OSS 攻擊可以避免嗎?
為什麼開放原始碼攻擊能夠逃避偵測,以及如何阻止此類攻擊
開放原始碼軟體攻擊是可以預防的,但無法阻止
軟體供應鏈風險絲毫沒有減弱的跡象。2023 年,此類攻擊的頻率是 2019 年至 2022 年觀察到的攻擊總數的兩倍。
保護供應鏈是出了名的棘手,但具體原因是什麼呢?根據 Sonatype 的《軟體供應鏈年�度狀況報告》,96% 的攻擊都與已有修補程式的開放原始碼軟體 (OSS) 漏洞有關,而只有 4% 的攻擊被認為是「不可避免的」。考慮到 OSS 漏洞帶來的許多後果(例如認證搜集和財務資料遺失),為什麼這麼多「可避免」的攻擊仍然能夠得逞呢?
通常,真正的問題在於可見度——擁有一個能夠妥善保護 OSS 軟體包的系統,並在一開始就瞭解哪些軟體包容易受到攻擊。隨著這些攻擊持續飆升,這個更廣泛的問題變得比以往任何時候都更加重要。繼續閱讀,瞭解:
OSS 軟體包為何容易受到利用
為什麼組織經常忽視遭入侵的軟體,並將自己置於風險之中
避免常見 OSS 漏洞和降低攻擊可能性的四種最佳做法
OSS 攻擊為何難以阻止?
防範 OSS 攻擊對組織而言可能是一項艱鉅的挑戰。據估計,2023 年,每 8 次開放原始碼元件下載中就有 1 次包含已知的安全風險——此外,同年偵測到的惡意軟體包超過 2 億個。
以下是這些攻擊如此普遍(且難以避免)的幾個原因:
OSS 攻擊旨在逃避偵測
隨著 OSS 攻擊的不斷演變,它們經常能夠繞過常見的安全措施。例如,一次 OSS 攻擊利用預先安裝指令碼和員工冒充策略,將一家銀行作為目標,並在目標系統上安裝惡意軟體。之後,攻擊者使用合法的子網域投遞了第二階段的惡意負載,該子網域包含目標銀行的名稱,因此更有可能避免被安全系統標記。
攻擊者不僅使用複雜的方法來逃避偵測,還將注意力從孤立的系統和應用程式轉移到 DevOps 工具、平台、開放原始碼存放庫和軟體元件中的弱點。例如,由於大多數開放原始碼軟體 (OSS) 安全工具專注於伺服器端程式碼,攻擊者便會瞄準在用戶端執行的開放原始碼指令碼。在這種策略的一個實例中,安全研究人員就曾發現,攻擊者可以利用在使用「透過 Facebook 登入」的網站上嵌入的第三方 JavaScript 追蹤器,來收集 Facebook 登入資料。
過時�或無人維護的軟體需要更長的時間才能修補
OSS 攻擊可以透過多種方法實施,例如誘騙受害者下載惡意軟體包,以及破壞軟體更新。考慮到這些攻擊潛伏期很長(有時長達數週或數月),盡快修補漏洞至關重要。
然而,當組織使用過時或無人維護的軟體時,執行關鍵升級將成為一個費力且耗時的過程,這會增加入侵和攻擊的風險。
這個問題有多容易避免?根據 Sonatype 2023 年的報告,組織每次進行有風險的升級時,大約都有「10 個 [軟體元件] 的更優版本可用」。
軟體更新可能會危及先前無害的軟體包
在更為隱晦的攻擊手法中,攻擊者會竄改自動軟體更新,導致毫不知情的使用者在不知不覺中觸發惡意行為。某次攻擊事件中,估計有三百萬名使用者遭到針對 Python 與 PHP 軟體包的惡意更新攻擊,這些惡意程式企圖竊取使用者的 AWS 認證。
某些惡意更新可能潛伏數月甚至數年才會觸發攻擊。當使用者已完成軟體包的安審流程並建立信任後,這種延遲發作的特性容易讓人產生錯誤的安全感——就像那個休眠的 npm 套件,在沉默八個月之後,企圖外洩使用者的 Ethereum 私密金鑰。
防禦 OSS 攻擊的四種策略
鑑於 OSS 軟體攻擊的普遍性和多管齊下的性質,組織幾乎不可能修補每個程式、追蹤每個軟體元件並記錄其環境中的每個潛在漏洞。但是,組織仍然可以採取一些措施來緩解最大的威脅,包括:
1. 使用「積極維護」的開放原始碼軟體。
糟糕的審查做法往往會為 OSS 風險和攻擊大開方便之門。在評估開放原始碼軟體和專案時,組織應採取措施,確保不僅實施最新的軟體版本,還應花時間評估軟體是否正在積極審查漏洞並進行相應更新。
2. 識別已知漏洞並套用修補程式。
2023 年,超過 20 億次 OSS 下載有已知漏洞,且這些漏洞存在可用的修復程式。雖然並非所有漏洞都可能被攻擊者利用,但組織應採取措施,評估其環境中的 OSS 軟體包,並儘可能套用修補程式,以改善其安全狀態。
3. 確定最大的風險領域,並優先考慮軟體供應鏈中的關鍵升級��。
對於大多數組織來說,修補每一個漏洞可能是不切實際的目標,但優先考慮最關鍵的風險和升級可以幫助減輕可能造成最大損害的攻擊。
4. 借助 Zero Trust 最佳做法來緩解風險和損害,從而改善整體安全狀態。
全面的安全架構(如 Zero Trust)可以幫助減少組織的攻擊面並緩解未修補的 OSS 漏洞的風險。在 Zero Trust 架構中,預設情況下不信任任何實體,並且會根據身分和其他上下文訊號對每個資源的每個請求進行驗證。這意味著,即使攻擊者入侵了裝置或基礎架構的一部分,也很難在 IT 環境中橫向移動或提升權限。此外,透過將「預設不信任」策略延伸到 Web 活動,組織可以隔離網際網路瀏覽,並將裝置與潛在有風險的線上程式碼隔離。
Cloudflare 如何協助封鎖 OSS 攻擊
為了防範現代 OSS 攻擊,組織需要檢查並保護軟體開發生命週期的每個階段,並對所採用的軟體有一個全面的瞭解:首先,確定先前所發現漏洞的關鍵修補程式,然後確定最大風險的優先順序並相應地進行升級。
Cloudflare 旨在幫助組織領先於現代和新興威脅(包括軟體供應鏈攻擊),並在整個 IT 環境中、整個攻擊生命週期以及全球範圍內重新獲得控制力和可見��度。具體而言,組織可以採用 Cloudflare 的統一智慧平台來強化以下關鍵領域的安全性:
探索 Web 應用程式使用的開放原始碼第三方用戶端指令碼
保護 Web 應用程式免受開放原始碼軟體中的漏洞利用以及惡意開放原始碼用戶端指令碼的侵害
提高對整個數位產品組合的威脅可見度和控制力
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
獲取《在世界各地為您的業務加強安全性》電子書,瞭解 Cloudflare 如何幫助組織保護其資料免受軟體漏洞和惡意利用的侵害。
重點
閱讀本文後,您將能夠瞭解:
2023 年的供應鏈攻擊數量是前 4 年總和的兩倍
組織為何會遺漏關鍵 OSS 漏洞
最大程度降低 OSS 風險的四個技巧