从最近的俄乌战争看软件供应链安全

原创 DepSecure 缔赛安全 2022-03-19 17:41

• 俄乌战争和供应链危机

新冠疫情这三年对世界各国的冲击造成了全球范围的供应链危机，让供应链供给出现困难。这些已经深深影响到各行各业，比如芯片的短缺，让汽车、IT产品、智能家电等的到货周期变得漫长。这也是全球经济一体化，分工细化造成的必然结果。在地球村里任何一方势力都不能完全排除另一方势力。

最近俄乌战争的这段时间里，西方世界全力制裁俄罗斯，也反噬全球石油价格暴涨，粮食价格暴涨，并造成石油衍生制品和畜牧业的成本暴增，这些都充分反映了这个问题。世界还没有从新冠疫情恢复，又遭遇了俄乌冲突，给全球各行业的供应链雪上加霜。

• 软件供应链的攻防大战

其实供应链除了传统制造业，软件领域也是有供应链。 现在一个应用软件从写第一行代码到完全上线。开发人员可能真正自己写的代码只占到整个应用的30%都不到。因为很多功能的实现，都有大量可以直接拿来使用的框架和开源组件，大大降低了开发周期。这些被我们直接使用的，别人写好的软件功能，就是软件供应链。

既然软件供应链是别人写的，那把人家写的代码拿到自己的应用中使用就一定会有风险。

无论是黑客把恶意后门植入到软件供应链后散播给大家使用，还是针对已有的知名供应链的CVE进行利用。在最近的俄乌黑客大战中也不断上演针对供应链的攻击大战。

• 俄罗斯黑客利用软件供应链攻击乌克兰网站

报道出处：https://www.computerweekly.com/news/252512087/Russian-backed-hackers-defaced-Ukrainian-websites-as-cover-for-dangerous-malware-attack

比如上图，在战争爆发前夕，俄乌关系极度紧张的那段时间里，攻防就已经开始了，俄罗斯黑客利用了混合的攻击手段，针对多个供应链CVE进行尝试攻击，成功修改了多个乌克兰的政府网站。

• 大量github上的知名开源组件和依赖库被污染，所有IP是俄罗斯地区的用户都会被攻击或者展示反战信息

比如知名的ES5-ext依赖，已经近两年没更新了，近期更新了一个postinstall.js在其中，一旦发现使用者来自俄罗斯，就会宣告反战宣言.

报道出处：https://krebsonsecurity.com/2022/03/pro-ukraine-protestware-pushes-antiwar-ads-geo-targeted-malware/

比如vue-cli这个JavaScript的知名框架，在3月15日被发现，这个框架里添加了新的组件，会把来自俄罗斯的所有用户电脑文件给删除..

报道出处：https://krebsonsecurity.com/2022/03/pro-ukraine-protestware-pushes-antiwar-ads-geo-targeted-malware/

不管怎么说，我们谴责这种很可能是官方所为的供应链污染行为，把个人政治观点投放到了技术领域，让开源和共享变的不纯粹了。不过这也要提醒我们国家，一定一定要重视开源的治理和软件供应链的安全。

• 缓解软件供应链攻击

为了成功降低软件供应链攻击的风险，我们要做好以下几点：

1、做好风险教育，对您自己和团队中的其他开发人员进行教育，以确保正确理解风险并采取正确的预防措施。

2、做好开源治理，把常用技术栈确定和规范好，并充分评估威胁，定义好开发规范，并严格执行。

3、工具化，在软件开发生命周期中，使用SCA软件去静态分析软件包中使用的第三方开源软件和依赖关系以及安全漏洞；对于一些未知的软件供应链污染，零日攻击。我们可以通过RASP技术，让应用运行的时候自带安全防护基因，能对内部软件供应链的攻击做到动态识别和防护，能检测到产生恶意行为的函数执行，并进行防护和告警，同时也可以对应用运行时使用的软件供应链依赖做图谱绘测，做到动态的开源软件和依赖关系的识别。

• 缔赛RASP防护软件供应链的思路

各位看官老爷，还请别移走，稍微插一个小广告，看看我们具体防护的手段。我们缔赛信息是通过RASP技术，在应用系统运行的时候自动提取应用所调用的开源依赖库/中间件，构建一个应用正在使用的完整依赖树；并检测和报告当前运行的第三方库或者应用相关中间件的安全风险；精准定位被漏洞利用/调用的第三方库的位置。

安全团队还可以在应用软件上线渗透测试时依据缔赛RASP安全告警报告快速定位到应用软件漏洞代码具体位置，溯源整个攻击链，协助开发部门快速修复存在的安全漏洞。

如果处于各种原因，不能及时修复软件供应链的安全漏洞，也可以通过RASP的保护模式拦截应用攻击行为，保护应用正常流量访问。

最后的最后，应用软件供应链的安全需要通过技术、流程和人多个方面在软件开发阶段和软件运行时等多个阶段通过多种安全检测和防御技术来降低、缓解软件供应链的风险。软件供应链也一定会成为未来黑客攻防的主要战场，我们一定要十分重视这个领域。