16% 的公司購買了被做過手腳的 IT 設備。

90% 的公司 “沒有做好準備” 應對供應鏈網(wǎng)絡攻擊。

[[312885]]

您如何知道服務器和設備內(nèi)部的關鍵部件是否有 “貓膩”?是否隨時可能發(fā)生故障或者隱藏著惡意軟件，悄悄從事鍵盤記錄，數(shù)據(jù)盜竊或破壞活動?

如今，大多數(shù)企業(yè)和供應商都沒有做好應對供應鏈風險的準備，沒有檢測或者防范供應鏈風險的有效方法和能力。

兵已入城

兩年前，信息安全論壇 (ISF) 董事總經(jīng)理史蒂夫·德賓 (Steve Durbin) 曾警告：

ESG 的研究發(fā)現(xiàn)，16% 的公司購買了被做過手腳的 IT 設備。

從那以后，情況變得越來越糟。CrowdStrike 最近對 1300 家公司進行的全球調(diào)查發(fā)現(xiàn)，有 90% 的公司 “沒有做好準備” 應對供應鏈網(wǎng)絡攻擊。

風聲鶴唳

2018 年末，彭博社的一篇失實報道聲稱中國在運往美國大公司的服務器上隱藏了間諜芯片。結(jié)果報道一出，引發(fā)了全球 IT 市場和金融市場大震動：報道中涉及的超微公司當天股價暴跌近 50%;蘋果股價跌幅近 2%;亞馬遜股價跌幅超 2%。

雖然這篇報道被美國相關企業(yè)、政府機構(gòu)和專家多方辟謠，但是此事件引發(fā)的恐慌表明供應鏈安全已經(jīng)成為一種全球性的深度焦慮。當然，這個焦慮的根源其實來自斯諾登事件對美國情報機構(gòu)供應鏈攻擊技術的披露。

在過去的幾年中，供應鏈已經(jīng)已成為網(wǎng)絡安全的新戰(zhàn)場。一個很明顯的跡象：在 BlackHat 和 Defcon 上有關黑客入侵供應鏈的演講開始增多。

新的一年已經(jīng)不知所措地到來，無論您是供應鏈上的技術買家、賣家、制造商、投資者還是安全專家，供應鏈網(wǎng)絡安全都應當在你的行動清單中占據(jù)醒目位置，原因有以下五點：

1. 黑客扎堆供應鏈

專家說，威脅不僅在飛速增長而且被低估。根據(jù)行業(yè)估計，供應鏈攻擊現(xiàn)在占所有網(wǎng)絡攻擊的50%，去年同比激增了 78%。多達三分之二的公司經(jīng)歷了至少一次供應鏈攻擊事件，平均成本：110萬美元。Ponemon Institute 于 2018 年進行的一項研究發(fā)現(xiàn)，有 56% 的組織由于其供應商而出現(xiàn)違規(guī)。美國聯(lián)邦監(jiān)管機構(gòu)報告說，國防部供應鏈中的 IC 和其他電子零件普遍被假冒。

幾股力量正在助長供應鏈威脅。供應鏈的云化、物聯(lián)網(wǎng)、全球化以及向龐大互聯(lián)的數(shù)字生態(tài)系統(tǒng)的轉(zhuǎn)型是主要因素;其他因素還包括地緣政治，以及有組織犯罪也渴望利用薄弱的供應鏈聯(lián)系。

2. 每個人都在尋找解決方案

公共和私營部門正在發(fā)出警報。例如，埃森哲和 BSI 的最新報告都將供應鏈網(wǎng)絡安全視為最大的挑戰(zhàn)。一個重要的公私合作聯(lián)盟最近呼吁在這個問題上進行迅速和嚴格的合作。這些伙伴關系中最具影響力的是 ICT 供應鏈風險管理工作組，一個由美國國土安全部領導的 50 多個政府機構(gòu)和企業(yè)構(gòu)成的組織。

美國國家標準技術研究院 (NIST) 發(fā)布了有關供應鏈風險管理的新指南，而美國網(wǎng)絡安全與基礎設施安全局 (CISA) 則啟動了 “全國供應鏈完整性月”，并在 9 月發(fā)布的機構(gòu)工作組報告中概述了主要威脅情景、建議和基準。

3. 突破一點，傷及一片

供應鏈攻擊實際上是兩種威脅。第一種嘗試擾亂或削弱物理的供應鏈，例如國家黑客對關鍵基礎設施或能源系統(tǒng)的襲擊。

第二種是攻擊者則將供應鏈作為攻擊數(shù)十、數(shù)百甚至數(shù)千個鏈上合作伙伴的渠道。

研究人員 Cybereason 表示，供應鏈攻擊的最大特點是 “突破一點，傷及一片”，是低成本高回報的 “一本萬利” 的黑客商業(yè)模式。

通過查找和利用供應鏈薄弱環(huán)節(jié)，攻擊者可以在供應鏈實體之間跳來跳去，竊取數(shù)據(jù)，并監(jiān)視或銷毀它們。供應鏈攻擊的這種由點到面的巨大破壞性吸引了大量黑客。

4. 硬件是新目標

Kingslayer、CloudHopper、CCleaner、ShadowPad、ShadowHammer、Black Ghost Knifefish、Heriplor，以上這些最近發(fā)生的供應鏈攻擊都使用軟件或者將軟件(包括固件)作為目標。但是現(xiàn)在，黑客已經(jīng)加大了賭注。受到不斷增強的軟件安全保護的阻礙，黑客們開始將目光投向了硬件。在任何環(huán)境中，惡意入侵硬件堆棧(包括固件、BIOS和UEFI)都是一個巨大的威脅。而這種威脅在供應鏈中被放大了許多倍。

5. 破壞性堪比“團滅”

供應鏈違規(guī)造成的危害是長期隱患，因為這讓人們對產(chǎn)品的可靠性和安全性產(chǎn)生了懷疑。如下圖所示，制造過程中存在一系列潛在的危害，最高端是供應鏈攻擊。

資料來源：英特爾

CISA 警告每個階段都存在供應鏈風險：設計、開發(fā)和生產(chǎn)、分配、購置和部署、維護和處置。

同樣，違規(guī)會給企業(yè)造成一系列的傷害，包括聲譽受損和業(yè)務損失。

資料來源：德勤

科技和電子產(chǎn)品是國防、金融服務和能源領域最喜歡的目標，但沒有哪個行業(yè)能幸免?！?2019年全球威脅報告》發(fā)現(xiàn)，現(xiàn)在有超過一半的網(wǎng)絡攻擊利用了所謂的 “跳島攻擊”，這意味著攻擊者不僅針對一個組織。

攻擊者不只是要搶劫您和您整個供應鏈中的人員。他們想要 ‘擁有’ 您的整個系統(tǒng)。

金融、制造和零售是供應鏈攻擊重災區(qū)

資料來源：《全球威脅報告》

生態(tài)系統(tǒng)保護的重要性

所有這些事實為我們勾畫出一個骨感的現(xiàn)實：供應鏈威脅是嚴重的，而且會繼續(xù)惡化。

業(yè)界已經(jīng)達成了廣泛的共識：企業(yè)和組織必須積極發(fā)展信息驅(qū)動的供應鏈網(wǎng)絡防御。但是，最有效的方法是什么?

普華永道 (PwC) 國家網(wǎng)絡威脅研究中心主管 Chadd Carr 建議說：

埃森哲提出了類似的建議：

本文涉及報告：

• BSI 2019年供應鏈風險分析報告：https://www.bsigroup.com/globalassets/supplychain/localfiles/us/reports/bsi-screen-supply-chain-risk-insights-for-2019.pdf
• 埃森哲2019網(wǎng)絡威脅報告：https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50
• Carbon Black 2019全球事件響應威脅報告：https://cdn.www.carbonblack.com/wp-content/uploads/2019/04/carbon-black-quarterly-incident-response-threat-report-april-2019.pdf

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文