בלוג זה מכסה את הנקודות המרכזיות מהוובינר שלנו Software Supply Chain סודות: החוליה החלשה שתוקפים מנצלים". צפו בוובינר המלא כאן .
Software סיכוני שרשרת האספקה גדלו באופן דרמטי ככל שארגונים מסתמכים על יותר רכיבים בקוד פתוח, חבילות חיצוניות וצנרת פיתוח אוטומטית. פערים קטנים שבעבר הרגישו חסרי משמעות נושאים כעת השלכות של ממש, במיוחד ככל שתלות מעמיקה וקשה יותר לאמת.
דוגמה מובהקת לשינוי זה הייתה תולעת שי-הולוד האחרונה של npm ו- Shi-Hulud 2.0 , אשר התפשטו דרך חבילות פרוצות והשפיעו על אלפי פרויקטים במורד הזרם תוך שעות ספורות. אירועים כאלה מבהירים דבר אחד: חולשות בשרשרת האספקה אינן נשארות מרוסנות עוד; הן מתפשטות דרך מערכות אקולוגיות שלמות.
עם 70-90% מהתוכנה המודרנית המורכבת מרכיבים בקוד פתוח, שרובם לא נראים ישירות על ידי המפתחים, בעיות קטנות יכולות להפוך במהירות לחשיפות גדולות. עם זאת, רק 15% מהארגונים חשים בטוחים באופן שבו הם מנהלים את הסיכון הזה בקוד פתוח. עם 70% מהתקפות הבינה המלאכותית הזדוניות שצפויות להתמקד בשרשראות אספקה עד 2025, זיהוי חוליות חלשות בשרשרת האספקה של התוכנה הוא כעת חיוני.
עבור צוותי הנדסה ואבטחה, היתרון פשוט: ידיעת נקודות התורפה הללו פירושה פחות הפתעות, זמני תגובה מהירים יותר וסיכוי נמוך בהרבה להגיע לכותרת הבאה של שרשרת האספקה.
SBOMs אינם עוד אופציונליים
כדי לנהל את סיכוני שרשרת האספקה של תוכנה ולהגיב לפגיעויות, ארגונים זקוקים לתמונה ברורה של מה נמצא במחסנית התוכנה שלהם. הבסיס לנראות זו הוא רשימת חומרי התוכנה (SBOM) , אשר יוצרת את השקיפות הנדרשת להבנת סיכוני הרכיבים ולפעול במהירות כאשר מתעוררות בעיות.
SBOM מוגדר כמלאי מפורט של כל הרכיבים, הרישיונות והתלויות בקוד סגור ופתוח המשמשים ביישום. מלאי זה מספק נתונים חיוניים לשקיפות, תאימות וניהול סיכונים.
מה שאינו פגיע או זדוני היום יכול בקלות להפוך לכזה מחר. מכיוון שפגיעויות נחשפות באופן רציף, כולל בגרסאות ישנות יותר, נדרשים ניטור וביצוע מלאי מתמשכים.
ג'ורג' פריצ'יצ'יסמנכ"ל מוצרים OPSWAT
SBOM לעומת SCA
דבר חשוב אחד הוא ההבדל בין SBOM ל-SCA ( Software (ניתוח הרכב). SBOM הוא המלאי, או רשימה של רכיבים. SCA מעריך האם מי מהרכיבים הללו פגיע, מיושן או מסוכן. יחד, הם נותנים לארגונים את התובנה הדרושה כדי לקבל החלטות מושכלות, להגיב מהר יותר לבעיות אבטחה ולחזק את ניהול הסיכונים הכולל.
| קָטֵגוֹרִיָה | SBOM | משרד עורכי דין |
|---|---|---|
מַטָרָה | מלאי של רכיבים |
זיהוי פגיעויות ברכיבים
|
כיסוי סיכונים | תאימות ונראות | סיכוני אבטחה, CVEs, סיכון בזמן ריצה |
תִזמוּן | טרום פריסה / רכש | רציף / בנייה וזמן ריצה |
תנועות גלובליות, המונעות בחלקן על ידי מתקפות כמו SolarWinds, דורשות כעת SBOMs, כאשר דחיפות רגולטוריות מגיעות מצד גופים כמו CISA, NSA ו-NIST, כמו גם מהאיחוד האירופי ומדינות בעלות ברית בנאט"ו, מה שהופך את שקיפות SBOM לבלתי אופציונלית עוד, אלא ציפייה בסיסית מכל ספק תוכנה.
7 החוליות החלשות הקריטיות שתוקפים מנצלים
מהירות הפיתוח המודרני, יחד עם הסתמכות רבה על קוד חיצוני וקוד קוד פתוח, יצרה פגיעויות חמורות. גורמי האיום מנצלים שבע חוליות תורפה עיקריות:
1. קוד פתוח וסיכון תלות
כאשר מפתחים נותנים עדיפות למהירות, הם משתמשים לעתים קרובות בספריות קוד פתוח גדולות ללא סקירת קוד מלאה. רכיב בודד עלול להכניס תלויות טרנזיטיביות נוספות. אם תנטרו רק את הרמה העליונה, אתם עלולים לפספס קוד זדוני המוזרק לתוך אותן תלויות טרנזיטיביות נסתרות.
דפוס זה הוא דבר שאנו ממשיכים לראות במערכות אקולוגיות של קוד פתוח. חבילה אחת שנפגעה יכולה לעבור דרך שרשראות תלות ולהגיע למיליוני הורדות לפני שמישהו שם לב. מתקפת שרשרת אספקה של npm שנערכה לאחרונה, שכללה תוכנות זדוניות קריפטו, מדגישה בדיוק כיצד זה קורה בפועל.
שיטות עבודה מומלצות:
- סרוק את כל חבילות הקוד הפתוח ואת שרשראות התלות המלאות שלהן כדי לזהות פגיעויות, רכיבים מיושנים או תוכנות זדוניות נסתרות לפני שהן מגיעות לבסיס הקוד שלך.
- יש לנטר באופן רציף תלויות לאורך זמן, מכיוון שרכיבים בטוחים עלולים להפוך למסוכנים ככל שמופיעים CVEs חדשים או עדכונים זדוניים.
- השתמשו ברישומים מהימנים וודאו את שלמות החבילות כדי לוודא שהחבילות שהורדתם לא טופלו.
- החל מדיניות שמסמנת או חוסמת רישיונות מסוכנים כדי שלא יחליקו תנאי רישיון לא תואמים או ויראליים לבניות שלך.
- דחו את השימוש בחבילות שפורסמו לאחרונה עד שיעברו בדיקה, ובכך הפחיתו את הסיכוי למשיכת גרסאות שלא נבדקו או זדוניות לסביבה שלכם.
2. סיכון רישוי
בעיות רישוי משפיעות כיום על הנדסה לא פחות מאשר על משפט. רישיונות ויראליים, כמו ה-GPL, יכולים לאלץ את האפליקציה שתתקבל להתפרסם תחת אותו רישיון, מה שעלול לגרום לחברה שלך לאבד את הקניין הרוחני (IP) שלה. ניטור מתמשך הוא הכרחי מכיוון שתנאי הרישיון יכולים להשתנות, אפילו עבור גרסאות ישנות יותר, שתאימו בעבר את הדרישות.
שיטות עבודה מומלצות:
- השתמשו בכלי אוטומטי לזיהוי רישיונות כדי לסמן רישיונות בסיכון גבוה או לא תואמים בשלב מוקדם של הפיתוח. הסבר מעמיק יותר מדוע זה חשוב מתואר כאן: התפקיד המכריע של זיהוי רישיונות באבטחת קוד פתוח .
- מעקב רציף אחר שינויים ברישיון כדי לזהות שינויים שעשויים להשפיע על תאימות או חשיפה לקניין רוחני.
- חסום או בדוק רכיבים עם רישיונות מגבילים או ויראליים לפני שהם נכנסים לבסיס הקוד.
- שמור/י רשימה ברורה של כל הרישיונות הנמצאים בשימוש כדי לפשט ביקורות והערכות סיכונים.
3. פערים בנתוני SBOM או SBOM חסרים
בעוד שהתקנות מחייבות שיתוף של SBOMs, רשימה ברמה גבוהה אינה מספיקה. נקודות נתונים מפורטות, כולל המחבר, התורמים, תדירות השחרור ומצב התחזוקה, נדרשות לצורך הפחתה ומניעה יעילים.
שיטות עבודה מומלצות:
- שפר את דוחות SBOM על ידי סריקה מחדש של רכיבים כדי להעשיר אותם בנתוני רישיון מעודכנים, סטטוס פגיעויות ומטא-נתונים קריטיים אחרים. דוגמה מפורטת כיצד לעשות זאת מתוארת כאן תחת אימות והעשרה של דוחות SBOM של CycloneDX .
- לאמת ולהעשיר SBOMs באמצעות כלים אוטומטיים כדי להבטיח שהמידע שלם, מדויק וניתן לפעולה.
- דרוש מספקים לספק עומק SBOM מלא, כולל תלויות טרנזיטיביות וכל המטא-דאטה הרלוונטי.
- עדכון ומעקב שוטפים אחר מלאי SBOM ככל שרכיבים מתפתחים או צצות פגיעויות חדשות.
4. ספקי צד שלישי
כל ספק שאתם סומכים עליו הופך לחלק משרשרת האספקה שלכם. אם הוא שולח רכיבים מיושנים או פגומים, אתם יורשים את הסיכון הזה. SBOMs מלאים, כולל תלויות חולפות, מאפשרים להבין את החשיפה שלכם במהירות במקום לרדוף אחרי ספקים במהלך תקרית. פוסט שפורסם לאחרונה בנושא ניהול פגיעויות תלות Supply Chain של Software שלכם בוחן כיצד צוותים יכולים לחזק חלק זה של התהליך.
5. בינה מלאכותית Supply Chain
עקב האימוץ המהיר של בינה מלאכותית, צוותים עוקפים לעתים קרובות מגבלות רגילות, מה שהופך אותה לווקטור התקפה עיקרי. תוקפים מזריקים קוד זדוני למודלים של למידת מכונה, קבצי PICO או ספריות קוד פתוח. טיפוסקווטינג נפוץ בסביבות כמו Pytorch, שם משתמשים עלולים למשוך את הספרייה הלא נכונה, מה שעלול לספק תוכנות זדוניות ולהוביל לביצוע קוד מרחוק מלא במחשב של מהנדס.
6. Container לְהִסְתָכֵּן
סריקת קונטיינרים חייבת להתפתח מעבר להתמקדות רק בפגיעויות. אבטחה מודרנית חייבת גם לסרוק אחר תוכנות זדוניות, כורי קריפטו ואיומים מהירי פעולה שפורסמו בתמונות קונטיינרים זמינות לציבור. ניתוח שנערך לאחרונה של ערכת הכלים של NVIDIA Container Toolkit CVE-2024-0132 מראה עד כמה קל להתעלם מבעיות אלו.
7. דליפת סודות ואישורים
כאשר צוותים פועלים במהירות, הם נוטים לקודד מפתחות גישה או אישורים בקוד המקור לצורך בדיקות. גם אם הם מוחלפים מאוחר יותר, סודות אלה נשארים לעתים קרובות בהיסטוריית Git, שם קל לתוקפים למצוא אותם באמצעות סריקה. הספר "חשיפת איומים נסתרים: כיצד לזהות סודות בקוד" מראה כיצד חשיפות אלה מתרחשות ומה צוותים יכולים לעשות כדי למנוע אותן.
הדרך אל א Secure Software Supply Chain
כדי להתמודד עם איומים אלה, על אנשי האבטחה לאמץ גישה של "הזז שמאלה", כלומר, אותן מדיניות שנאכפה לפני השחרור צריכה להיות מיושמת מוקדם יותר במחזור הפיתוח. המטרה היא לשלב אבטחה כשכבה מעל צינור CI/CD הקיים. גישה אוטומטית זו מבטיחה אכיפה בעת הצורך, מבלי לפגוע בפריון ההנדסי.
פתרון מקיף חייב לספק:
- סריקה אוטומטית של שרשרת האספקה לאורך כל הצינור
- נראות לקוד המקור, קונטיינרים וקבצים שסופקו על ידי הספק
- ניתוח שמעבר ל-CVEs כדי לזהות תוכנות זדוניות, בעיות רישיון וסודות חשופים
אֵיך OPSWAT עוזר לסגור את הפערים האלה
- Multiscanning כדי לזהות תוכנות זדוניות בשלב מוקדם של תהליך הפיתוח
- שערי אבטחה משולבים של CI/CD עבור GitHub, GitLab, TeamCity, Jenkins ועוד
- יצירת SBOM אוטומטית ומיפוי פגיעויות
- חתימה על חפצים ואימות שלמות
- סריקת סודות ואכיפת היגיינת אישורים
דברו עם אחד המומחים שלנו כדי למצוא פתרונות מותאמים אישית לערימה שלכם עוד היום.
