软件供应链攻击在过去几年中迅速增加。也称为后门攻击，它们巧妙地利用第三方软件漏洞来访问组织的系统和数据。这些渗透往往对犯罪分子来说非常有利可图，对企业来说却是毁灭性的，因为一次违规行为可能会产生快速的多米诺骨牌效应，影响数千名受害者。然而，Thales（泰雷兹）和DigiCert 的联合合作提供了有助于防范这些安全风险的解决方案。

Gartner 预测，到 2025 年，全球 45% 的组织的软件供应链将遭受过攻击。该新闻已经报道了一些非常引人注目的事件，包括对一家美国零售商、一家软件供应商以及最近对一家跨国投资和金融服务银行的攻击。

黑客是如何侵入的？

攻击最常见的方式是劫持软件更新、破坏代码签名和破坏开源代码。黑客往往会针对安全性较差的软件。在大多数情况下，犯罪分子会潜入合法流程，不受限制地访问组织的软件生态系统，从而造成严重破坏。示例包括秘密插入恶意软件或操纵不受保护的代码签名密钥。

组织如何保护他们的数据？

幸运的是，网络安全和基础设施安全局 (CISA) 建议组织可以采取多种预防措施。其中包括以下 4 项最佳实践：

1、使用代码签名保护软件版本

大多数现代软件都是来自多个来源的代码和软件包的编译。这可能包括开源、第三方和各种库，此外还可能包括来自内部和外部 DevOps 以及持续集成/交付 (CI/CD) 团队的多个组件。在每个构建和发布周期中，需要集成和自动化多种安全措施。在此过程中的任何时刻都可能发生篡改，例如插入恶意软件。篡改可能涉及插入第 3 方代码（通常来自开源软件组件）、操纵组织的专有源代码，甚至操纵用于构建软件的工件。

软件版本可以通过代码签名来保护。该框架使用数字证书和公钥基础设施（PKI）对程序文件进行签名，以便用户可以权威地识别文件的发布者并验证文件没有被篡改或意外修改。组织可以使用DigiCert 代码签名证书来阻止应用程序和软件篡改，以确保其下载的文件按预期发布。此外，软件开发人员可以使用 DigiCert 扩展验证 (EV) 代码签名证书对应用程序、驱动程序和软件程序进行数字签名，作为最终用户验证他们收到的代码是否未被第三方更改或泄露的一种方式。

2、保护私钥

代码签名最重要的问题是保护与代码签名证书关联的私钥。如果密钥被泄露，则证书和软件将不再受到完全信任。为了保护密钥，组织通常可以选择应用软件或硬件保护。然而，由于使用纯软件保护的系统遭受了几次引人注目的黑客攻击，因此越来越多的趋势是采用更强大的基于硬件的解决方案。

• 例如，美国国家标准与技术研究院 (NIST) 机构和认证机构浏览器论坛 (C/AB) 联盟都建议使用强化的加密硬件产品来保护密钥，例如硬件安全模块 (HSM/加密机)作为安全最佳实践。

• 例如，Thales Luna 硬件安全模块 (HSM) 是防入侵、防篡改的 FIPS 验证和 Common Criteria EAL 4+ 认证的硬件设备，可为代码签名提供安全的信任根。

对于需要灵活部署模型的组织来说，Luna HSM 是少数可用的本地、即服务或混合模型之一。 Luna HSM 还可用于安全地生成、存储和管理代码签名应用程序中使用的私钥。它们还提供对密钥使用的严格访问和控制（密钥必须保存在 HSM 内以执行代码签名），并生成安全审核日志来跟踪访问。所有这些保护措施最终确保私有代码签名密钥不被窃取或滥用。

3、主动检测软件漏洞

为了最大限度地减少任何代码签名过程漏洞，建议结合高级二进制分析和威胁检测的集中式解决方案。DigiCert Trust Software Manager通过深度二进制静态分析来提高软件完整性，以在最终软件进行代码签名之前验证软件是否不存在恶意软件、软件植入、软件篡改和泄露机密等已知威胁。此外，DigiCert Trust Software Manager 还可与本地 Luna HSM 和 Luna Cloud HSM 服务（可在Thales Data Protection on Demand上使用）配合使用，以确保客户能够在本地、云端或混合环境中保护其数据。

4、通过 SBOM 降低风险

在发生几次重大软件供应链攻击之后，美国发布了第 14028 号行政命令，概述了软件物料清单 (SBOM) 对改善网络安全的价值。软件物料清单是作为嵌套清单附加到软件的组件列表。它列出了组成完整软件包的每一段代码，因此您可以知道值得信任的内容，并更轻松地跟踪和消除漏洞或恶意软件。利用自动化扫描工具（例如 DigiCert Software Trust Manager）最大程度地降低监督风险（同时也会生成 SBOM），可以使寻求更快地应用保护和合规措施的组织受益匪浅。

Thales和 DigiCert 架构图

结论

虽然软件供应链攻击的威胁迫在眉睫，但有多种方法可以防御这些漏洞。Thales和 DigiCert 可以共同确保组织的软件完整性，帮助防范软件供应链攻击。要了解更多信息，请联系揽阁信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• PCI DSS 4.0：合规倒计时 – 第 1 和第 2 阶段的路线图

• Luna HSM v7.8.7 和 Luna HSM Universal Client v10.7.1 现已推出

• Thales Luna HSM：首款通过 FIPS 140-3 Level 3验证的硬件安全模块

• 通过以数据为中心的安全性增强协作：安全数据共享策略

• 为明天做好准备：探索PCI DSS 4.0在量子安全加密过渡中的作用