軟件供應鏈攻擊TTP：OSC&R框架

新推出的開放框架尋求為公司和安全團隊提供全面且可行的方式深入了解軟件供應鏈攻擊行為及技術。這項名為開放軟件供應鏈攻擊參考（OSC&R）的計劃由以色列軟件物料安全管理公司OX Security主導，評估軟件供應鏈安全威脅，覆蓋一系列攻擊途徑，比如第三方庫和組件漏洞、構建及開發系統供應鏈攻擊，以及被黑或惡意軟件更新包。框架創始聯盟中的網絡安全專業人員包括來自GitLab的代表，以及微軟、谷歌云、Check Point Technologies和OWASP的前主管。

OSC&R滿足軟件供應鏈對類MITRE安全框架的需求

OX Security創始人Neatsun Ziv向安全媒體CSO透露，安全專家需要類似MITRE ATT&CK的框架來更好地了解和評估軟件供應鏈風險，OSC&R框架正是為滿足這一需求而創建的。“在其他領域，比如端點和勒索軟件領域，都有很好的框架可供獲得全面的威脅態勢圖景。”他表示，“而在軟件供應鏈領域，就真是兩眼一抹黑了。我們所要做的，就是獲取所有現有信息并將之構建成一個框架，讓每位安全人員都能用來評估自身軟件供應鏈方面的當前狀況，了解都存在哪些暴露面，該如何快速處理這些暴露面。”

GitLab高級安全工程師Hiroki Suezawa聲稱，該框架為安全界提供了統一的參考源，可用來主動評估軟件供應鏈安全保護策略，比較各解決方案優劣，幫助安全團隊充滿信心地構建自己的安全策略。

OSC&R框架專注軟件供應鏈攻擊方法

OSC&R框架針對攻擊殺傷鏈和攻擊者用來執行軟件供應鏈攻擊所用的流程。OSC&R框架遵循攻擊者采取的步驟，使防御者能夠看清自己目前的防護短板，了解自己該在哪些方面有所加強。

安全團隊現在就可以使用OSC&R評估現有防御措施，確定需要優先處理哪些威脅、現有措施對這些威脅的應對情況如何，還可以使用該框架跟蹤攻擊者團伙的行為。該框架將隨新戰術和技術的出現和發展而不斷更新，并輔助紅隊測試活動，幫助設置滲透測試或紅隊演練的范圍，作為測試過程中和測試結束后的記分卡。

OX Security顧問Yeal Citro表示，目前大約有20家公司加入工作組為該框架做貢獻，希望在未來幾個月里能吸納更多同行。“大家都能共享自己的知識、專業技能和經驗，這就是我們這個計劃的目標。”

軟件供應鏈安全仍是頭等大事

由于軟件供應鏈相關數據泄露和風險持續影響全球企業和機構，軟件供應鏈安全仍舊是各家企業和安全行業的頭等大事。去年9月，美國國家安全局（NSA）、網絡安全與基礎設施安全局（CISA）和 國家情報總監辦公室（ODNI）發布了《保護軟件供應鏈：開發人員推薦實踐指南》。該出版物強調了開發人員在創建安全軟件中的作用，并提供了符合行業最佳實踐和原則的指導，強烈推薦軟件開發人員參考。

去年7月，互聯網安全中心發布了類似的最佳實踐指南，重在保護軟件供應鏈的每個階段。而在去年5月，Rezilion推出了Dynamic SBOM（軟件物料清單），這是一款應用程序，可以插入企業的軟件環境，檢查運行時多個組件的執行情況。