朝鮮APT組織LAZARUS 在供應鏈攻擊中使用 MAGICLINE4NX 零日漏洞

根據SecurityScorecard發布的《全球第三方網絡安全漏洞報告》顯示，2023年大約29%的違規行為可歸因于第三方攻擊媒介，因為許多違規行為的報告沒有指定攻擊媒介，所以實際比例可能要更高。MOVEit、CitrixBleed和Proself是2023年的軟件供應鏈方面三個最廣泛利用的漏洞，其中MOVEit零日漏洞產生廣泛影響可能被歸咎于第三方、第四方甚至第五方。

近日，以色列網絡安全公司Seal Security宣布獲得由Vertex Ventures Israel領投的740萬美元種子輪融資，Seal歸屬軟件供應鏈安全賽道，其研發的平臺產品主要利用生成式AI為客戶提供自動化的修復解決方案，其平均修復時間可從過去幾個月縮短到現在的幾個小時，足以以應對軟件供應鏈這一日益嚴峻的挑戰。

通過在開源軟件包中插入惡意代碼來迅速將惡意軟件傳播到整個軟件供應鏈中是惡意分子常用的攻擊手段。然而，最新的研究發現，如果用戶等待大約14天后再將這些軟件包更新到最新版本，就可以避免受到軟件包劫持攻擊的不良影響。

基于各方在自身領域的專業積累，將此次調研工作進行了明確的分工，并將不定期進行調研分享交流會。

各類攻防演練的結果證明，軟件供應鏈攻擊已成為投入低、見效快、易突破的有效方式。總體思路與原則：合規是底線，管理是準則，制度是要求，技術是支撐，服務是保障，流程是協作。安全管理制度的建立，能夠規范軟件供應鏈涉及的內部、外部角色的行為，同時提供制度性保障。其次，針對軟件開發各階段與存在的風險，引入對應的安全能力，提供技術支撐，確保安全質量。

新推出的開放框架尋求為公司和安全團隊提供全面且可行的方式深入了解軟件供應鏈攻擊行為及技術。這項名為開放軟件供應鏈攻擊參考（OSC&R）的計劃由以色列軟件物料安全管理公司OX Security主導，評估軟件供應鏈安全威脅，覆蓋一系列攻擊途徑，比如第三方庫和組件漏洞、構建及開發系統供應鏈攻擊，以及被黑或惡意軟件更新包。

《安全要求》給出了軟件供應鏈安全保護目標，規定了軟件供應鏈組織管理和供應活動管理的安全要求；適用于指導軟件供應鏈中的需方、供方開展組織管理和供應活動管理，可為第三方機構開展軟件供應鏈安全測試和評估提供依據，也可為主管監管部門提供參考。

2022年8月1日，由懸鏡安全、ISC、中國電信研究院共同編撰的《軟件供應鏈安全治理與運營白皮書》于ISC互聯網安全大會懸鏡出品的“軟件供應鏈安全治理與運營論壇”上正式發布。圖1 《軟件供應鏈安全治理與運營白皮書》正式發布Gartner分析指出，“到2025年，全球45%組織的軟件供應鏈將遭受攻擊，比2021年增加了三倍。”

軟件開發商表示，計劃投資安全代碼審核及SBOM設計與實現。Cornell表示，如果他們能夠充分應對這一風險，而且比競爭對手更迅速，那就意味著他們可以更快進入市場，更快開始為利益相關者創造價值。Cornell稱，有了高管的參與，他們就會開始在預算分配中反映這一重點。Cornell表示，他們也擁有可以幫助生成SBOM的工具，可以將之提供給軟件消費者，使其能夠管理自身供應鏈風險。