​Black Hat 2022 聚焦软件供应链安全

Black Hat 大会被公认为世界信息安全行业最权威大会，也是在全球范围内最具有技术性的信息安全大会。Black Hat USA 聚焦网络安全事件，并且持续向外界输出前沿安全技术研究成果以及行业发展趋势分析，吸引着全球各地的安全从业者。

软件供应链安全备受关注

软件供应链安全成为 Black Hat 2022 的热点话题。

随着企业逐渐向云原生开发转移，并采用 DevOps 流程来加快开发速度，使得软件供应链安全挑战变得更加复杂。与此同时，受到 SolarWinds 和 Kaseya 此类大型攻击事件的影响，攻击者正在加紧对软件构建和分发环境展开攻击。在过去的12个月中，这些攻击的数量激增，复杂性更是空前，软件供应链攻击可能导致的严重业务中断、收入损失、数据盗窃和客户利益损害。因此，软件供应链安全开始受到 CEO 及 CIO 们的高度关注，也成为大众关注的焦点。

攻击目标向开发转移

在数字化转型的大背景下，各个企业相继开始进行软件开发工作。因此，软件开发环境已成为恶意攻击者的巨大目标。在这些类型的攻击中，破坏开发环境的方法已达数十种，包括利用 Log4j 等开源软件组件进行攻击。令人担忧的是开发人员目前专注与创新和开发速度，而不是安全性，而安全团队缺乏充沛的知识和资源来帮助开发团队处理和解决安全问题。

超过90%的软件应用程序使用开源组件，与开源软件相关的依赖关系和漏洞极其复杂。CI/CD 和 DevOps 流水线的结构能够提高开发人员的开发效率，但不意味着更加安全。在推动更快创新的过程中，开源的复杂性和开发速度限制了软件供应链安全控制的有效性。

Black Hat USA 2022 大会还关注 DevOps 使用的工具和平台的安全性，会议中对闭源和开源软件的源代码管理系统的特定威胁问题进行了深入的讨论。CI/CD 流水线成为软件供应链最危险的攻击面，尽管很多企业尽可能网络安全集成到 DevOps 流水线的核心部分，但 CI/CD 流水线仍然可以被破解。攻击者利用企业开发平台开发出一个恶意的 REC （Remote Code Execution）即服务平台来侵入企业的软件供应链。

同样值得关注的议题是黑客如何快速使用源代码管理（Source Code Management）系统，包括 GitHub Enterprise、GitLab Enterprise等，在企业中实现横向移动、权限升级、感染存储库，从而大规模访问企业软件供应链，并进一步进行攻击。

Black Hat 2022 报告关键结果

在今年 Black Hat 发布了关于供应链和云安全风险的重要调查报告。该报告对180多位有着丰富从业经验的安全专业人士进行访谈和调研，报告结果显示了安全从业人员对云服务攻击、勒索软件和全球软件供应链日益增长的风险的担忧。

安全威胁随着 IT 环境不断演变

2021年是充满软件供应链安全挑战的一年。当受访者被问及供应链及厂商和客户之间的关系时，有53% 的受访者表示他们最担心的网络安全问题来自第三方软件服务提供商所提供的云服务或网络服务中的漏洞。此外，超过50%的受访者坦言他们顾虑最大的漏洞来自于合同承包商、供应商和客户维护的系统、应用程序和网络。

与此同时，34%的受访者提出他们最关心的安全问题是从第三方购买的系统中现成可用软件中的漏洞。还有26%的人十分担心来自开源组件所引入商业软件或云服务中的漏洞。

软件供应链与云服务

当谈及企业和组织面临的最大的安全威胁和挑战时，大家对四大类事件表示担心和顾虑：钓鱼攻击及各种形式的社交工程（Social Engineering）诈骗（39%），有针对性且复杂的攻击（35%），针对供应商、外包或其他合作伙伴的攻击殃及企业的网络（28%），还有云服务提供商存在的潜在安全风险（26%）。

勒索软件

在之前的文章中，我们汇总了开发人员需要关注的11中顶级恶意软件，包括远程访问木马、银行木马、信息窃取程序和勒索软件。多年来，勒索软件已经从通过加密数据来进行勒索，发展到能够破坏系统或清除数据等复杂攻击活动。 59%的受访者认为在过去的两年中，他们所在的企业遭遇的软件勒索威胁数量有所增加。但值得庆幸的是，虽然攻击数量增加，但96%的安全人士表示他们所在的企业能够成功组织或最大程度减少勒索软件攻击对企业造成的影响。