回顾长亭安全应急响应中心近一年时间内发布的百余次漏洞风险提示,几乎100%的风险/高危预警皆来自于软件供应链厂商。这是由于,越来越多的企业选择采用供应商以及商业、开源中间件来快速搭建应用系统,商业软件、硬件设备、开源项目被大量集成到企业IT基础设施中。这种敏捷、快速的扩张方式,在提升效率的同时也带来了新的安全风险:软件开发生命周期中的每一个环节,都存在引入漏洞的可能性。
据针对2400余个代码库的审计数据显示,高达97%的代码中存在开源组件漏洞,而81%的代码库中包含至少一个已公开开源组件漏洞,49%的代码库中包含至少一个高风险漏洞。
软件供应链系统和组件种类繁多,攻击突破口从单点到多面,风险和威胁无处不在。
对于企业来说,全面监控整个生态系统的安全漏洞非常困难,同时软件供应商的安全防护能力和重视程度也相对较弱,漏洞应急响应工作常会被以下问题困扰:
复杂性和多样性
供应链软件通常由多个组件和模块组成,涉及多个供应商和第三方。这使得供应链软件的复杂性和多样性增加,难以全面了解和评估其中的漏洞风险。不同组件和供应商之间的依赖关系和交互,亦增加了漏洞的传播和影响范围。
缺乏可见性和控制
企业在使用供应链软件时,往往缺乏对软件内部的可见性和控制。这使得难以发现和修复潜在的漏洞,以及监控和防止恶意代码或后门的插入。企业对供应链软件的安全性,高度依赖供应商的安全实践和控制措施。
漏洞披露和通报
供应链软件漏洞的披露和通报是一个复杂的过程。供应链中的不同参与方,可能具有不同的漏洞披露政策和程序,这导致信息共享和协作的困难。此外,供应链中的漏洞披露可能涉及商业敏感信息和法律问题,增加了解决漏洞的难度。
漏洞的持续性和新兴威胁
供应链软件漏洞是一个持续的风险,随着时间的推移和技术的发展,新的漏洞和威胁不断出现。解决供应链软件漏洞需要持续的监测、评估和更新,以及对新兴威胁的及时应对。
上述问题,给攻击者创造了一个显而易见的防守薄弱点,促使他们能够以较低成本利用软件供应链中的漏洞,植入恶意代码、篡改数据或控制某个环节的操作权限。这类攻击一旦成功,将可能进一步控制更多的环节或进行横向传播,从而造成连锁性威胁。对于当前一些已经形成巨头垄断的供应链形态,若安全投入不足,一旦行业低水位成员单位遭到突破、专用系统源码被审计,将有可能间接导致整个行业相关业务沦陷。
面对更加复杂多样的漏洞情况,一个精细化的漏洞应急响应机制,不可或缺。长亭结合自身的漏洞防护研究和客户场景中的多个最佳实践,提炼出了一套标准化的动作,从基本框架、细节要点到流程化步骤——希望为用户提供一个实施有效、分工明确,且可落地的详尽参考。
然而,在实际落地实施中,我们会发现一种情况:一些企业即使具备规范的标准化流程,应急工作落地起来依然较为困难。何故?究其原因:
情报、情报、还是情报!
在漏洞应急响应过程中,情报是先决条件。在情报生成过程中,分析与研判则更为关键,且富有挑战性。长亭科技立足市面上漏洞情报通常存在的问题痛点,专注“快、准、狠”的漏洞应急响应之道,匠心打造“长亭漏洞应急响应三大法宝”,直抵机制、人、工具这三项漏洞情报核心要素,料敌制胜!
👇点击卡片,揭晓详情👇
“限时限量”,就现在!
点击上图,前往长亭科技姊妹公众号“长亭安全观察”,阅读长亭漏洞库实战案例、参与活动,你将有机会获得长亭集体智慧结晶《攻防视角 安全运营一本在手》!