LockBit勒索团伙相信大家都听说过,去年底工行美国子公司被勒索事件就是出自LockBit,据海外多家网络安全公司(包括Dragos、Malwarebytes等)统计分析,全球有超过1/3~1/2的勒索攻击事件来自LockBit,而LockBit最惯用的攻击手法之一就是利用各种开源软件的0day/1day漏洞进行攻击,之后实施勒索行为。而在2024年2月,美国、法国、英国等国执法机构联手对头号勒索软件组织LockBit展开了大规模清剿,这个代号“克罗诺斯行动”的行动,对LockBit团伙用来做勒索的相关系统后台进行了渗透攻击,而此后披露的信息来看,执法机构用来渗透攻击LockBit的漏洞也是开源软件PHP的一个0day漏洞。由此可见在主流的网络安全攻防战场,最高效和主流的攻击方式都是围绕开源软件的漏洞展开的。
而且值得关注的是,勒索团队的攻击往往是全球化无差别的攻击
,任何一个企业,只要有软件服务暴露在公网都有可能被攻击,他们通常对全球的互联网进行开源软件的0day/1day进行扫描,一旦发现哪个企业暴露在互联网上的软件存在漏洞,马上启动自动化的数据加密勒索攻击。而往往任何一个企业通常在这三个时间点容易遭受勒索攻击:
- 在进行软件/应用的更新和新发布时(此时往往意味着引入了新的组件漏洞);
- 一个新的开源软件漏洞被曝出时;
- 一个老的开源组件漏洞被第一次曝出poc/exp时;
而每年国家及各地区的大型攻防演练中,开源软件及商业软件中依赖的开源软件的漏洞也一直都是近几年红队用来攻击目标单位的主要手段,由此可见,从红队的视角来看,国内各行业企业主要的安全缺陷也是来自软件供应链,包括商业软件供应链及开源软件供应链。
不管是勒索攻击还是大型攻防演练,当前针对开源软件的攻击事件已经严重影响到了国家一些重要的基础设施单位及企业,所以不管是从欧美还是中国来看,政府近几年都密集出台了大量法律法规来要求企业和政府事业单位加强开源软件安全治理。
所以,从短期来看,企业开展开源安全治理目前也是各行业企业和政府监管的共识,因为各方也都面临这同样的威胁。
可行性分析
可行性分析的目的是全方面调研分析该项目是否具备在企业成功落地,达成预期效果的可行性,分析思路上我们可以从行业最佳实践效果、技术方案成熟度、关键难点及挑战应对方案等多方面进行分析。
我自己因为创业的原因,过去三年一直专注在软件供应链安全领域,所以跟各个行业企业做安全的朋友们交流最多的当然也就是这个方向,在软件供应链安全领域,相对来说大家今天关注最多的其实就是开源安全治理。其中有一部分企业的安全负责人在真正开展开源安全治理工作时多少有些顾虑,主要顾虑的点还是这项工作建设的可行性。
主要挑战(坑在哪?)
从跟大家交流来看,首先大家认为开源安全治理时一项非常复杂且具有挑战的工作,它的挑战主要来自五个方面:
[](https://zhi.oscs1024.com/wp-
content/uploads/2024/03/image-2.png)
-
企业引入开源软件的方式非常多,管控复杂 :包括自研的软件中自主引入,也包括采购的商业软件中引入的开源组件,同时还包括大量免费的办公软件中也会引入大量的开源组件。这里面包括直接引入和间接引入,所谓间接引入就是直接引入的这些开源组件本身又依赖了大量开源组件,而商业软件和免费的闭源软件中引入的大量开源组件对于企业来说是黑盒不透明的,管理起来难度更大。
-
开源软件的类型非常多,管理标准不一,治理难度大 :企业自研及外部引入的软件中,涉及的开发语言主流的有5~6种,还有10~20种不是很主流的开发语言。这些不同语言的开源组件在治理时会给识别和治理的难度大大增加,因为这些不同语言的开源组件的包管理工具生态不一样,包管理生态的成熟度也不一样,甚至一种开发语言有多种包管理工具的生态,比如Java的Maven和Gradle等,而c/c++干脆没有什么特别成熟和覆盖度高的包管理工具生态,甚至很多研发人员在使用开源组件时会魔改这些开源组件以及不使用规范的包管理工具来管理其代码项目的开源组件的引入。
-
开源软件的治理涉及的相关方较多,内部推动难度大 :因为开源软件在企业内使用广泛,且几乎涉及到软件开发的所有流程,所以开源安全治理几乎与所有的技术部门都相关。当然最主要的挑战还是来自软件研发人员和安全管理部门之间的协同。软件开发人员在开源软件方面更关注软件工程问题,而安全管理部门更关注安全及合规性问题,而两者之间往往存在一些冲突。此外,就是软件研发人员更懂工程但是缺乏安全知识,而安全工程师更懂安全风险但是缺乏工程知识。而开源安全治理工作是同时需要具备这两方面知识的,这就使得双方必须协同。
-
行业缺乏成熟的技术工具来支撑开源安全治理工作,无法闭环落地 :因为开源软件在企业的应用模式和自研代码有很大的区别,导致过去应用安全相关的工具在开源安全治理时并不适用,过去市面上大多数应用安全类的工具(SAST/IAST/DAST/SCA等)大多数都是针对企业自研代码产生的漏洞进行治理的,多数都是侧重代码安全漏洞的检测,而非常轻修复的能力。实际上研发自研的代码部分自己发现漏洞进行修复相对简单,毕竟自己写的代码。但是开源组件的很多漏洞企业开发者没办法自己改代码去修复(而且从工程管理的角度上也不建议自己去改人家开源组件的代码来修复安全问题),这就导致过去的工具失效了。当前的局面是,企业检测出来大量的开源组件安全漏洞,修复成本极高,这就导致研发很抵触这项工作,从而难以运营落地。
-
行业缺乏成熟的治理体系和成功的最佳实践,缺乏参照 :根据我的观察,国内企业在开源安全治理方面,3-5年前开始有一波金融&互联网行业先行试点过,从效果来看,只有极少数一波企业(蚂蚁似乎做的还不错)效果相对还不错,其他的大多数基本上都踩到坑里了。这就导致这两年大家再开展治理的时候一方面并没有很多成熟的最佳实践参考,另外一方面也多少没有太多信心。
应对方案(抓住主要矛盾)
[](https://zhi.oscs1024.com/wp-
content/uploads/2024/03/image-3-1024x497.png)
面对以上五个严重的挑战,从企业解决的角度来说,可以聚焦为三个主要应对举措:
-
多做行业头部最佳实践调研:其实近两年,互联网、金融、运营商、智能制造等多个行业的头部企业,还是有不少企业在开源安全治理方面已经有自己的一些最佳实践和成功经验了。虽然说不是100%成熟,但是还是很具参考意义的;
-
资产盘点,分级治理:虽然问题很多很复杂,千头万绪,通常这种情况下我们的解法也很简单,那就是先对企业使用的开源组件进行一轮摸底,然后根据相关业务的重要程度及组件本身安全风险程度进行分级治理,确定阶段性的治理目标;
-
科学的技术选型,关注运营闭环及降低修复成本:内部协同挑战大的主要原因还是各方在治理这件事上需要投入的成本太大,与各方取得的收益不成正比,从而导致大家不愿意干,所以核心解法在于降低如何降低治理过程中的成本投入,那么其实关键问题在于降低开源安全问题的修复成本;
接下来,对于以上三个问题,我对其中核心的难点和落地实践稍微展开做一些分享。
关于行业的现状和调研
大概从2021年起,log4j2事件及一些国内重要企业(不好直说啊)的重大数据泄露事件背后都暴露出来软件供应链安全威胁,再之后就是2021年底金融行业四部委发文,后来证监会及银保监又陆续发布了一些行业要求,公安部及地方公安也陆续开展了行业的检查和发文要求一些重要企业自查整改,陆续金融和运营商行业就开始有不少企业开始积极的开展开源安全治理工作。当然,对于互联网公司冲击比较大的还是log4j2和长期以来类似fastjson的0day漏洞。
所以从2021年开始,明显感觉到最起码互联网、金融、运营商这几个行业开始积极调研和探索企业的开源组件安全治理的工作及其可行性,后来到2022年开始,以国网为代表的能源行业也开始启动深入调研。在这样的大背景下,实际上互联网第一批开展治理的企业2022年就已经有一些落地积累了,再到2023年,可以说就已经积累了比较丰富的经验了,这里面我看到的蚂蚁集团一直走在比较前面,内部的软件供应链安全治理从最早的1.0阶段,到2024年已经开始3.0阶段的治理工作,这里面肯定踩了很多坑,但是也积累了相当多的经验,最起码是看的比较清楚了。此外,美团、阿里、快手、小红书等也都有非常不错的积累。
金融行业来看,其实从2019年/2020年开始有过一波治理的尝试,但是到2021年来看,效果并不是很好,主要是一开始也没有当着重点任务去看,也是抱着试试看的心态,后来踩的坑多了,才发现其实挑战非常的大,所以从2021年开始几个头部大行开始组织深入的调研,包括我了解的工行、农行等都从2021年开始又花了1-2年的时间,重新审视开源安全治理工作的重要性,同时总结过去的经验,开始全面体系化的规划如何落地,而2023年开始一些银行和证券行业就开始规模化的落地开源组件安全治理工作,目前来看也都有一些不错的积累。
而在运营商行业,移动、电信、联通等从2021年开始也陆续探索软件供应链安全治理方向,运营商行业在开源安全治理这个方面近3年发展速度是非常快的,这从根本上来说,国家层面的大型攻防演练暴露出来大量的软件供应链安全问题是一方面,另外一方面,信通院在软件供应链安全方向的大力投入和引导也起到了很关键的作用。目前来看,移动体系是跑的最快的,从集团到省公司都有深入的落地,而电信体系也非常的积极,都积累了不少经验。
所以,总体来说,从2021年开始各行业开始调研,2022年有一批试着开始落地,到目前为止,各行业已经有一批先行者积累了丰富的经验,2024年开始我相信会有越来越多的企业开始对外分享他们的治理经验和最佳实践,这对于整个行业开展开源安全治理的工作将会带来很大的帮助。
分级治理及目标设定
因为企业使用的开源软件/组件的数量非常的多,引入方式也非常的复杂,加上不同语言的开源组件的包管理生态成熟度也不一样,这就导致企业无法在短时间内对所有的开源软件的安全风险开展治理工作。这个时候通常我们需要做的事情是盘点企业使用的开源软件资产,并对这些开源软件进行分类分级,进而对存在高风险的开源软件进行高优先级治理。
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。【点击领取视频教程】
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】
(都打包成一块的了,不能一一展开,总共300多集)
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
👋全套《黑客&网络安全入门&进阶学习资源包》👇👇👇
这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费】
739
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
