多年来,供应链攻击一直被视为一项严重的安全隐患。但是,供应链的攻击由于其攻击难度高,见效慢等特征,以及防守方侥幸心理,一直不受重视。近年来,整个社会似乎面临着更多、更有组织的攻击浪潮。这可能是因为监管要求,各单位或多或少增加了安全防护措施,通过演练等场景,整体提高了企业安全能力,这就迫使攻击者转而寻找其他突破口,而供应链便成为了他们攻击的目标。又可能是因为供应链比较重要,是因为一旦攻击成功,大量依赖受影响供应商产品的客户也将难逃其影响。因此,一次单一攻击可能引发连锁反应,造成广泛的传播影响。
OSC&R是一个开放式框架,为广大安全人员提供了一个综合、系统化且可操作的方法论,以深入了解攻击者的行为和技术手段。与MITRE ATT&CK类似,OSC&R按照攻击者所采用的战术、技术和过程(TTP)将其有条不紊地组织成清晰且结构化的视角。然而,OSC&R独辟蹊径,成为了第一个也是唯一一个专注于软件供应链的攻击矩阵。该框架覆盖了广泛的攻击向量,包括第三方库和组件中的漏洞、涉及构建和部署系统的供应链攻击,以及受感染或被植入恶意代码的软件更新。
安全团队可以运用OSC&R框架来评估现有的供应链防御措施,准确定位哪些供应链威胁需要优先应对,并且审视现有的防御措施如何应对这些威胁。同时,该框架还协助监测和追踪攻击者组织的攻击行为,为安全人员提供行动的重要洞察。
Open Software Supply ChainAttack Reference (OSC&R)
OSC&R 中文
注意:
• 1、以下为本人翻译内容,部分翻译可能存在歧义
• 2、OSC&R随着时间发展,内容会发生变动
• 3、翻译时间为2023年8月8日
为安全社区提供了一个统一的参考框架,可以帮助企业主动评估自身的软件供应链安全策略,并进行解决方案选型,从而制定有效的供应链安全策略。
与MITTRE ATT&CK一样,OSC&R 也是按照攻击者使用的战术、技术和步骤(TTPs)来组织排列的,旨在提供一种通用的语言和结构,以帮助人们理解和分析攻击者用来攻击软件供应链的TTPS。它涵盖了大量的攻击向量,包括第三方库和组件的漏洞、构建和部署系统的供应链,以及恶意软件更新等。
安全团队可以使用 OSC&R 框架来评估现有的防御措施,确定哪些威胁需要优先处理、现有的覆盖范围是否可以解决这些威胁,并在其帮助下跟踪攻击组红的攻击行为。随着新战术和技术的出现和发展,OSC&R 框架会定期更新。该框架也可以用于设定渗透测试和红队演习时所需的范围,并且,由于可以充当测试中和测试后的记分卡,它还可以促进红队评估行为的顺利开展。
软件供应链相关数据泄露和风险持续影响全球组织机构,因此,软件供应钱安全仍旧是各家企业和安全行业的头等大事。
• https://github.com/pbom-dev/OSCAR【osc&r github】
• att&ck框架实践指南
