供應(yīng)鏈攻擊頻繁帶來行業(yè)“地震” ,亞信安全“零信任+XDR”為供應(yīng)鏈保駕護航

  • 人閱讀
  • 2022-02-22 17:06:30

  • 來源:it運維網(wǎng)

  • 相關(guān)關(guān)鍵詞

盡管緊張的形勢有所放緩,但是全球供應(yīng)鏈仍未從疫情的危機中徹底走出,供應(yīng)短缺事件在各個行業(yè)頻繁發(fā)生,這也凸顯了供應(yīng)鏈的脆弱。盯上供應(yīng)鏈的還有網(wǎng)絡(luò)攻擊:近年來,供應(yīng)鏈攻擊事件呈現(xiàn)爆發(fā)增長的態(tài)勢,歐洲網(wǎng)絡(luò)和信息安全局發(fā)布的《供應(yīng)鏈攻擊的威脅分析》報告指出,眼下攻擊者已經(jīng)將注意力轉(zhuǎn)移到供應(yīng)商上,和2020年相比,2021年供應(yīng)鏈攻擊已經(jīng)顯著提升。亞信安全在《2022網(wǎng)絡(luò)安全發(fā)展趨勢及十大威脅預(yù)測》中也指出,供應(yīng)鏈威脅暴增,“安全左移”勢在必行。

那么,對于企業(yè)來說,在做好自身安全防護的同時,如何應(yīng)對愈演愈烈的供應(yīng)鏈攻擊呢?

頻繁帶來行業(yè)“地震”的供應(yīng)鏈攻擊

顧名思義,供應(yīng)鏈攻擊指的是對于供應(yīng)鏈所發(fā)動的網(wǎng)絡(luò)攻擊,在典型供應(yīng)鏈攻擊中,攻擊者會將供應(yīng)鏈作為攻擊對象,先攻擊供應(yīng)鏈中安全防護相對薄弱的企業(yè),然后再利用供應(yīng)鏈之間的相互連接(如軟件供應(yīng)、開源應(yīng)用)等,將風(fēng)險擴大至上下游企業(yè),產(chǎn)生攻擊漣漪效應(yīng)和巨大的破壞性。供應(yīng)鏈攻擊的手段包括:利用供應(yīng)商的產(chǎn)品進行注入、利用第三方應(yīng)用程序、利用開放源代碼庫中包含的漏洞等等。

與其它攻擊形式相比,供應(yīng)鏈攻擊往往牽涉到更多的企業(yè),且更具破壞性,甚至?xí)o整個行業(yè)帶來巨大的影響。

l 2021年3月,作為全球90%航空公司的通信和IT供應(yīng)商,國際航空電信公司(SITA)受到供應(yīng)鏈攻擊,導(dǎo)致多家航空公司的乘客數(shù)據(jù)被竊取;

l 2021年7月,REvil勒索軟件團伙利用Kaseya遠程管理軟件發(fā)動供應(yīng)鏈攻擊,波及17個國家,上千家企業(yè)和機構(gòu),上百萬臺設(shè)備被加密……

這些攻擊不僅給涉及到的企業(yè)帶來了巨大的損失,而且還對整個供應(yīng)鏈造成擾動。

之所以供應(yīng)鏈攻擊愈發(fā)肆虐,一方面在于,隨著全球范圍內(nèi)各個產(chǎn)業(yè)的經(jīng)濟聯(lián)系都在日趨緊密,企業(yè)的供應(yīng)鏈正在逐步延長,供應(yīng)鏈安全形勢更加復(fù)雜化,暴露在外的供給面也逐步擴展,這在加大了防護難度的同時,也讓攻擊者更有動力發(fā)動以供應(yīng)鏈為目標(biāo)的網(wǎng)絡(luò)攻擊;另一方面,很多企業(yè)長期以來只關(guān)注自身網(wǎng)絡(luò)安全的防護,而忽略了供應(yīng)商產(chǎn)品的安全狀況,導(dǎo)致未經(jīng)過嚴(yán)格安全認(rèn)證與審核的訪問進入企業(yè),帶來巨大風(fēng)險。

值得一提的是,隨著企業(yè)正在加速擁抱開源社區(qū),企業(yè)將更有可能受到開源生態(tài)中的供應(yīng)鏈攻擊所影響。2021年,針對開源軟件的供應(yīng)鏈攻擊暴增650%,全球的各軟件開發(fā)企業(yè)累計從開源平臺上引用2萬億的開源軟件包或者組件,其中可能存在大量未經(jīng)嚴(yán)格安全審查的漏洞,一旦這些漏洞隨著開源代碼被引入到企業(yè)的軟件之中,攻擊者就有可能同時對大量企業(yè)進行攻擊。此外,由于針對開源軟件的供應(yīng)鏈攻擊的影響面極廣,且漏洞利用的成本較低,漏洞修復(fù)時間周期較長,攻擊者還可能將漏洞直接注入到開源代碼中,發(fā)動更加主動的攻擊。

亞信安全建議以“零信任+XDR”對抗供應(yīng)鏈攻擊

供應(yīng)鏈攻擊之所以很難應(yīng)對,不僅在于供應(yīng)商的網(wǎng)絡(luò)安全環(huán)境非常復(fù)雜,還在于攻擊者濫用了供應(yīng)鏈之間的信任關(guān)系,并通過供應(yīng)鏈關(guān)系來挖掘上下游之間的關(guān)系,以獲取更多的數(shù)據(jù)和權(quán)限。因此,要應(yīng)對供應(yīng)鏈攻擊,一個重中之重便是提高安全審查的門檻,并默認(rèn)對于所有來自供應(yīng)鏈的訪問都進行審核。

亞信安全建議在供應(yīng)鏈合作中,企業(yè)應(yīng)該遵循零信任原則,全面審核供應(yīng)鏈產(chǎn)品與服務(wù)的安全。所有對于系統(tǒng)的訪問都會建立在身份、端點、服務(wù)等一系列參與服務(wù)的角色,必須得到安全策略一致的驗證和授權(quán)之后才能進行。因此,這必將是替代傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)和防御策略的核心,更是企業(yè)未來數(shù)字化商業(yè)的一個重要基礎(chǔ)。

此外,在供應(yīng)鏈攻擊中,攻擊者為了最大化攻擊成果,往往都“深謀遠慮”,對于攻擊方式與工具進行了深度定制,因此很有可能會讓企業(yè)防不勝防。此外,即使是在“零信任”的框架下,企業(yè)依然無法保證所有的供應(yīng)鏈產(chǎn)品與組件都是安全的,因此提升對于隱藏高級風(fēng)險的發(fā)現(xiàn)能力,并確保從網(wǎng)絡(luò)安全攻擊中恢復(fù)也至關(guān)重要。

針對上述攻擊特征亞信安全的XDR解決方案提供了高效的解決方案,其包括“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”這7個階段。能夠在發(fā)現(xiàn)威脅數(shù)據(jù)之后,將數(shù)據(jù)集中到本地威脅情報和云端威脅情報做分析,利用機器學(xué)習(xí)和專家團隊,通過分析黑客進攻的時間、路徑、工具等所有細節(jié),其特征提取出來,再進行遏制、清除、恢復(fù)和優(yōu)化。

防護供應(yīng)鏈攻擊,嚴(yán)格的安全意識與規(guī)范必不可少

要更好地防護供應(yīng)鏈攻擊,除了網(wǎng)絡(luò)安全方案與服務(wù)之外,還需要員工有嚴(yán)格的安全意識,把安全性的評估作為開發(fā)過程中的必要評審項。開發(fā)環(huán)節(jié)嚴(yán)格遵守開發(fā)規(guī)范,開發(fā)完成的軟硬件發(fā)布前,交給獨立的內(nèi)部或外部測評組織進行安全性評估,及時解決所發(fā)現(xiàn)的問題。

此外,企業(yè)還需要制定嚴(yán)格的安全規(guī)范,建立可信的開發(fā)環(huán)境,這包括選擇安全規(guī)范較強開源應(yīng)用/開源庫、算法等,采購安全可信的軟件外包服務(wù)。關(guān)注所用組件的安全通告,如被揭露出嚴(yán)重安全問題,通過配置或加入其他安全性控制作為緩解措施,必要時升級相關(guān)的組件,從而建立完善的使用規(guī)范,保障安全的底線。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )