בשנת 2021 חלה עליה של 300% במתקפות על שרשרת אספקת התוכנה

יום ה', 3 בפברואר 2022

 

 

Aqua Security(אקווה סקיוריטי), המפתחת פתרונות אבטחת מידע לסביבות ענן, הודיעה על תוצאות מחקר שנערך בתחום מתקפות על שרשרת האספקה של התוכנה, על ידי מומחים מחברתArgon Security, שנרכשה לאחרונה על ידי אקווה. המחקר מצא כי המתקפות  על שרשרת אספקת התוכנה צמחו ביותר מ-300% ב-2021 בהשוואה ל-2020 ושלמרות הסיכונים וההבנה שיש להתמגן מפניהם, מרבית הארגונים עדיין חשופים להתקפות אלה.

על פי הדו"ח, החוקרים גילו כי התוקפים מתמקדים במידה הרבה ביותר בחולשות והרעלה של קוד פתוח, בעיות בקוד וניצול של תהליך שרשרת אספקת התוכנה ואמינות הספק, כדי להפיץ תוכנות זדוניות או מתקפות מסוג פריצת דלתות אחוריות. הם מצאו שבקרב כל החברות שנבדקו, רמת האבטחה בכל סביבות פיתוח התוכנה נותרה נמוכה, כאשר הן סבלו מחולשות אבטחה ומתצורות שגויות  בכלי הפיתוח, שעלולות לחשוף אותן למתקפות על שרשרת האספקה של התוכנה.

הממצאים התבססו על ניתוח בן שישה חודשים במסגרתו בוצעו הערכות בנוגע לעמידות אבטחת ארגונים שערכו חוקרי Argon, כדי לקבוע את מצב האבטחה הארגונית ואת המוכנות לקראת התגוננות מפני התקפות שרשרת אספקת תוכנה.

"מספר ההתקפות בשנה האחרונה וההשפעה הנרחבת של התקפה בודדת מדגישים את האתגר האדיר שצוותי אבטחת יישומים מתמודדים עמו", אמר ערן אורזל (בתמונה), מנהל תחום מכירות ולקוחות ב-Argon. "לצערנו, לרוב הצוותים חסרים משאבים, תקציב וידע להתמודד עם התקפות על שרשרת האספקה של התוכנה. אם נוסיף לכך את העובדה שכדי לטפל בווקטור ההתקפה הזה, צוותי AppSec  זקוקים לשיתוף פעולה מצד צוותי הפיתוח וה-DevOps, ניתן להבין מדוע קשה להתגבר על האתגר הזה".

המחקר שערכה Argon  זיהה שלושה תחומי סיכון עיקריים שחברות נדרשות להבין ולהתייחס אליהם כדי לשפר את אבטחת שרשרת אספקת התוכנה:

 

1.    שימוש בחבילות קוד פתוח פגיעות:  כמעט בכל התוכנות המסחריות נעשה שימוש בקוד פתוח. רבות מחבילות הקוד הפתוח שנמצאות בשימוש מכילות חולשות קיימות, ותהליך השדרוג לגרסה מאובטחת יותר דורש מאמץ מצד צוותי הפיתוח וה-DevOps. אין זה מפתיע שחל גידול מהיר בשימוש בשיטה זו לטובת ביצוע התקפות בשרשרת האספקה. ישנן שתי התקפות נפוצות אשר מעצימות את החולשות בחבילות קוד פתוח:

  • ניצול חולשות קיימות— ניצול נקודות תורפה קיימות בחבילות קוד פתוח כדי לקבל גישה ליישום ולבצע את ההתקפה (לדוגמה:התקפות Log4jשאירעו לאחרונה).
  • הרעלת חבילות— שתילת קוד זדוני בחבילות קוד פתוח פופולריות ובחבילות קוד פרטיות כדי להערים על מפתחים או כלים של תהליכים אוטומטיים ובכך להטמיע את הקוד הזדוני כחלק מתהליך בניית היישום (לדוגמה:הרעלת חבילת us-parser-js).

 

2.   בעיות בתשתיות הפיתוח CI/CD pipeline)): תוקפים יכולים לנצל הרשאות גישה עודפות, תצורות שגויות וחולשות בכלי CI/CDובשירותים שמשתתפים בתהליכי תשתית הפיתוח האלה, כדי להשיג גישה לתשתיות ITקריטיות, לתהליכי פיתוח, לקוד מקור וליישומים. בעיות בצנרת CI/CDיכולות לחשוף את קוד המקור של היישום המהווה את הבסיס ליישום, לתשתית הפיתוח ולתהליכי הפיתוח. כך יכולים התוקפים לשנות את הקוד או להזריק קוד זדוני במהלך תהליך הבנייה של הקוד ולחבל ביישום, כמו שהתרחש במתקפה נגד SolarWinds. פריצות מסוג זה הן קשות לזיהוי ויכולות לגרום נזק רב לפני שהן מזוהות ונפתרות. כמו כן, התוקפים משתמשים ברישומי חבילות קוד פגומים כדי להעלות לתהליך הפיתוח אלמנטים (Artifacts) פרוצים במקום אלמנטים לגיטימיים. בנוסף, יש עשרות שירותי ענן (Service Dependencies) חיצוניים המחוברים לתהליך שיכולים לשמש כדי לגשת אליו ולתקוף אותו (למשל,Attack Codecov).

 

3.   שינויים בקוד: אחת מהפעילויות שמהוות סיכון עיקרי שזוהתה במחקר של Argon  היא העלאת קוד  עם חולשה למאגרי קוד מקור, המשפיעה במישרין על איכות הקוד וחוזק האבטחה שלו. במרבית סביבות הארגונים שנבדקו נמצאו בעיות נפוצות בנתונים רגישים הרשומים בקוד (Secrets), איכות קוד ובעיות אבטחה, בעיות בשירותי "תשתית כקוד" (IaC), חולשות אבטחה בקובצי התקנת Dockers(Container image) ותצורות שגויות. במקרים רבים, מספר הבעיות שהתגלו היה עצום ונדרשו פרויקטים ייעודיים כדי לצמצם את החשיפה, כגון ניקוי מפתחות הצפנה סודיים, סטנדרטיזציה של קובצי התקנה ועוד.

לקבלת הדוח המלא ניתן ללחוץ כאן.

אודות אקווה סקיוריטי

אקווה סקיוריטי (Aqua Security)  היא חברה מובילה בתחום אבטחת סביבות Cloud Native. אקווה מספקת לארגונים את החופש ליצור חדשנות ולנהל את הארגון שלהם עם מינימום תקלות. פלטפורמת אבטחת ה-Cloud Native  של אקווה מספקת מניעה, זיהוי ותגובה אוטומטית לכל אורך מחזור חיי היישומים במטרה לאבטח תשתיות ענן ויישומים הפועלים בענן. לקוחות אקווה הם הארגונים הגדולים בעולם בענפים כגון: בנקים, חברות ביטוח, ממשל, שירותים פיננסים, מדיה, ייצור וקמעונאות. הפלטפורמה של אקווה מאבטחת מגוון רחב של סביבות ענן ציבורי ופרטי: קונטיינרים, serverless ומכונות וירטואליות בענן. אקווה, אשר הוקמה בשנת 2015, מעסיקה כ-500 עובדים, מתוכם כמחצית במטה החברה ומרכז הפיתוח בישראל.

למידע נוסף בקרו ב- www.aquasec.com וכן ב- twitter.com/AquaSecTeam.