聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
越来越多的政府和安全敏感企业要求软件厂商提供软件物料清单(SBOMs),但如落入攻击者手中,则这些构成应用程序的组件清单将成为利用代码的蓝图。
Finite State公司的产品安全研究兼分析总监 Larry Pesce 提到,攻击者判断出目标企业正在运行的软件,检索到相关联的SBOM,分析该应用程序所包含组件中的弱点,在此过程中一个数据包都不用发送。
从事渗透测试工作已有20余年的 Pesce 提到,当前,攻击者常常必须做技术分析,逆向工程源代码并查看已暴露的软件应用中是否存在已知的易受攻击组件,以便找到易受攻击的代码。然而,如果目标企业维护公开可访问的 SBOMs,则这种信息已经是可用的。他将在5月份RSA大会上以“邪恶的SBOMs”为主题进行演讲,警示这种风险。
他提到,“作为对手,你必须做很多前期工作,但如果企业被要求必须公开或向客户提供SBOMs并泄露到其它仓库中,则必须做这些前期准备,因为这项工作已经做好了。因此这就有点像容易模式了。”
Gartner 公司指出,SBOMs 正在快速扩散,超过半数的企业目前要求任何应用程序都必须搭配一份组件清单,而明年这一比例将达到60%。将SBOMs作为标准实践提供的透明度和可见性是助力软件行业更好地保护自身产品安全的第一步。这一概念甚至延伸到关键基础设施行业,如能源巨头 Southern Company启动一个项目,为其位于密西西比的一个变电站的所有硬件、软件和固件创建物料清单。
利用SBOMs发动攻击
Pesce 认为,生成应用程序中软件组件的详细清单将带来进攻性。他在演讲中奖展示SBOMs提供了足够多的信息,使攻击者在SBOMs数据库中搜索特定的CVE编号并找到可能易受攻击的应用程序。对于攻击者而言更有利的是,SBOMs也将列出设备上其它组件和工具的清单,使攻击者能够用于“living off the land”的攻陷后阶段。他提到,“我一旦攻陷设备,SBOM可以告诉我设备制造商在设备上留下了哪些我可以用作工具,开始探查其它网络。”
美国商务部指南提到,SBOM数据字段的最低基线包括供应商、组件名称和版本、依赖关系和信息最近更新的时间戳。实际上一份全面的 SBOMs 数据库的作用如同Shodan 的互联网普查:防御人员可通过它查看暴露程度,而攻击者也可借此判断哪些应用程序可能易受某个特定漏洞的影响。
他表示,“它将是一个很酷的项目,坦白讲我认为我们很可能会看到类似的东西——它可能是某个公司做的庞大数据库或者是政府强制要求的东西。”
尽早并经常进行红队测试
当 Pesce 向一名SBOM倡导者提到这次演讲时,他们认为Pesce的结论会让企业更难以采用SBOMs。不过Pesce 认为这些担忧没有抓住重点。相反,应用安全团队应当谨记,“红队向蓝队提供情报”。
Pesce指出,“如果你是使用或生成SBOMs的组织机构,了解到向我一样的人或恶意人员将使用SBOMs达成恶意目的,不妨你自己恶意使用它们:将它们纳入整体漏洞管理计划中;将它们纳入渗透测试计划中;将它们纳入安全开发生命周期中——将它们纳入你的所有内部安全计划中。”
虽然软件厂商可能认为SBOMs应当仅与客户分享,限制SBOMs可能是一项艰巨的任务。SBOMs将可能被公开泄露,从二进制和源代码生成SBOMs的工具广泛可用,它们将使SBOMs的发布限制成为争论点。他提到,“在这个行业呆的时间足够久,我们就知道当存在某些非公开的东西时,它最终会被公开。因此总会有人泄露这一信息或者有人花钱购买商业工具生成SBOMs。”
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
CISA、NSA等联合发布关于SBOM的软件供应链安全保护新指南
原文链接
https://www.darkreading.com/application-security/cyberattack-gold-sboms-census-vulnerable-software
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
465
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
