Gegenwärtig müssen sich Unternehmen bei der Entwicklung neuer Geschäfte auf digitale Software verlassen, und das Problem der Sicherheit der Software-Lieferkette ist nach und nach in den Vordergrund gerückt. Laut der „Software Supply Chain Security Survey“, die vom ausländischen Sicherheitsanbieter ReversingLabs veröffentlicht wurde, werden Angriffe auf die Software-Lieferkette von 2020 bis 2022 exponentiell zunehmen, wobei „böswillige Manipulation“, „Hintertürimplantation“ und „Hijacking der Lieferkette“ häufig vorkommen Durch Angriffe haben sich die Sicherheitsrisiken der Software-Lieferkette verschärft.
Viele Menschen haben jedoch kein umfassendes Verständnis der Software-Lieferkette. Die Software-Lieferkette bezieht sich auf den gesamten Prozess vom Softwarehersteller bis zum Endbenutzer, einschließlich Design, Forschung und Entwicklung, Veröffentlichung von Wartungsupdates usw. usw umfasst auch eine Reihe komplexer Prozesse vom vorgelagerten Entwickler bis zum nachgelagerten Kunden. Prozess.
Die Auswirkungen von Bedrohungen in der Software-Lieferkette
Mit der kontinuierlichen Weiterentwicklung von Wissenschaft und Technologie ist die Informationssicherheit in den Mittelpunkt der Aufmerksamkeit aller Länder gerückt. Das Risiko der Software-Lieferkette gefährdet nicht nur Unternehmen und Einzelpersonen, sondern bedroht sogar direkt die nationale Sicherheit.
Hackerangriff
Die Software-Lieferkette stellt eine Möglichkeit des Eindringens von Hackern dar. Softwareentwickler oder -lieferanten führen unbeabsichtigt Fehler oder Lücken in die Softwareentwicklung ein, was leicht dazu führen kann, dass Hacker in Unternehmenssysteme eindringen und dann Schadcodes einschleusen, Unternehmens- und institutionelle Server angreifen und das nationale Netzwerk beeinträchtigen Sicherheit. .
Informationsdiebstahl und -lecks
Im gesamten Glied der Software-Lieferkette sind viele Standards und Protokolle involviert, und die Software enthält auch viele Schlüsselinformationen wie Benutzerdaten, Assets und Attribute. Angreifer stehlen Benutzerdaten, Kontokennwörter und vertrauliche Informationen aus diesen Standardprotokollen und Informationen über Backdoor-Programme, was zu schweren Verlusten für Einzelpersonen und Unternehmen führt.
Sabotage des nationalen Sicherheitssystems
Angriffe auf die Software-Lieferkette greifen auch wichtige Infrastruktur-Informationseinrichtungen wie das Militär, die Regierung und Finanzinstitute an, stellen eine direkte Bedrohung für die wichtigen Systeme des Landes dar und gefährden die nationale Informationssicherheit und die wirtschaftliche Sicherheit.
Typische Angriffsereignisse in der Software-Lieferkette
Um den durch Sicherheitsprobleme in der Software-Lieferkette verursachten Schaden besser zu veranschaulichen, werden wir als Nächstes eine Fallanalyse von Angriffen auf die Software-Lieferkette im Laufe der Jahre durchführen.
Der GitHub-OAuth-Token-Angriff von 2022
GitHub ist eine Hosting-Plattform für Open-Source- und proprietäre Softwareprojekte. Der Angreifer stahl das von GitHub an die Drittintegratoren Heroku und Travis-CI ausgegebene OAuth-Benutzertoken und lud Dutzende von GitHub-Kundendaten herunter, was zu einem Datenschutzleck führte.
2021 Hacker nutzen SonarQube-Ereignisse aus
SonarQube ist eine Open-Source-Code-Analyseplattform zur Analyse und Bewertung der Qualität von Software-Quellcode. Die Hackerorganisation ATW nutzte die Sicherheitslücken in SonarQube für einen Angriff aus, was zur Offenlegung des Systemquellcodes vieler wichtiger inländischer Einheiten führte.
2020 Angriffe auf die Software-Lieferkette von SolarWinds
SolarWinds, die Softwareplattform für Netzwerksicherheitsmanagement, hat einen Codeverstoß im Softwarecode festgestellt, der dazu führte, dass der Hacker eindrang und während des Verhörs stecken blieb. Bisher betreffen die durchgesickerten Informationen Tausende von Benutzern in der US-Regierung und in Unternehmen und haben erhebliche Auswirkungen.
2017 CCleaner-Malware-Vorfall
In der bekannten Systemreinigungssoftware CCleaner tauchten Schadprogramme auf. Hacker griffen an, indem sie den CCleaner-Softwareserver manipulierten, was zu einem großen Datenverlust der Benutzer führte und die Sicherheit der Software-Lieferkette ernsthaft gefährdete.
Heartbleed-Sicherheitslückenvorfall 2014
Der Heartbleed-Schwachstellenvorfall sorgte einst weltweit für Aufsehen. Die Schwachstelle existierte von 2012 bis 2014 in vielen Websites und Software, bedrohte ernsthaft die Netzwerksicherheit und bewies die Bedeutung von Sicherheitsmaßnahmen in der Software-Lieferkette.
Wie man mit Sicherheitsproblemen in der Software-Lieferkette umgeht
Angesichts der Sicherheitsprobleme in der Software-Lieferkette haben wir Maßnahmen rund um die verschiedenen Glieder der Software-Lieferkette ergriffen, um die Sicherheit während der Softwareentwicklung und -bereitstellung zu gewährleisten. Konkret umfasst die Sicherheit der Software-Lieferkette die folgenden Aspekte:
-
Anbietersicherheit : Softwareanbieter werden auf Sicherheit und Integrität bewertet.
-
Entwicklungsumgebung und Prozesssicherheit : Führen Sie eine Sicherheitsbewertung und -konfiguration der Entwicklungsumgebung und des Prozesses durch, um die Sicherheit und Zuverlässigkeit des Codes sicherzustellen.
-
Sicherheit von Komponenten von Drittanbietern/Open-Source-Komponenten : Führen Sie eine Sicherheitsbewertung und Prüfung von Komponenten von Drittanbietern/Open-Source-Komponenten durch, um die Sicherheit und Zuverlässigkeit der Komponenten sicherzustellen.
-
Bau- und Bereitstellungssicherheit : Führen Sie eine Sicherheitsbewertung und Konfiguration von Bau- und Bereitstellungstools durch, um die Sicherheit und Zuverlässigkeit von Bau und Bereitstellung zu gewährleisten.
-
Laufzeitsicherheit : Sicherheitsbewertung und Konfiguration von Anwendungen und Diensten, um die Sicherheit und Zuverlässigkeit von Programmen zur Laufzeit zu gewährleisten.
Angesichts der Inhalte der oben genannten Software-Lieferkettensicherheit können die Sicherheitsfähigkeiten der Unternehmenssoftware-Lieferkette aus drei Aspekten gestärkt werden.
Stärken Sie das Sicherheitsmanagement der Software-Lieferkette
Verbessern Sie den Software-Sicherheitsmanagementmechanismus und das Überwachungssystem und richten Sie ein vollständiges Sicherheitsmanagementsystem für die Software-Lieferkette ein.
-
Definieren Sie die verantwortliche Person, den Prozess und das Sicherheitssystem usw., um sicherzustellen, dass jede Verbindung effektiv überwacht werden kann.
-
Verstärken Sie die Sicherheitsanforderungen für Lieferanten und vermeiden Sie den Einsatz nicht zertifizierter Lieferanten.
-
Wenn Sie Software kaufen oder liefern, leisten Sie gute Arbeit bei der Bewertung und Prüfung der Softwaresicherheit.
-
Wenn während des Softwarebetriebs Sicherheitsvorfälle auftreten, reagieren und beheben Sie diese rechtzeitig und zeichnen Sie den gesamten Vorfallprozess für die anschließende Analyse und Reaktion auf.
Machen Sie gute Arbeit beim Aufbau des F&E-Sicherheitssystems
Der Aufbau eines Sicherheits-F&E-Systems ist nicht nur der Selbstaufbau der F&E-Abteilung. Er erfordert, dass leitende Führungskräfte die Bedeutung der Sicherheits-F&E erkennen und den Aufbau des Sicherheits-F&E-Systems in die Gesamtstrategie des Unternehmens integrieren.
-
Formulieren Sie vor Beginn des Systemaufbaus umfassende Managementstandards und -normen, indem Sie den gesamten Software-F&E-Lebenszyklus klären.
-
Richten Sie einen soliden Kommunikationsmechanismus und ein kollaboratives Arbeitsmodell ein, um einen reibungslosen und effizienten Informationsaustausch und eine reibungslose Zusammenarbeit zwischen den Teammitgliedern zu gewährleisten.
-
Stärken Sie die Fähigkeiten zum Testen der Softwaresicherheit und erhöhen Sie die „Sicherheit“ in allen Aspekten des Softwareentwicklungslebenszyklus, einschließlich: Analyse der Sicherheitsanforderungen, Scannen der Codesicherheit, Analyse der Komponentensicherheit usw.
-
Verstärken Sie die Überwachung und Verwaltung jeder Verbindung, erkennen und beheben Sie Probleme rechtzeitig, bilden Sie einen geschlossenen Verwaltungskreislauf und stellen Sie eine qualitativ hochwertige Softwarebereitstellung sicher.
Verbessern Sie das Sicherheitsbewusstsein von Softwareentwicklern
Sicherheitsbewusstsein ist einer der wichtigsten Punkte, die Softwareentwickler beherrschen müssen. Bei der Schulung und Bewertung von Entwicklern muss auf die Popularisierung und Verbesserung des Sicherheitsbewusstseins geachtet werden.
-
Führen Sie regelmäßige Sicherheitsschulungen durch, um das Bewusstsein des F&E-Personals für Netzwerkangriffe und Exploits zu schärfen.
-
Formulieren Sie Sicherheitsspezifikationen und Entwicklungsspezifikationen, um sicherzustellen, dass der von Entwicklern geschriebene Code den Sicherheitsstandards entspricht.
-
Bauen Sie eine Kultur des Sicherheitsbewusstseins auf, ermutigen Sie Entwickler, sich an der Erkennung von Schwachstellen und Fehlerbehebungen zu beteiligen, und verbessern Sie das Sicherheitsbewusstsein und die Sicherheitskompetenzen.
Die Sicherheit der Software-Lieferkette ist für Unternehmen und Länder sehr wichtig. Unternehmen sollten bei der Beschaffung und Entwicklung von Software stets auf die Sicherheit der Lieferkette achten und rechtzeitig Maßnahmen ergreifen, um die Glaubwürdigkeit aller Software in der Lieferkette sicherzustellen.
Für das Land ist die Stärkung der Sicherheit der Software-Lieferkette eine der Grundvoraussetzungen zum Schutz der nationalen Informationssicherheit und der nationalen Sicherheit. Regierung und Unternehmen sollten zusammenarbeiten, um die Sicherheit der Software-Lieferkette im Hinblick auf Richtlinien, Standards und Vorschriften zu gewährleisten, um die wirtschaftliche Entwicklung zu fördern und die Sicherheit nationaler Interessen und der Interessen der Bürger zu schützen. Nur wenn wir die Bedeutung der Sicherheit der Software-Lieferkette wirklich erkennen und aktiv wirksame Maßnahmen ergreifen, können wir eine sicherere digitale Welt aufbauen.