過去兩年對供應(yīng)鏈造成了重大破壞。新冠大流行將供應(yīng)鏈攻擊問題推向了前沿，2020 年中斷率上升了 67%，隨著全球市場適應(yīng)“新常態(tài)”運(yùn)營，問題預(yù)計(jì)將持續(xù)存在。

然而，對數(shù)字供應(yīng)解決方案的日益依賴也為供應(yīng)鏈攻擊的增加奠定了基礎(chǔ)，預(yù)計(jì)未來有增無減。2021年美國多次供應(yīng)鏈攻擊，也是這個推測的一個重要依據(jù)。

以下是企業(yè)需要了解的有關(guān)供應(yīng)鏈威脅的信息。查看供應(yīng)鏈安全的當(dāng)前狀態(tài)，以及可以采取哪些步驟來降低總體風(fēng)險。

什么是供應(yīng)鏈攻擊?

當(dāng)威脅行為者使用外部合作伙伴(例如供應(yīng)商)擁有或使用的連接應(yīng)用程序或服務(wù)破壞企業(yè)網(wǎng)絡(luò)時，就會發(fā)生供應(yīng)鏈攻擊。有時，專家也將這些稱為第三方或價值鏈攻擊。

對于威脅參與者來說，供應(yīng)鏈攻擊的吸引力在于信任。企業(yè)使用的應(yīng)用程序和服務(wù)通常受到安全團(tuán)隊(duì)的信任和審查。因此，他們通?？梢栽L問敏感或有價值的內(nèi)部數(shù)據(jù)。如果攻擊者可以從連接的供應(yīng)鏈應(yīng)用程序橫向移動到更大的企業(yè)網(wǎng)絡(luò)本身，他們就可以竊取、加密或破壞關(guān)鍵數(shù)據(jù)，并使公司損失數(shù)百萬美元的維修成本和聲譽(yù)損失。

隨著網(wǎng)絡(luò)的發(fā)展，這個問題更加復(fù)雜。第三方供應(yīng)商通常使用來自其他業(yè)務(wù)合作伙伴的軟件，而這些合作伙伴又擁有自己的外部應(yīng)用程序連接。因此，供應(yīng)鏈攻擊可能會使幾家公司從預(yù)定目標(biāo)中移除，從而更難被發(fā)現(xiàn)。

成功的供應(yīng)鏈攻擊可能是一個重大打擊。當(dāng)網(wǎng)絡(luò)工具供應(yīng)商 Solar Winds 在 2020 年末遭到入侵時，全球有超過 18,000 家公司受到影響。

過去的2021年供應(yīng)鏈網(wǎng)絡(luò)安全狀況

如上所述，供應(yīng)鏈攻擊在 2021 年增加了。由于應(yīng)用程序環(huán)境復(fù)雜性的增加：公司需要能夠抵抗未來中斷的敏捷和適應(yīng)性強(qiáng)的供應(yīng)鏈。畢竟，擴(kuò)大連接的應(yīng)用程序和服務(wù)的數(shù)量有助于企業(yè)更好地應(yīng)對不斷變化的市場條件，還為威脅參與者創(chuàng)造了更大的攻擊面。如果漏洞確實(shí)出現(xiàn)，那么在供應(yīng)鏈威脅成為更大問題之前，更難發(fā)現(xiàn)和消除它們。

2021 年值得注意的供應(yīng)鏈攻擊

供應(yīng)鏈攻擊在 2021 年有一個良好的開端。例如，2021 年 4 月，DevOps 工具提供商 Codecov 披露，他們的 Bash 腳本上傳器被惡意攻擊者入侵。這使攻擊者能夠在連續(xù)信息 (CI) 環(huán)境中捕獲 Codecov 客戶存儲的信息。第三方調(diào)查人員還發(fā)現(xiàn)，攻擊者可能能夠“竊取額外資源”并獲得對用戶憑據(jù)的訪問權(quán)限，這反過來又可能導(dǎo)致更大的漏洞。

2021 年 7 月，REvil 團(tuán)伙破壞了軟件供應(yīng)商 Kaseya 的網(wǎng)絡(luò)管理包，并使用該軟件在 Kaseya 的客戶之間傳播勒索軟件。據(jù)NPR報道，在 Kaseya 被入侵后，超過 200 家美國公司發(fā)現(xiàn)他們的網(wǎng)絡(luò)因勒索軟件攻擊而癱瘓。

值得注意的是歐盟網(wǎng)絡(luò)安全局的研究發(fā)現(xiàn)，66% 的攻擊集中在供應(yīng)商代碼上。這意味著即使是強(qiáng)大的內(nèi)部防御也可能不足以減輕供應(yīng)鏈攻擊的影響。

常見的供應(yīng)鏈攻擊方法

供應(yīng)鏈攻擊者的目標(biāo)是破壞受信任的服務(wù)。從那里，他們可以獲得更有價值的公司資源。一種常見的妥協(xié)方法是網(wǎng)絡(luò)釣魚。成功的網(wǎng)絡(luò)釣魚攻擊可以泄露賬戶和密碼數(shù)據(jù)，從而使攻擊者可以在不觸發(fā)網(wǎng)絡(luò)防御的情況下檢查源代碼。惡意軟件也常用于滲透網(wǎng)絡(luò)和泄露關(guān)鍵源代碼，攻擊者隨后可以修改和重新插入。

一些最常見的供應(yīng)鏈威脅媒介包括：

• 第三方軟件供應(yīng)商
• 數(shù)據(jù)存儲解決方案
• 開發(fā)或測試平臺
• 網(wǎng)站建設(shè)服務(wù)。

在每種情況下，這些軟件解決方案和服務(wù)都需要訪問企業(yè)基礎(chǔ)設(shè)施的關(guān)鍵方面。這為惡意行為者開辟了一條潛在途徑。

供應(yīng)鏈安全優(yōu)秀實(shí)踐

當(dāng)談到供應(yīng)鏈攻擊時，攻擊者總是在尋找最薄弱的環(huán)節(jié)。因此，即使是強(qiáng)大的企業(yè)防御也可能不足以保護(hù)關(guān)鍵資產(chǎn)。畢竟，這些第三方應(yīng)用程序的可信性質(zhì)意味著它們通常不會受到同樣的審查。這為攻擊者創(chuàng)造了一個機(jī)會：如果他們沿著供應(yīng)鏈走得足夠遠(yuǎn)，他們很可能會發(fā)現(xiàn)一個可以利用的漏洞并開始向上移動到關(guān)鍵應(yīng)用程序。

為了幫助降低供應(yīng)鏈威脅的風(fēng)險，安全最佳實(shí)踐至關(guān)重要。這些包括：

1) 評估當(dāng)前戰(zhàn)略——更好的供應(yīng)鏈安全始于當(dāng)前戰(zhàn)略：它們在減輕供應(yīng)鏈威脅方面是否有效?它們是否符合合規(guī)性要求?他們能否適應(yīng)不斷變化的風(fēng)險現(xiàn)實(shí)?

2) 測試、測試、再測試——定期滲透測試和漏洞掃描可以幫助識別潛在的供應(yīng)鏈安全弱點(diǎn)。從那里，可以關(guān)閉潛在的攻擊途徑。

3) 識別和加密——通過識別和加密其環(huán)境中的高度敏感數(shù)據(jù)，企業(yè)可以減少確實(shí)發(fā)生的供應(yīng)鏈攻擊的范圍。即使惡意行為者獲得訪問權(quán)限，他們也無法利用受保護(hù)的資產(chǎn)。

4) 第三方風(fēng)險管理——如今的供應(yīng)鏈軟件格局比以往任何時候都更加復(fù)雜。因此，企業(yè)必須對供應(yīng)商安全實(shí)踐進(jìn)行深入分析。他們需要打破內(nèi)部運(yùn)營孤島，以確保所有部門在保護(hù)方面都在同一頁面上。

5) 零信任框架——通過轉(zhuǎn)向“始終驗(yàn)證，從不信任”框架，企業(yè)可以創(chuàng)建功能性前線防御。零信任甚至需要熟悉的應(yīng)用程序和服務(wù)在獲得網(wǎng)絡(luò)訪問權(quán)限之前通過身份驗(yàn)證檢查。

在正確的安全工具也起到降低供應(yīng)鏈的發(fā)作風(fēng)險的作用。在這里，利用區(qū)塊鏈進(jìn)行安全交易、利用人工智能改進(jìn)威脅檢測和基于云的威脅分析進(jìn)行快速風(fēng)險評估的解決方案通常最適合企業(yè)。

解決供應(yīng)鏈攻擊

底線?這一切都?xì)w結(jié)為信任。

供應(yīng)鏈應(yīng)用程序是企業(yè)大規(guī)模提供服務(wù)所必需的。然而，降低復(fù)雜性的相同信任也會增加總風(fēng)險。為了減輕供應(yīng)鏈攻擊的影響，企業(yè)必須使用旨在檢測意外行為、發(fā)現(xiàn)惡意代碼并拒絕訪問潛在威脅的工具和策略來控制第三方連接。