Forrester应用程序安全现状报告 2021 年：关键要点

文化兔子

Forrester 的《年度应用程序安全状况报告》已成为组织实现 AppSec 成熟度的试金石。随着软件开发行业和威胁形势的不断发展，Forrester的《2021年应用安全状况报告》的主要信息是，虽然应用程序仍然是一个主要的攻击媒介，但分析师在他们的研究中发现了希望的迹象。
我们汇总了 Forrester 2021 年报告的主要要点，包括为什么应用程序仍然是主要攻击媒介、应用程序安全趋势，以及组织应该采用哪些工具和流程来实现有效的应用程序安全策略。
应用程序仍然是主要攻击媒介

虽然在过去几年中，对应用程序的依赖稳步增长，但该报告解释了向远程工作的转变促使公司更加依赖应用程序，这解释了为什么研究表明Web应用程序是最常见的外部攻击形式，其次是软件漏洞。



数据来源：Forrester 的应用程序安全状况，2021 年报告

该报告预测，Web应用程序将继续成为外部攻击的主要载体，并列出了三个主要原因：



数据来源：修补年度报告，2021年开源漏洞

根据该报告，许多组织计划在来年优先考虑改善其AppSec配置文件，21%的受访安全决策者表示，他们的公司将优先考虑在开发过程中构建安全性。
AppSec 工具有助于弥合安全性和开发人员之间的差距



数据来源：Forrester 的应用程序安全状况，2021 年报告

• 开源使用的持续增长
  
• 安全研究大幅增加，导致报告的安全问题数量增加，包括大量API漏洞
  
• 容器化环境日益普及，这些环境遭受大量代码和配置问题的困扰
  

该报告提供了许多建议，可帮助组织将安全性融入软件开发生命周期 （SDLC）。首先是将自动化应用程序安全测试集成到 DevOps 管道中-现在，这种做法相对容易采用，因为“预发布测试产品提供与核心开发工具（如 Azure DevOps、GitHub、Jenkins 和 Jira）的深度集成”。
虽然在开发早期将应用程序安全测试自动化为 DevOps 管道的一部分非常重要，但该报告建议在检测到安全问题后找到加快修复速度的方法。重要的是要结合漏洞扫描结果，以提高可见性并正确确定漏洞优先级，以便迅速修复最紧迫的问题。
左移仍在继续，但采用新的 AppSec 工具并不一致

该报告指出了在将自动化安全测试工具集成到DevOps管道中的一些令人鼓舞的趋势，并建议“新的开发方法需要新的工具，公司必须跟上不断发展的保护措施，以保护新兴的应用程序架构。
Forrester 报告对更新和改进 AppSec 工具和流程的首要建议之一是将安全测试向左移动。根据 Forrester 的数据，安全专业人员继续投资于将安全性向左移动，在开发过程的早期实施测试工具，并了解这种转变可以更快地进行补救。



数据来源：Forrester 的应用程序安全状况，2021 年报告

该报告还提出了对API安全性的日益关注，而容器安全性落后，尽管容器化环境越来越受欢迎。
AppSec 战略应跟上敏捷开发流程的步伐

Forrester的《2021年应用程序安全状况》强调了这样一个事实，即组织越来越依赖开源和第三方组件，在外部开放了更多的API。该报告敦促安全专业人员培养安全和开发团队之间的沟通，并在整个开发过程中采用自动化安全测试工具。
福雷斯特强调了创建开发人员喜爱的工具的重要性。由于高级 AppSec 工具专注于开发人员，因此安全专业人员必须与开发团队合作，以确保将安全性融入开发工作流程中。
除了使用可轻松集成到开发环境中的工具之外，为开发人员提供修正指导并自动执行业务流程（如策略创建和异常的注销）也很重要。另一个关键点是，应用程序安全工具不应止步于检测，而应为安全问题的优先级提供自动支持。
该报告指出，随着软件开发生态系统的发展，“新的开发方法意味着对传统安全范式的改变。这需要投资更新的应用程序安全工具，这些工具可以轻松集成到未来的应用程序开发计划和架构中。
该报告还建议投资和培养开发人员安全冠军计划，以促进对安全任务的共同主人翁意识。这将有助于组织确保实施左移方法，并在开发过程的早期解决安全问题。
关注广泛的开源威胁形势

Forrester报告谈到了供应链攻击的出现，这些攻击最近在新闻中占有重要地位。该报告提醒读者，关注更广泛的开源威胁形势非常重要。
虽然关注供应链的安全风险很重要，但该报告敦促组织保持对开源安全风险的意识。持续检测和修复开源库中的漏洞与以往一样重要，以确保安全性并确保产品和客户的安全。
什么是软件供应链攻击？

当恶意行为者通过安装在受信任的第三方合作伙伴或提供商的软件上的恶意软件获得对组织系统的访问权限时，就会发生软件供应链攻击。
在软件供应链攻击中，恶意行为者渗透到合法应用程序中，然后更改源代码并在构建和更新过程中隐藏恶意软件，目的是将恶意软件自动分发到下游更广泛的受众。在这种类型的攻击中，原始受害者不是最终目标，而是通往许多其他潜在网络的垫脚石。受信任的供应商并不知道他们正在向客户发送恶意代码。
这些类型的攻击之所以有效，是因为当用户更新由他们已经与之建立关系并信任的供应商构建的软件时，就会发生这些攻击。在目标组织的站点上安装恶意代码时，它将使用与受信任应用程序相同的权限运行。根据受感染应用程序的受欢迎程度，软件供应链攻击有可能触及大量受害者。
为什么软件供应链攻击如此危险？

软件供应链攻击利用公司和软件供应商之间的信任关系来获得对受害者网络的特权和持久访问。与其他类型的违规行为相比，这些类型的攻击能够在受害者不知情的情况下更长时间地访问更敏感的数据，从而使它们特别具有破坏性和破坏性。
美国商务部下属机构美国国家标准与技术研究院（NIST）认为，这些攻击可能非常有害，因此最近发布了一份题为《防范软件供应链攻击》的报告。组织容易受到攻击，因为许多第三方软件产品既需要特权访问，也需要供应商和客户网络之间的频繁通信。
在授予特权访问时，客户通常会接受第三方软件默认设置，而无需再考虑哪些系统和网络受到影响 ， 以及哪些数据存储在那里。此处插入的恶意软件或漏洞可能使黑客对网络中最关键的系统具有特权访问权。
第三方软件还定期与客户的网络进行通信，无论是安装更新还是修复已知漏洞。恶意行为者可以利用这种频繁的通信来发送恶意更新或阻止错误修复，然后利用这些漏洞。
供应链攻击非常危险，因为黑客能够绕过边界安全，并通过受信任的来源直接访问易受攻击的网络。受感染的系统通常不会意识到安全性已被破坏，直到造成重大损害，例如数据或财务损失，监控组织窃取商业机密，禁用网络或系统等。
软件供应链攻击的历史

早在1980年代中期，就可以找到对软件供应链的引用，例如Unix共同创造者Ken Thompson的“对信任的反思”，其中讨论了特洛伊木马攻击。尽管汤普森警告说，“你不能相信你没有完全自己创建的代码”，但他的论文关注的是编译器被颠覆的可能性，将后门或恶意逻辑添加到系统中，而不是第三方软件。公平地说，当时的软件非常不同，计算机通过拨号调制解调器松散地连接，安全性经常退居次要地位。
快进大约30年，现代计算的本质是疯狂而持续的相互联系，其中安全性必须始终是首要考虑因素。随着备受瞩目且利润丰厚的黑客攻击变得越来越普遍，这种攻击的后果变得越来越严重，公司被罚款和起诉，并对其品牌造成无法弥补的损害。
2013年Target数据泄露事件使软件供应链攻击重新成为头条新闻。该漏洞影响了4000万客户及其信用卡/借记卡信息，是通过Target的HVAC供应商的不安全软件进行的。黑客攻击的总成本为6100万美元。从那时起，越来越多的软件供应链攻击被报道。
太阳风漏洞

也许2020年最大的漏洞是涉及SolarWinds的Orion平台的供应链攻击，该平台监控网络性能，日志文件，存储，配置文件，数据库等。一个恶意行为者 - 证据指向俄罗斯情报部门的黑客 - 在构建过程中将恶意软件注入Orion工具之一。然后，该软件更新自动分发给下游的Orion客户，包括思科，英特尔，英伟达，VMware和众多美国联邦政府机构。
这次攻击是成功的，几个月来都没有被注意到，因为软件更新似乎是合法的。更新由 SolarWinds 签署，客户没有理由怀疑发生了妥协。SolarWinds更新中包含的恶意软件为受感染的系统打开了后门，使黑客能够访问使用Orion平台的任何公司的基础设施。在SolarWinds漏洞中，供应链是用于分发恶意软件的攻击媒介。太阳能风能的客户，而不是太阳能风能本身，是预期的目标。
依赖关系混淆违规

最近的软件供应链攻击是研究人员和道德黑客亚历克斯·伯桑（Alex Birsan）的工作。简而言之，Birsan利用开源系统处理依赖关系的方式中的设计缺陷将恶意软件推送到目标系统中。
它始于另一位研究人员从PayPal内部使用的npm包中共享一个清单文件pack.json。Birsan 注意到PayPal的文件包含公共 npm 和私有依赖项的混合。他推测，私有包名称很可能是由PayPal内部托管的，因为它们不存在于公共 npm 注册表中。Birsan想知道如果恶意代码以私有包名称上传到npm会发生什么。PayPal的内部项目是否会开始默认使用新的（现在是恶意的）公共包而不是私有包？
为了验证他的理论，比尔桑将重复的软件包上传到开源存储库，包括PyPI，npm和RubyGems。事实证明，如果应用程序使用的依赖包同时存在于公共开源存储库和私有构建中，则公共包将被赋予优先级并被拉取 - 而不需要开发人员执行任何操作。Birsan还意识到，在某些情况下，具有较高版本号的软件包将被优先考虑，无论它们是公共的还是私有的。这使得Birsan能够对多家知名企业发起供应链攻击。
考虑这种攻击的一种方法是想象你正在购买谷物。你在杂货店的过道里，你伸手去拿你最喜欢的 - 一盒幸运循环在其标志性的紫色盒子里。你把盒子扔进购物车，然后不假思索地走向牛奶冷却器。你不要打开盒子来检查它是否确实包含那些甜脆的绿色谷物环。你只是假设它确实如此。现在想象一下，你回到家，打开盒子，发现里面装着麦片。这基本上就是这次供应链攻击中发生的事情。Birsan上传的软件包在外观上看起来相同，但在内部包含恶意软件。自动生成和更新工具旨在仅查看打包。他们不会在里面检查盒子里的东西。


应该指出的是，Birsan从自己的帐户上传了这些软件包，并附有免责声明，“此软件包旨在用于安全研究目的，不包含任何有用的代码。由于他的努力，Birsan从四个不同的漏洞赏金计划中获得了130,000美元。
新攻击媒介对开源的影响

虽然亚历克斯·伯桑的软件供应链攻击涉及开源存储库，但它与开源代码没有直接关系。攻击更多的是关于利用自动构建或安装工具安装依赖项的方式。
尽管最近的这些违规行为引起了人们的关注和随后的修复，但软件供应链攻击预计将增长，特别是在开源平台上，仍然难以处理依赖关系混淆等问题。值得庆幸的是，恶意开源软件包远不如意外的开源安全漏洞常见，后者会公开披露和宣布，通常伴随着修复程序。
加强供应链安全

俗话说，一盎司的预防胜过一磅的治疗。为此，我们想为您提供一些提示：

• 仅使用经过验证的包源。
  
• 注意你的错别字，以避免域名仿冒攻击。
  
• 等到安全研究人员验证了新软件包后再使用它。
  

参考：Forrester