聚焦源代码安全,网罗国内外最新资讯!
作者:Elizabeth Montalbano
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Verizon 公司发布《2022年数据泄露调查报告》 (DBIR) 指出,勒索软件、供应链威胁和组织机构及其员工是自身安全的最大敌人。
该报告主要关注安全事件和数据泄露事件的发生情况,即信息资产的攻陷和数据的越权暴露情况。2021年,研究人员发现这两方面均经历了前所未有的急剧增长。
报告提到,“从很多角度来看,过去一年都不同寻常,不过在网络犯罪活动方面无疑是令人难忘的。从公开的关键基础设施攻击到大规模的供应链事件,受经济利益驱动的犯罪分子和臭名昭著的国家黑客都罕见地和2021年发现的情况不同。”
勒索攻击不断
2022年度的DBIR报告和2021年的并不太大不同。研究人员发现的某些情况甚至和该报告自2008年诞生之日起的情况是一致的。
不过,仅几年来引人注目的是勒索攻击不断增多。过去12个月以来爆发的勒索攻击数量要比过去五年来的总和还要多,整体增长了25%。虽然不断遭到政府机构的镇压,但利益诱惑着勒索组织不断赴汤蹈火。安全公司 Cerberus Sentinel 公司的解决方案框架副总裁 Chris Clemens 观察到,“截至目前,勒索软件是网络犯罪分子能够攻陷受害者的最可靠方式。没有任何一种活动带来的利益能和勒索攻击的轻松和巨大影响面相提并论。”
供应链攻击火烧眉毛
针对供应链的重大攻击在2021年也脱颖而出。报告指出,“对于和供应链、第三方和合作伙伴打交道的任何人而言,这一年值得被记住。”
报告提到了在2020年年底发生的SolarWinds 供应链攻击,而2021年仍然有企业在火急火燎地应对这一攻击。
研究人员指出,“今年,62%的系统入侵事件都是供应链攻击活动。”另外,和受经济利益驱动的威胁行动者不同,这些犯罪活动的始作俑者通常是国家黑客,他们偏好于“跳过泄露并维护访问权限”,维持着组织机构网络上的持久性。这些攻击非常危险,因为攻击始于一家企业但可迅速蔓延至客户和合作伙伴,牵涉很多受害者。
另外,通常攻击者在已经获得对组织机构系统的访问权限很久之后,人们才会发现供应链数据泄露事件,使得数据泄露和被盗的可能性增大。
错误、人为失误等
从最终责任的承担即组织机构出错原因源自内部还是外部角度来看,报告的两个更加重要的发现之间是相关联的。
报告指出,“错误仍然是一个主导趋势,大概是13%数据泄露事件产生的原因。这一结果主要和云存储配置不当有关,而这主要是负责设立系统的一人或多人的责任。”
实际上,2021年DBIR报告中82%的数据泄露事件涉及“人为元素”。人为元素多种多样,包括“是否使用了被盗凭据、钓鱼、滥用或仅仅是错误造成的,人的因素在事件和泄露等活动中继续扮演着非常重要的作用”。
不足为奇的古老风险
安全专家对于“人为因素”这一研究结果并不惊讶。一名安全专业人员指出,甚至在安全行业出现之前,人为因素就是技术行业的最大影响因素。KnowBe4公司的数据防御倡导者 Roger Grimes 认为,“自计算机开始之时就一直是这样,未来几十年内大概率还是如此。”
当今发生的很多错误都是攻击者狡猾的社工造成的,尤其是诱骗人们点击恶意文件或链接从而获得计算机访问权限或个人凭据进而攻陷企业系统的钓鱼攻击更是如此。
解决人为安全问题的唯一办法是通过教育,比如关于配置不当错误、打补丁、被盗凭据或者“常规错误如用户偶然通过邮件发送了错误的个人数据”等等的教育。
Grimes 人为,“人的因素一直是计算的一个重要组成部分,但出于某种原因我们总是认为,单靠技术解决方案就能修复或阻止问题的发生。三十年来我们一直试图通过除了人为因素以外的方法来修复网络安全问题,事实证明并不奏效。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
安全界“圣经”DBIR 报告推翻了哪些“你以为的”数据泄漏情况?
热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥
趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击
和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN
不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环
NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?
200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100
热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
原文链接
https://threatpost.com/verizon-dbir-report-2022/179725/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~