Este open source mai sigur decât software-ul proprietar pentru lanțul de aprovizionare?

Model diferit de amenințare. În principiu, sursa deschisă este auditabilă, dar majoritatea codului nu este revizuit în profunzime. XZ Utils a stat nedetectat luni de zile. Software-ul proprietar este mai greu de auditat, dar furnizorii au de obicei echipe de securitate mai mari. Ambele au niveluri de risc similare în lumea reală; modelele specifice de compromis diferă.

Cum verific dacă software-ul meu a fost compromis într-un incident cunoscut?

Când incidentele sunt dezvăluite, vânzătorii și cercetătorii publică indicatori de compromis (hash-uri de fișiere, comportamente, versiuni afectate). Instrumentele EDR mătură automat pentru acestea. Pentru utilizatori, urmărirea știrilor despre anumite produse pe care le utilizați este o monitorizare realistă.

Da pentru răspuns, mai puțin pentru prevenire. Când se anunță o vulnerabilitate, SBOM vă permite să identificați imediat dacă sunteți expus. Nu oprește compromisul. Combinația dintre SBOM + scanarea vulnerabilităților + corecția rapidă reprezintă o reducere semnificativă a riscurilor în lumea reală.

Poate o întreprindere mică să se apere împotriva atacurilor lanțului de aprovizionare?

Parţial. Apărările majore sunt operaționale - menținerea software-ului actualizat, utilizarea furnizorilor de renume, segmentarea rețelei, având EDR. Atacurile la nivelul lanțului de aprovizionare de nivel 1 (statul național care vizează un furnizor) nu pot fi apărate în mod realist de nimeni; apărările mai largi limitează daunele.

Sunt cei care întrețin sursă deschisă sunt plătiți mai mult acum?

Unii sunt. OpenSSF al Fundației Linux, Fondul Tehnologic Suveran al Germaniei și diverse programe de sponsorizare corporativă au canalizat bani reali către menținătorii critici. Majoritatea întreținerii din amonte sunt încă voluntari neplătiți; decalajul dintre criticitate și finanțare rămâne un risc structural.

Atacurile lanțului de aprovizionare explicate: cum compromiterea unui furnizor lovește mii de clienți

Un atac al lanțului de aprovizionare compromite un furnizor, o bibliotecă de software sau un furnizor de servicii, apoi accesează fiecare client în aval. În 2020, SolarWinds a lovit 18.000 de organizații, inclusiv agenții federale din SUA. Clasa de atac este cu adevărat terifiantă, deoarece apărările sunt în mare parte din mâinile oricărei organizații.

Întregul articol al articolului este oferit în limba engleză mai jos.

Atacuri în lanțul de aprovizionare compromit o sursă de încredere – un furnizor de software, o dependență open-source, un furnizor de servicii cloud, un producător de hardware – și folosesc această încredere pentru a ajunge la clienții sursei. O singură intruziune la vânzător poate ajunge la mii de victime simultan. Categoria mărește dramatic efortul atacatorilor: un compromis, multe ținte.

Categorii majore

Compromisul furnizorului de software. Construirea sistemelor sau lansarea infrastructurii devin backdoor; actualizările legitime semnate poartă sarcina utilă a atacatorului. SolarWinds, Kaseya, CCleaner, ASUS Live Update sunt exemplele celebre.
Compromis de dependență open-source. Contul unui întreținător este preluat (sau constrâns) și o versiune rău intenționată a unui pachet popular este publicată. Event-stream, ua-parser-js, Codecov, backdoorul XZ Utils 2024 sunt toate exemple.
Furnizor de servicii cloud compromis. Un atacator care intră într-un furnizor de găzduire, CDN, furnizor de identitate sau furnizor de DNS poate lovi fiecare client. infrastructură.
Lanțul de aprovizionare cu hardware. Implanturi introduse în timpul producției, expedierii sau reparației. Există cazuri documentate și presupuse pentru diferite operațiuni ale statelor naționale.
Compromis cu furnizorul de servicii gestionate (MSP). MSP-urile care gestionează IT-ul multor clienți devin un punct pivot. Mai multe grupuri de ransomware au vizat MSP-urile în mod specific.

SolarWinds: exemplul canonic

In 2020, atacatorii (se crede că ar fi SVR rusi) au compromis conducta de construcție a SolarWinds și au introdus o ușă secundară în rețeaua software-ului de administrare Orion. Ușa din spate a fost semnată cu certificatul de semnare a codului SolarWinds și expediată ca actualizare legitimă. Aproximativ 18.000 de clienți au instalat versiunea compromisă. Un subset – inclusiv mai multe agenții federale din SUA și corporații importante – au fost exploatate în continuare prin intermediul acelui punct de sprijin inițial.

Compromisul a rămas nedetectat luni de zile. Software-ul semnat a trecut fiecare verificare a semnăturii. Încălcarea a fost surprinsă atunci când FireEye (Mandiant) a observat că propriile instrumente au fost folosite în moduri necunoscute.

The XZ Utils backdoor

ILa începutul anului 2024, o campanie de inginerie socială de mai mulți ani a reușit să plaseze o ușă din spate în apropierea bibliotecii X-Universal Linux. Atacatorul și-a petrecut doi ani construind credibilitatea ca întreținător înainte de a introduce cod rău intenționat ascuns, care ar fi declanșat în cele din urmă execuția de cod de la distanță prin OpenSSH pe majoritatea serverelor Linux. Ușa din spate a fost prinsă de Andres Freund, un inginer Postgres care a observat o încetinire de 500 ms.

Cazul a demonstrat răbdarea de lungă durată a atacatorilor lanțului de aprovizionare și vulnerabilitatea infrastructurii open-source critice subfinanțate.

Apărări (în cea mai mare parte parțiale)

Software Bill of Materials (SBOM). Documentați fiecare componentă a software-ului dumneavoastră. Când o vulnerabilitate sau o ușă din spate este găsită într-o componentă, devine posibilă o căutare rapidă a ceea ce ați livrat. SBOM este din ce în ce mai solicitat de achizițiile federale din SUA.
Compilări reproductibile. Verificarea faptului că binarul distribuit se potrivește cu o versiune nouă de la sursă. Captează compromisul infrastructurii de construcție dacă sursa este curată.
Semnarea codului. Necesar, dar nu suficient — SolarWinds a fost semnat în mod legitim.
Fixarea și revizuirea dependenței. Nu luați automat cele mai recente versiuni minore; revizuiți ceea ce este în lanțul dvs. de aprovizionare înainte de a-l încorpora.
Evaluările securității furnizorilor. Organizațiile mai mari necesită chestionare de securitate și audituri ale furnizorilor critici.
Detecție comportamentală. Chiar și actualizările cu aspect diferit de versiunea anterioară sunt adesea legitime. Instrumentele EDR pot semnala conexiuni de ieșire neobișnuite, activitate neobișnuită a fișierelor după actualizare.
Segmentarea rețelei. Un produs de furnizor compromis care ajunge la o parte a rețelei dvs. este mai puțin catastrofal decât atingerea întregii ei.
PLZ31XPLZ în arhitectura implicită; verifica la cerere. Limitează raza de explozie a oricărui compromis unic.

Problema finanțării cu sursă deschisă

Ușa din spate a XZ Utils a evidențiat o problemă structurală: lumea rulează pe biblioteci open-source întreținute de un număr mic de voluntari (adesea unul). Când întreținătorul este suprasolicitat, suprafața de atac pentru ingineria socială pentru a obține acces la comitere este enormă. Inițiative de finanțare — Linux Foundation OpenSSF, Sovereign Tech Fund, GitHub Sponsors — încearcă să rezolve acest lucru, dar decalajul rămâne semnificativ. do

Apărările sunt în cea mai mare parte organizatorice, dar indivizii pot:

Păstrarea software-ului actualizat — cele mai multe atacuri se bazează pe software învechit cu vulnerabilități cunoscute
Folosește securitatea punctelor terminale cu detectarea comportamentală
Se așteaptă o actualizare specială a software-ului neașteptat. programul recent)
Utilizați furnizori majori cu practici mature pentru lanțul de aprovizionare pentru software cu mize mari

Răspunsul de reglementare

Ordinul executiv al SUA privind îmbunătățirea securității cibernetice a națiunii (2021), urmat de mandate NIST-2 SP18 și cadru de aprovizionare similare. igiena lanțului pentru contractorii federali. Actul UE privind rezistența cibernetică extinde cerințe similare la produsele de consum. Presiunea conformității este reală și a îmbunătățit practicile furnizorilor, deși aplicarea este încă în curs de dezvoltare.

Întrebări frecvente

Este open source mai sigur decât software-ul proprietar pentru lanțul de aprovizionare?: Model diferit de amenințare. În principiu, sursa deschisă este auditabilă, dar majoritatea codului nu este revizuit în profunzime. XZ Utils a stat nedetectat luni de zile. Software-ul proprietar este mai greu de auditat, dar furnizorii au de obicei echipe de securitate mai mari. Ambele au niveluri de risc similare în lumea reală; modelele specifice de compromis diferă.
Cum verific dacă software-ul meu a fost compromis într-un incident cunoscut?: Când incidentele sunt dezvăluite, vânzătorii și cercetătorii publică indicatori de compromis (hash-uri de fișiere, comportamente, versiuni afectate). Instrumentele EDR mătură automat pentru acestea. Pentru utilizatori, urmărirea știrilor despre anumite produse pe care le utilizați este o monitorizare realistă.
SBOM chiar ajută?: Da pentru răspuns, mai puțin pentru prevenire. Când se anunță o vulnerabilitate, SBOM vă permite să identificați imediat dacă sunteți expus. Nu oprește compromisul. Combinația dintre SBOM + scanarea vulnerabilităților + corecția rapidă reprezintă o reducere semnificativă a riscurilor în lumea reală.
Poate o întreprindere mică să se apere împotriva atacurilor lanțului de aprovizionare?: Parţial. Apărările majore sunt operaționale - menținerea software-ului actualizat, utilizarea furnizorilor de renume, segmentarea rețelei, având EDR. Atacurile la nivelul lanțului de aprovizionare de nivel 1 (statul național care vizează un furnizor) nu pot fi apărate în mod realist de nimeni; apărările mai largi limitează daunele.
Sunt cei care întrețin sursă deschisă sunt plătiți mai mult acum?: Unii sunt. OpenSSF al Fundației Linux, Fondul Tehnologic Suveran al Germaniei și diverse programe de sponsorizare corporativă au canalizat bani reali către menținătorii critici. Majoritatea întreținerii din amonte sunt încă voluntari neplătiți; decalajul dintre criticitate și finanțare rămâne un risc structural.