過去十年，勒索軟件一直是安全人員的噩夢。僅在 2021 年上半年，這些攻擊就使企業(yè)損失了 5.9 億美元。網(wǎng)絡(luò)犯罪分子利用軟件供應(yīng)鏈暴露的重大漏洞從下游利益相關(guān)者的領(lǐng)域勒索贖金。隨著這些攻擊變得越來越普遍，企業(yè)必須了解他們在供應(yīng)鏈生態(tài)系統(tǒng)中的位置，以確保安全。

了解供應(yīng)鏈

通過供應(yīng)鏈進(jìn)行勒索軟件攻擊的潛在影響非常大。去年 7 月，IT 解決方案開發(fā)商 Kaseya報(bào)告稱，黑客利用 Kaseya 的 VSA 軟件中的漏洞進(jìn)行了攻擊。雖然只有不到 0.1% 的公司客戶在此次泄露中受到影響，但它仍然波及了800 至 1500 家的中小型公司。這起事件雖然相對較小，但清楚地表明軟件開發(fā)人員看似很小的違規(guī)行為會(huì)對可能無法正確保護(hù)自己的公司產(chǎn)生巨大影響。有些人可能會(huì)認(rèn)為這是一個(gè)供應(yīng)鏈談話，但對于 Kaseya 的客戶來說，它確實(shí)是這樣的。

這起事件雖然相對較小，但也清楚地表明，軟件開發(fā)人員的一次看似微不足道的違規(guī)行為，可能會(huì)對那些可能無法妥善保護(hù)自己的公司產(chǎn)生巨大的影響。有些人可能會(huì)質(zhì)疑這只是一個(gè)供應(yīng)鏈的話題，但對于Kaseya的客戶來說，這確實(shí)發(fā)生了。

簡而言之，企業(yè)在整個(gè)供應(yīng)鏈中有兩種角色:供應(yīng)商或消費(fèi)者。有時(shí)企業(yè)同時(shí)扮演這兩種角色。無論其核心業(yè)務(wù)模式如何，任何研發(fā)技術(shù)的企業(yè)都是供應(yīng)商，并擁有可衡量的風(fēng)險(xiǎn)群體。相反，嚴(yán)格的技術(shù)消費(fèi)者很少。因此，大多數(shù)公司都處于維恩圖的中心，既消費(fèi)又供應(yīng)技術(shù)。

例如，一家提供服務(wù)但也有軟件開發(fā)人員來研發(fā)自己內(nèi)部技術(shù)的銀行，它有一個(gè)持續(xù)的進(jìn)出流程，這使得網(wǎng)絡(luò)安全變得異常復(fù)雜。勒索軟件攻擊會(huì)影響到與目標(biāo)相隔兩到三層的客戶組織，而對供應(yīng)鏈生態(tài)系統(tǒng)的不了解會(huì)使這種附帶損害惡化。

如果安全實(shí)踐無法改變，攻擊者也無需改變攻擊方法

網(wǎng)絡(luò)犯罪分子在將傳統(tǒng)攻擊方法與惡意勒索軟件目錄相結(jié)合方面非常精通并迅速提高。這種毀滅性的組合正在迅速升溫。此外，攻擊者意識(shí)到許多公司不知道如何正確修復(fù)其供應(yīng)鏈漏洞。

那么企業(yè)應(yīng)該怎么做呢？他們?nèi)绾畏婪独萌绱藦?fù)雜但必要的業(yè)務(wù)流程的威脅？

很明顯，確定企業(yè)作為軟件供應(yīng)商或消費(fèi)者（或兩者）的位置是關(guān)鍵的第一步。從那里，團(tuán)隊(duì)將能夠通過新的視角來管理和監(jiān)控他們在供應(yīng)鏈中的數(shù)據(jù)，并增加在攻擊初期捕獲攻擊的可能性。

由于大多數(shù)企業(yè)都提供和使用軟件，因此有必要保護(hù)和了解與內(nèi)部和第三方攻擊途徑相關(guān)的數(shù)據(jù)。數(shù)據(jù)是業(yè)務(wù)的核心，團(tuán)隊(duì)必須勤奮工作以掌控靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)的情況，以防止數(shù)據(jù)泄露。數(shù)據(jù)本地化是該策略的關(guān)鍵組成部分。安全團(tuán)隊(duì)必須優(yōu)先覆蓋供應(yīng)鏈的每個(gè)基礎(chǔ)環(huán)節(jié)，并全面定位、分類和保護(hù)其中的所有數(shù)據(jù)。如果不了解企業(yè)的軟件供應(yīng)鏈生態(tài)系統(tǒng)，這是不可能的。

此外，如果沒有與供應(yīng)鏈上游的第三方(供應(yīng)商)的信任和持續(xù)溝通，安全的數(shù)據(jù)交換是不可能實(shí)現(xiàn)的。想象一下，當(dāng)你去度假時(shí)把寵物交給一個(gè)沒有調(diào)查其背景的不熟悉的保姆時(shí)，把這么珍貴的東西交給一個(gè)不認(rèn)識(shí)的陌生人，風(fēng)險(xiǎn)太大了，對吧?現(xiàn)在想象一下，將您最重要的企業(yè)軟件開發(fā)項(xiàng)目的重要部分交給一個(gè)完全陌生的人。

確保所有數(shù)據(jù)利益相關(guān)者都是合法的至關(guān)重要，而這種盡職調(diào)查將為黑客尋找目標(biāo)供應(yīng)鏈中的漏洞提供堅(jiān)實(shí)的防線。

最終，這些攻擊是不可避免的，但安全團(tuán)隊(duì)可以采取幾個(gè)步驟來減輕損失：

• 進(jìn)行徹底的防御評估。研究常見的勒索軟件載體，并將它們與企業(yè)的獨(dú)特漏洞相抗衡。
• 制定事件響應(yīng)計(jì)劃。制定贖金要求的技術(shù)響應(yīng)、關(guān)鍵聯(lián)系人、主要決策者和策略。
• 制定事件恢復(fù)計(jì)劃。您的企業(yè)將如何恢復(fù)鎖定的系統(tǒng)/數(shù)據(jù)、響應(yīng)公眾/客戶的疑問、以及處理其他溝通問題？

供應(yīng)鏈中的勒索軟件是一個(gè)關(guān)鍵威脅，但并非勢不可擋。我們要從每一次重大攻擊中吸取教訓(xùn)，各企業(yè)正在努力深入地了解他們的軟件供應(yīng)鏈。隨著攻擊者不斷改進(jìn)他們在勒索軟件攻擊中的供應(yīng)鏈?zhǔn)褂茫瑢?yīng)商的了解程度、強(qiáng)大的資產(chǎn)知識(shí)和彈性可靠的行動(dòng)計(jì)劃都將有助于減少漏洞的發(fā)生。