新推出的开放框架寻求为公司和安全团队提供全面且可行的方式深入了解软件供应链攻击行为及技术。这项名为开放软件供应链攻击参考(OSC&R)的计划由以色列软件物料安全管理公司OX Security主导,评估软件供应链安全威胁,覆盖一系列攻击途径,比如第三方库和组件漏洞、构建及开发系统供应链攻击,以及被黑或恶意软件更新包。框架创始联盟中的网络安全专业人员包括来自GitLab的代表,以及微软、谷歌云、Check Point Technologies和OWASP的前主管。

OSC&R满足软件供应链对类MITRE安全框架的需求

OX Security创始人Neatsun Ziv向安全媒体CSO透露,安全专家需要类似MITRE ATT&CK的框架来更好地了解和评估软件供应链风险,OSC&R框架正是为满足这一需求而创建的。“在其他领域,比如端点和勒索软件领域,都有很好的框架可供获得全面的威胁态势图景。”他表示,“而在软件供应链领域,就真是两眼一抹黑了。我们所要做的,就是获取所有现有信息并将之构建成一个框架,让每位安全人员都能用来评估自身软件供应链方面的当前状况,了解都存在哪些暴露面,该如何快速处理这些暴露面。”

GitLab高级安全工程师Hiroki Suezawa声称,该框架为安全界提供了统一的参考源,可用来主动评估软件供应链安全保护策略,比较各解决方案优劣,帮助安全团队充满信心地构建自己的安全策略。

OSC&R框架专注软件供应链攻击方法

OSC&R框架针对攻击杀伤链和攻击者用来执行软件供应链攻击所用的流程。OSC&R框架遵循攻击者采取的步骤,使防御者能够看清自己目前的防护短板,了解自己该在哪些方面有所加强。

安全团队现在就可以使用OSC&R评估现有防御措施,确定需要优先处理哪些威胁、现有措施对这些威胁的应对情况如何,还可以使用该框架跟踪攻击者团伙的行为。该框架将随新战术和技术的出现和发展而不断更新,并辅助红队测试活动,帮助设置渗透测试或红队演练的范围,作为测试过程中和测试结束后的记分卡。

OX Security顾问Yeal Citro表示,目前大约有20家公司加入工作组为该框架做贡献,希望在未来几个月里能吸纳更多同行。“大家都能共享自己的知识、专业技能和经验,这就是我们这个计划的目标。”

软件供应链安全仍是头等大事

由于软件供应链相关数据泄露和风险持续影响全球企业和机构,软件供应链安全仍旧是各家企业和安全行业的头等大事。去年9月,美国国家安全局(NSA)、网络安全与基础设施安全局(CISA)和 国家情报总监办公室(ODNI)发布了《保护软件供应链:开发人员推荐实践指南》。该出版物强调了开发人员在创建安全软件中的作用,并提供了符合行业最佳实践和原则的指导,强烈推荐软件开发人员参考。

去年7月,互联网安全中心发布了类似的最佳实践指南,重在保护软件供应链的每个阶段。而在去年5月,Rezilion推出了Dynamic SBOM(软件物料清单),这是一款应用程序,可以插入企业的软件环境,检查运行时多个组件的执行情况。