长亭百川云 - 文章详情

OSC&R:针对软件供应链的 ATT&CK 框架

代码审计SDL

48

2024-07-13

背景

多年来,供应链攻击一直被视为一项严重的安全隐患。但是,供应链的攻击由于其攻击难度高,见效慢等特征,以及防守方侥幸心理,一直不受重视。近年来,整个社会似乎面临着更多、更有组织的攻击浪潮。这可能是因为监管要求,各单位或多或少增加了安全防护措施,通过演练等场景,整体提高了企业安全能力,这就迫使攻击者转而寻找其他突破口,而供应链便成为了他们攻击的目标。又可能是因为供应链比较重要,是因为一旦攻击成功,大量依赖受影响供应商产品的客户也将难逃其影响。因此,一次单一攻击可能引发连锁反应,造成广泛的传播影响。

介绍

OSC&R是一个开放式框架,为广大安全人员提供了一个综合、系统化且可操作的方法论,以深入了解攻击者的行为和技术手段。与MITRE ATT&CK类似,OSC&R按照攻击者所采用的战术、技术和过程(TTP)将其有条不紊地组织成清晰且结构化的视角。然而,OSC&R独辟蹊径,成为了第一个也是唯一一个专注于软件供应链的攻击矩阵。该框架覆盖了广泛的攻击向量,包括第三方库和组件中的漏洞、涉及构建和部署系统的供应链攻击,以及受感染或被植入恶意代码的软件更新。

安全团队可以运用OSC&R框架来评估现有的供应链防御措施,准确定位哪些供应链威胁需要优先应对,并且审视现有的防御措施如何应对这些威胁。同时,该框架还协助监测和追踪攻击者组织的攻击行为,为安全人员提供行动的重要洞察。

Open Software Supply ChainAttack Reference (OSC&R)

OSC&R 中文

注意:

  • • 1、以下为本人翻译内容,部分翻译可能存在歧义

  • • 2、OSC&R随着时间发展,内容会发生变动

  • • 3、翻译时间为2023年8月8日

总结

1.OSC&R 满足了软件供应链领域对ATT&CK 安全框架的迫切需求

为安全社区提供了一个统一的参考框架,可以帮助企业主动评估自身的软件供应链安全策略,并进行解决方案选型,从而制定有效的供应链安全策略。

2.OSC&R框架重点侧重软件供应链的攻击战法

与MITTRE ATT&CK一样,OSC&R 也是按照攻击者使用的战术、技术和步骤(TTPs)来组织排列的,旨在提供一种通用的语言和结构,以帮助人们理解和分析攻击者用来攻击软件供应链的TTPS。它涵盖了大量的攻击向量,包括第三方库和组件的漏洞、构建和部署系统的供应链,以及恶意软件更新等。

安全团队可以使用 OSC&R 框架来评估现有的防御措施,确定哪些威胁需要优先处理、现有的覆盖范围是否可以解决这些威胁,并在其帮助下跟踪攻击组红的攻击行为。随着新战术和技术的出现和发展,OSC&R 框架会定期更新。该框架也可以用于设定渗透测试和红队演习时所需的范围,并且,由于可以充当测试中和测试后的记分卡,它还可以促进红队评估行为的顺利开展。

3.软件供应链安全依然是任重道远

软件供应链相关数据泄露和风险持续影响全球组织机构,因此,软件供应钱安全仍旧是各家企业和安全行业的头等大事。

参考

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2