盡管緊張的形勢有所放緩,但是全球供應(yīng)鏈仍未從疫情的危機(jī)中徹底走出,供應(yīng)短缺事件在各個(gè)行業(yè)頻繁發(fā)生,這也凸顯了供應(yīng)鏈的脆弱。盯上供應(yīng)鏈的還有網(wǎng)絡(luò)攻擊:近年來,供應(yīng)鏈攻擊事件呈現(xiàn)爆發(fā)增長的態(tài)勢,歐洲網(wǎng)絡(luò)和信息安全局發(fā)布的《供應(yīng)鏈攻擊的威脅分析》報(bào)告指出,眼下攻擊者已經(jīng)將注意力轉(zhuǎn)移到供應(yīng)商上,和2020年相比,2021年供應(yīng)鏈攻擊已經(jīng)顯著提升。亞信安全在《2022網(wǎng)絡(luò)安全發(fā)展趨勢及十大威脅預(yù)測》中也指出,供應(yīng)鏈威脅暴增,“安全左移”勢在必行。
那么,對于企業(yè)來說,在做好自身安全防護(hù)的同時(shí),如何應(yīng)對愈演愈烈的供應(yīng)鏈攻擊呢?
頻繁帶來行業(yè)“地震”的供應(yīng)鏈攻擊
顧名思義,供應(yīng)鏈攻擊指的是對于供應(yīng)鏈所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊,在典型供應(yīng)鏈攻擊中,攻擊者會(huì)將供應(yīng)鏈作為攻擊對象,先攻擊供應(yīng)鏈中安全防護(hù)相對薄弱的企業(yè),然后再利用供應(yīng)鏈之間的相互連接(如軟件供應(yīng)、開源應(yīng)用)等,將風(fēng)險(xiǎn)擴(kuò)大至上下游企業(yè),產(chǎn)生攻擊漣漪效應(yīng)和巨大的破壞性。供應(yīng)鏈攻擊的手段包括:利用供應(yīng)商的產(chǎn)品進(jìn)行注入、利用第三方應(yīng)用程序、利用開放源代碼庫中包含的漏洞等等。
與其它攻擊形式相比,供應(yīng)鏈攻擊往往牽涉到更多的企業(yè),且更具破壞性,甚至?xí)o整個(gè)行業(yè)帶來巨大的影響。
l 2021年3月,作為全球90%航空公司的通信和IT供應(yīng)商,國際航空電信公司(SITA)受到供應(yīng)鏈攻擊,導(dǎo)致多家航空公司的乘客數(shù)據(jù)被竊取;
l 2021年7月,REvil勒索軟件團(tuán)伙利用Kaseya遠(yuǎn)程管理軟件發(fā)動(dòng)供應(yīng)鏈攻擊,波及17個(gè)國家,上千家企業(yè)和機(jī)構(gòu),上百萬臺(tái)設(shè)備被加密……
這些攻擊不僅給涉及到的企業(yè)帶來了巨大的損失,而且還對整個(gè)供應(yīng)鏈造成擾動(dòng)。
之所以供應(yīng)鏈攻擊愈發(fā)肆虐,一方面在于,隨著全球范圍內(nèi)各個(gè)產(chǎn)業(yè)的經(jīng)濟(jì)聯(lián)系都在日趨緊密,企業(yè)的供應(yīng)鏈正在逐步延長,供應(yīng)鏈安全形勢更加復(fù)雜化,暴露在外的供給面也逐步擴(kuò)展,這在加大了防護(hù)難度的同時(shí),也讓攻擊者更有動(dòng)力發(fā)動(dòng)以供應(yīng)鏈為目標(biāo)的網(wǎng)絡(luò)攻擊;另一方面,很多企業(yè)長期以來只關(guān)注自身網(wǎng)絡(luò)安全的防護(hù),而忽略了供應(yīng)商產(chǎn)品的安全狀況,導(dǎo)致未經(jīng)過嚴(yán)格安全認(rèn)證與審核的訪問進(jìn)入企業(yè),帶來巨大風(fēng)險(xiǎn)。
值得一提的是,隨著企業(yè)正在加速擁抱開源社區(qū),企業(yè)將更有可能受到開源生態(tài)中的供應(yīng)鏈攻擊所影響。2021年,針對開源軟件的供應(yīng)鏈攻擊暴增650%,全球的各軟件開發(fā)企業(yè)累計(jì)從開源平臺(tái)上引用2萬億的開源軟件包或者組件,其中可能存在大量未經(jīng)嚴(yán)格安全審查的漏洞,一旦這些漏洞隨著開源代碼被引入到企業(yè)的軟件之中,攻擊者就有可能同時(shí)對大量企業(yè)進(jìn)行攻擊。此外,由于針對開源軟件的供應(yīng)鏈攻擊的影響面極廣,且漏洞利用的成本較低,漏洞修復(fù)時(shí)間周期較長,攻擊者還可能將漏洞直接注入到開源代碼中,發(fā)動(dòng)更加主動(dòng)的攻擊。
亞信安全建議以“零信任+XDR”對抗供應(yīng)鏈攻擊
供應(yīng)鏈攻擊之所以很難應(yīng)對,不僅在于供應(yīng)商的網(wǎng)絡(luò)安全環(huán)境非常復(fù)雜,還在于攻擊者濫用了供應(yīng)鏈之間的信任關(guān)系,并通過供應(yīng)鏈關(guān)系來挖掘上下游之間的關(guān)系,以獲取更多的數(shù)據(jù)和權(quán)限。因此,要應(yīng)對供應(yīng)鏈攻擊,一個(gè)重中之重便是提高安全審查的門檻,并默認(rèn)對于所有來自供應(yīng)鏈的訪問都進(jìn)行審核。
亞信安全建議在供應(yīng)鏈合作中,企業(yè)應(yīng)該遵循零信任原則,全面審核供應(yīng)鏈產(chǎn)品與服務(wù)的安全。所有對于系統(tǒng)的訪問都會(huì)建立在身份、端點(diǎn)、服務(wù)等一系列參與服務(wù)的角色,必須得到安全策略一致的驗(yàn)證和授權(quán)之后才能進(jìn)行。因此,這必將是替代傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)和防御策略的核心,更是企業(yè)未來數(shù)字化商業(yè)的一個(gè)重要基礎(chǔ)。
此外,在供應(yīng)鏈攻擊中,攻擊者為了最大化攻擊成果,往往都“深謀遠(yuǎn)慮”,對于攻擊方式與工具進(jìn)行了深度定制,因此很有可能會(huì)讓企業(yè)防不勝防。此外,即使是在“零信任”的框架下,企業(yè)依然無法保證所有的供應(yīng)鏈產(chǎn)品與組件都是安全的,因此提升對于隱藏高級風(fēng)險(xiǎn)的發(fā)現(xiàn)能力,并確保從網(wǎng)絡(luò)安全攻擊中恢復(fù)也至關(guān)重要。
針對上述攻擊特征亞信安全的XDR解決方案提供了高效的解決方案,其包括“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”這7個(gè)階段。能夠在發(fā)現(xiàn)威脅數(shù)據(jù)之后,將數(shù)據(jù)集中到本地威脅情報(bào)和云端威脅情報(bào)做分析,利用機(jī)器學(xué)習(xí)和專家團(tuán)隊(duì),通過分析黑客進(jìn)攻的時(shí)間、路徑、工具等所有細(xì)節(jié),其特征提取出來,再進(jìn)行遏制、清除、恢復(fù)和優(yōu)化。
防護(hù)供應(yīng)鏈攻擊,嚴(yán)格的安全意識(shí)與規(guī)范必不可少
要更好地防護(hù)供應(yīng)鏈攻擊,除了網(wǎng)絡(luò)安全方案與服務(wù)之外,還需要員工有嚴(yán)格的安全意識(shí),把安全性的評估作為開發(fā)過程中的必要評審項(xiàng)。開發(fā)環(huán)節(jié)嚴(yán)格遵守開發(fā)規(guī)范,開發(fā)完成的軟硬件發(fā)布前,交給獨(dú)立的內(nèi)部或外部測評組織進(jìn)行安全性評估,及時(shí)解決所發(fā)現(xiàn)的問題。
此外,企業(yè)還需要制定嚴(yán)格的安全規(guī)范,建立可信的開發(fā)環(huán)境,這包括選擇安全規(guī)范較強(qiáng)開源應(yīng)用/開源庫、算法等,采購安全可信的軟件外包服務(wù)。關(guān)注所用組件的安全通告,如被揭露出嚴(yán)重安全問題,通過配置或加入其他安全性控制作為緩解措施,必要時(shí)升級相關(guān)的組件,從而建立完善的使用規(guī)范,保障安全的底線。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )