Black Hat 2022大会焦点：软件供应链安全

编译：代码卫士

黑帽大会以硬件和传统软件利用而为人熟知，不过今年展现了更多软件供应链安全问题，表明威胁局面正在发生改变。

以往，黑帽大会及其姐妹会议 DEF CON 以高层次的硬件和软件利用而频上头条。除上述内容外，今年举行的第25届黑帽大会将讨论针对支持现代 DevOps 组织机构的开发人员、开源模块和底层基础设施。这些演讲标志着威胁局面的转变以及软件供应链面临的越来越多的安全威胁。

01 参会人员关心什么？

黑帽大会发布了《供应链和云安全风险是首要考虑》的调查报告。180多名经验丰富的网络安全专业人员的研究结果表示，针对云服务的攻击、勒索软件和全球供应链风险最令人担忧。

2021年是供应链攻击之年，组织机构了解到全球供应链可被滥用于攻陷大量受害者。当问到供应链以及厂商和客户之间的关系时，53%的受访人员表示，由第三方提供商向所在企业提供的云服务或网络服务中的漏洞是最担心的网络安全问题；同样比例的受访人员认为，由合同承包商、供应商和客户维护的系统、应用程序和网络中的漏洞是最令人担心的；34%的受访者认为从第三方购买的系统中现成可用软件中的漏洞是最关心的两大问题之一；26%的受访人员表示最担心的是位于开源组件所引入商业软件或云服务中的漏洞。

与2021年的黑帽大会参会人员调查报告显示，担心第三方系统和应用程序中的漏洞、云服务或网络服务中的漏洞和现成可用软件中的漏洞的受访人员比例分别是60%、55%和47%。这一结果与61%的安全专业人员担心微软 Exchange 和其它现成可用应用程序中的漏洞这一结果一致。

当提到当前面临的最大的威胁和挑战时，39%的参会人员表示最担心的是：钓鱼攻击和其它形式的社工攻击 (39%)，具有针对性的复杂攻击 (35%)，针对供应商、合同承包商或其它合作伙伴等的攻击 (28%)，以及云服务提供商的潜在攻陷 (26%)。

几年来，勒索软件从以加密数据交换勒索金演变为破坏系统或擦除数据的复杂攻击。59%的受访人员认为，近两年来自己所在组织机构遭受的勒索威胁在增多。虽然遭受的攻击在增多，但96%的安全专业人员表示已能够成功拦截或将勒索攻击的影响最小化。

如下是本次大会与软件开发和供应链风险相关的演讲和部分相关主题。

02 开发团队成为攻击目标

今年大会的一个很明确的主题是DevOps 组织机构使用的工具和平台的安全性，很多演讲解决的是闭源和开源软件的源代码管理系统中的威胁问题。

例如，NCC Group 公司的研究人员的演讲“RCE即服务：从五年真实CI/CD管道攻陷事件中获得的经验教训”，讲述了自己多年来在多家规模不一的企业中测试开发团队安全性的工作。他们将CI/CD管道称为“软件供应链中最危险的潜在攻击面”，认为这些开发平台是任何企业IT基础设施中的“明珠”，使得攻击者能将本意在加速软件开发的工具转变为恶意的“远程代码执行即服务”平台。另外，他们还讨论了抵御CI/CD管道遭攻击的最佳方法。

IBM X-Force 团队的研究员围绕“DevOps 环境中的威胁”主题，挖掘了源代码管理系统如 GitHub Enterprise、GitLab Enterprise 和 Bitbucket 等可遭攻击和攻陷的多种方式。

Hawkin 的演讲题目为“控制来源：滥用源代码管理系统”，讲述了可导致恶意人员访问SCM系统的多种攻击场景。他还发布了便于实施SCM攻击如侦察、用户角色操纵、仓库接管和用户模拟等的开源工具，以及给出如何抵御SCM系统攻击的指南。

03 开源：风险生意

鉴于软件行业在开发过程中对开源组件的严重依赖，以及通过开源平台和代码进行攻击变得普遍，开源网络风险是本次大会的另外一个中心议题。例如，Synopsys 公司发现，2021年平均每款软件应用依赖于500多个开源库和组件，近两年来增加了77%。攻击者也注意到了这一点，很多攻击针对的是严重依赖于开源仓库如 PyPi 和 npm。

黑帽大会注意到了这一点，多个演讲探索的正是开源代码带来的风险以及如何进行修复。

例如，三名研究员 Jonathan Leitschuh、Patrick Way 和 Shyam Mehta 在演讲中试图解决开源安全中的一个关键问题：如何批量从安全响应角度应对大规模开源平台如GitHub 等带来的挑战。虽然现代工具可能允许我们自动化漏洞扫描和识别工作，但结果往往使安全人员不得不担负评估、分类和响应大量已识别缺陷的压力。为此，他们提出了一种解决方案：自动化批量拉取请求生成以及使用工具如OpenRewrite来进行大规模的安全响应。

另外，随着企业在大规模的开源代码仓库中使用人工智能，期待有一天开发编程机器人取代开发人员，纽约大学和卡尔加里大学的研究员给出演讲“‘配对’审查的必要性：GitHub Copilot 做出的易受攻击代码贡献”，分析了Copilot 的输出。这款基于AI的配对机器人基于开源的GitHub代码训练深度学习模型。然而，研究人员发现很多代码“写得不好”。另外，微软基于AI的推特聊天机器人表明，人工智能在吸收输入和梳理模式方面很优秀，但在评估所获得信息的底层质量方面非常糟糕。

对Copilot 代码的分析发现很多常见缺陷，如SQL注入、缓冲区溢出和释放后使用漏洞等。实际上，在89个不同场景通过 Copilot AI生成的1689条建议中，大约40%的建议易受攻击。当然，这一演讲说明开发组织机构应将低层次的编码工作交给机器人，但GitHub 仓库中存在高密度的缺陷也是组织机构需要特别注意的，它们应当在依赖关系创建之前而不是创建之后，评估开源组件的质量和稳定性。

04 开发人员：安全房间里的大象

DevOps 安全房间中的大象（即非常显而易见但一直被忽略的问题），当然是开发人员本身。虽然源代码分析工具能够改进专有和开源代码的安全性评估，漏洞扫描可以识别出所开发代码中的缺陷和弱点，但最佳安全“修复方案”源自更好地编写的高质量代码。

而这就是Adam Shostack 在演讲中提到的。他是一名在威胁建模、安全开发和DevOps方面的专家，讲述了很多组织机构在培训开发人员使其在不牺牲其它优先事项的情况下安全编码时面临的“好高骛远”的问题。在演讲中他提到组织机构应如何衡量对开发人员的安全培训效果。培训的目的不是出品“绝地武士般质量”的安全编码开发人员，而是提升开发人员的安全意识和技能，减少困扰所开发应用程序的常见且普遍的安全问题。他指出，“反叛不是由一个绝地武士实施的。”为此，他提到应提供“知识脚手架和分层学习方法”，扩展到开发组织机构中。

原文链接

https://securityboulevard.com/2022/08/software-supply-chain-security-takes-center-stage-at-black-hat-2022/

https://www.helpnetsecurity.com/2022/08/08/what-black-hat-usa-2022-attendees-are-concerned-about/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。