业可以隔离互联网浏览并保护设备,使其免受潜在有风险的在线代码的影响。
Cloudflare 如何帮助阻止 OSS 攻击
若要防范现代 OSS 攻击,企业需要检查并保护软件开发生命周期的每一个阶段,并全面了解所采用的软件:首先,针对之前已识别的漏洞,确定关键补丁程序;然后,确定最大风险的优先级并完成相应的升级。
Cloudflare 旨在帮助企业领先一步防范现代和新兴威胁,包括软件供应链攻击,并在整个 IT 环境、攻击生命周期以及全球范围内重获控制和可见性。具体而言,企业可以采用 Cloudflare 统一的智能平台来增强以下关键领域的安全性,例如:
发现 Web 应用使用的开源、第三方客户端脚本
保护 Web 应用免遭开源软件中的漏洞利用,以及恶意、开源、客户端脚本的侵害
改善对整个数字化产品组合的威胁可见性和控制力
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
深入探讨这个话题
获取《在您开展业务的每个地方加强安全》电子书,了解 Cloudflare 如何帮助企业保护数据免受软件漏洞攻击和利用。
关键要点
阅读本文后,您将能够了解:
2023 年的供应链攻击数量是前 4 年总数量之和的两倍
为什么企业会漏掉关键的 OSS 漏洞
最大限度降低 OSS 风险的 4 个技巧