盡管緊張的形勢有所放緩,但是全球供應鏈仍未從疫情的危機中徹底走出,供應短缺事件在各個行業(yè)頻繁發(fā)生,這也凸顯了供應鏈的脆弱。盯上供應鏈的還有網(wǎng)絡攻擊:近年來,供應鏈攻擊事件呈現(xiàn)爆發(fā)增長的態(tài)勢,歐洲網(wǎng)絡和信息安全局發(fā)布的《供應鏈攻擊的威脅分析》報告指出,眼下攻擊者已經(jīng)將注意力轉移到供應商上,和2020年相比,2021年供應鏈攻擊已經(jīng)顯著提升。亞信安全在《2022網(wǎng)絡安全發(fā)展趨勢及十大威脅預測》中也指出,供應鏈威脅暴增,“安全左移”勢在必行。
那么,對于企業(yè)來說,在做好自身安全防護的同時,如何應對愈演愈烈的供應鏈攻擊呢?
頻繁帶來行業(yè)“地震”的供應鏈攻擊
顧名思義,供應鏈攻擊指的是對于供應鏈所發(fā)動的網(wǎng)絡攻擊,在典型供應鏈攻擊中,攻擊者會將供應鏈作為攻擊對象,先攻擊供應鏈中安全防護相對薄弱的企業(yè),然后再利用供應鏈之間的相互連接(如軟件供應、開源應用)等,將風險擴大至上下游企業(yè),產生攻擊漣漪效應和巨大的破壞性。供應鏈攻擊的手段包括:利用供應商的產品進行注入、利用第三方應用程序、利用開放源代碼庫中包含的漏洞等等。
與其它攻擊形式相比,供應鏈攻擊往往牽涉到更多的企業(yè),且更具破壞性,甚至會給整個行業(yè)帶來巨大的影響。
l 2021年3月,作為全球90%航空公司的通信和IT供應商,國際航空電信公司(SITA)受到供應鏈攻擊,導致多家航空公司的乘客數(shù)據(jù)被竊取;
l 2021年7月,REvil勒索軟件團伙利用Kaseya遠程管理軟件發(fā)動供應鏈攻擊,波及17個國家,上千家企業(yè)和機構,上百萬臺設備被加密……
這些攻擊不僅給涉及到的企業(yè)帶來了巨大的損失,而且還對整個供應鏈造成擾動。
之所以供應鏈攻擊愈發(fā)肆虐,一方面在于,隨著全球范圍內各個產業(yè)的經(jīng)濟聯(lián)系都在日趨緊密,企業(yè)的供應鏈正在逐步延長,供應鏈安全形勢更加復雜化,暴露在外的供給面也逐步擴展,這在加大了防護難度的同時,也讓攻擊者更有動力發(fā)動以供應鏈為目標的網(wǎng)絡攻擊;另一方面,很多企業(yè)長期以來只關注自身網(wǎng)絡安全的防護,而忽略了供應商產品的安全狀況,導致未經(jīng)過嚴格安全認證與審核的訪問進入企業(yè),帶來巨大風險。
值得一提的是,隨著企業(yè)正在加速擁抱開源社區(qū),企業(yè)將更有可能受到開源生態(tài)中的供應鏈攻擊所影響。2021年,針對開源軟件的供應鏈攻擊暴增650%,全球的各軟件開發(fā)企業(yè)累計從開源平臺上引用2萬億的開源軟件包或者組件,其中可能存在大量未經(jīng)嚴格安全審查的漏洞,一旦這些漏洞隨著開源代碼被引入到企業(yè)的軟件之中,攻擊者就有可能同時對大量企業(yè)進行攻擊。此外,由于針對開源軟件的供應鏈攻擊的影響面極廣,且漏洞利用的成本較低,漏洞修復時間周期較長,攻擊者還可能將漏洞直接注入到開源代碼中,發(fā)動更加主動的攻擊。
亞信安全建議以“零信任+XDR”對抗供應鏈攻擊
供應鏈攻擊之所以很難應對,不僅在于供應商的網(wǎng)絡安全環(huán)境非常復雜,還在于攻擊者濫用了供應鏈之間的信任關系,并通過供應鏈關系來挖掘上下游之間的關系,以獲取更多的數(shù)據(jù)和權限。因此,要應對供應鏈攻擊,一個重中之重便是提高安全審查的門檻,并默認對于所有來自供應鏈的訪問都進行審核。
亞信安全建議在供應鏈合作中,企業(yè)應該遵循零信任原則,全面審核供應鏈產品與服務的安全。所有對于系統(tǒng)的訪問都會建立在身份、端點、服務等一系列參與服務的角色,必須得到安全策略一致的驗證和授權之后才能進行。因此,這必將是替代傳統(tǒng)網(wǎng)絡安全架構和防御策略的核心,更是企業(yè)未來數(shù)字化商業(yè)的一個重要基礎。
此外,在供應鏈攻擊中,攻擊者為了最大化攻擊成果,往往都“深謀遠慮”,對于攻擊方式與工具進行了深度定制,因此很有可能會讓企業(yè)防不勝防。此外,即使是在“零信任”的框架下,企業(yè)依然無法保證所有的供應鏈產品與組件都是安全的,因此提升對于隱藏高級風險的發(fā)現(xiàn)能力,并確保從網(wǎng)絡安全攻擊中恢復也至關重要。
針對上述攻擊特征亞信安全的XDR解決方案提供了高效的解決方案,其包括“準備、發(fā)現(xiàn)、分析、遏制、消除、恢復、優(yōu)化”這7個階段。能夠在發(fā)現(xiàn)威脅數(shù)據(jù)之后,將數(shù)據(jù)集中到本地威脅情報和云端威脅情報做分析,利用機器學習和專家團隊,通過分析黑客進攻的時間、路徑、工具等所有細節(jié),其特征提取出來,再進行遏制、清除、恢復和優(yōu)化。
防護供應鏈攻擊,嚴格的安全意識與規(guī)范必不可少
要更好地防護供應鏈攻擊,除了網(wǎng)絡安全方案與服務之外,還需要員工有嚴格的安全意識,把安全性的評估作為開發(fā)過程中的必要評審項。開發(fā)環(huán)節(jié)嚴格遵守開發(fā)規(guī)范,開發(fā)完成的軟硬件發(fā)布前,交給獨立的內部或外部測評組織進行安全性評估,及時解決所發(fā)現(xiàn)的問題。
此外,企業(yè)還需要制定嚴格的安全規(guī)范,建立可信的開發(fā)環(huán)境,這包括選擇安全規(guī)范較強開源應用/開源庫、算法等,采購安全可信的軟件外包服務。關注所用組件的安全通告,如被揭露出嚴重安全問題,通過配置或加入其他安全性控制作為緩解措施,必要時升級相關的組件,從而建立完善的使用規(guī)范,保障安全的底線。
