在2023年，供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險將繼續(xù)引起各種企業(yè)和組織的關(guān)注。這些風(fēng)險比以往任何時候都更加突出，部分原因是復(fù)雜的IT生態(tài)系統(tǒng)使得很難保持供應(yīng)鏈的可見性，甚至很難定義供應(yīng)鏈。此外，正在進行的數(shù)字化轉(zhuǎn)型計劃增加了對第三方應(yīng)用程序和代碼的依賴(例如，開源項目和商業(yè)SaaS應(yīng)用程序)。本文將介紹一些值得關(guān)注的關(guān)鍵供應(yīng)鏈威脅，以及在2023年實現(xiàn)強大供應(yīng)鏈安全的技巧。

2023年的關(guān)鍵供應(yīng)鏈威脅

（1）開源漏洞

許多供應(yīng)鏈攻擊源于威脅行為者利用組織軟件供應(yīng)鏈中的弱點。Java日志庫ApacheLog4j中的零日漏洞就是這種風(fēng)險的一個例子，它立即使數(shù)千家使用該庫的公司面臨重大泄露風(fēng)險。

供應(yīng)鏈威脅有多種形式，但開源風(fēng)險正在上升，因為越來越多的企業(yè)在從事快節(jié)奏的開發(fā)項目時依賴于現(xiàn)成的功能。無論是隱藏在廣泛使用的開源庫/框架中的惡意代碼或不安全代碼，還是開源項目中安全性不足的代碼，了解這種威脅都是至關(guān)重要的。與開發(fā)人員溝通充分審查他們選擇的開源項目的重要性。

（2）API安全事件

在當今無縫應(yīng)用程序生態(tài)系統(tǒng)中，應(yīng)用程序編程接口(API)是一個至關(guān)重要的環(huán)節(jié)，公司使用它來允許不同的應(yīng)用程序相互通信。許多公司依賴于這些API，無論是來自與其網(wǎng)站綁定的支付處理系統(tǒng)，還是其關(guān)鍵業(yè)務(wù)活動所依賴的其他關(guān)鍵應(yīng)用程序。

API也容易存在安全風(fēng)險，當其他公司開發(fā)的API給黑客攻擊其業(yè)務(wù)或訪問其數(shù)據(jù)的機會時，這些風(fēng)險就代表了供應(yīng)鏈威脅。2022年的一項調(diào)查發(fā)現(xiàn)，41%的企業(yè)在過去12個月遭遇API安全事件。

（3）跳島攻擊

除了網(wǎng)絡(luò)安全，跳島攻擊也是一種有效的攻擊方式。但它在網(wǎng)絡(luò)安全中的更險惡的含義與一種供應(yīng)鏈威脅有關(guān)。在跳島攻擊中，對手將脆弱的第三方和第四方合作伙伴作為攻擊目標，以利用通常規(guī)模更大的公司的網(wǎng)絡(luò)防御。

“跳島”的顯著特征是對手如何在供應(yīng)鏈的多個環(huán)節(jié)之間跳躍，直到他們能夠破壞目標。這些類型的攻擊利用了數(shù)字供應(yīng)鏈復(fù)雜和交織的特性。

（4）欺詐

企業(yè)與其各種合作伙伴和供應(yīng)商之間的信任關(guān)系也是威脅行為者的目標。利用這種信任來實施欺詐是一種過時的策略，但它不會很快消失。事實上，隨著社會工程策略變得更加精細，并針對特定的個人，這種威脅可能會惡化。

魚叉式網(wǎng)絡(luò)釣魚在利用供應(yīng)鏈關(guān)系方面尤其有效。黑客可以欺騙商業(yè)供應(yīng)商的域名，或者潛伏在只有輕微拼寫錯誤的域名上。然后，威脅行為者可以發(fā)送自稱來自供應(yīng)商的電子郵件，要求向網(wǎng)絡(luò)攻擊者控制下的特定銀行賬戶付款。物理安全風(fēng)險也在欺詐中發(fā)揮作用，模仿一個可信的供應(yīng)商可以欺騙員工允許未經(jīng)授權(quán)的人員進入你的場所。

2023年供應(yīng)鏈網(wǎng)絡(luò)安全的建議

（1）進行第三方風(fēng)險評估

第三方風(fēng)險評估是指在整個供應(yīng)鏈中分析公司的第三方關(guān)系所帶來的風(fēng)險，包括供應(yīng)商和服務(wù)提供商。這一做法是更廣泛的第三方風(fēng)險管理程序的一個關(guān)鍵方面，網(wǎng)絡(luò)安全風(fēng)險分析應(yīng)在評估中發(fā)揮核心作用。

分析公司都應(yīng)該能夠提供評估問題的誠實答案，幫助企業(yè)評估他們對安全性的重視程度。每一兩年重新評估所有供應(yīng)商和合作伙伴。利用現(xiàn)成的問卷來幫助企業(yè)解決問題，例如共識評估倡議問卷(CAIQ)和標準化信息收集問卷。

（2）教育員工供應(yīng)鏈社會工程攻擊

由于供應(yīng)鏈社會工程攻擊利用員工對供應(yīng)商或供應(yīng)商的信任來滲透公司網(wǎng)絡(luò)或獲取敏感信息，因此有必要關(guān)注持續(xù)的教育和培訓(xùn)，以降低欺詐和其他結(jié)果的風(fēng)險。企業(yè)通過教育員工與這些攻擊相關(guān)的風(fēng)險，可以幫助他們更好地識別和防止可疑活動。

此外，當員工了解網(wǎng)絡(luò)安全的重要性以及他們在保護敏感信息方面的作用時，他們更有可能采取預(yù)防措施來保護數(shù)據(jù)和防止攻擊。特別有價值的是專注于供應(yīng)鏈社會工程的特定培訓(xùn)材料。用社會工程模擬來補充標準的視頻或文本學(xué)習(xí)，模擬真實世界的攻擊。

（3）實施軟件物料清單(SBOM)

軟件材料清單(SBOM)是構(gòu)成一個軟件的所有組件的詳細清單。它列出了從開源庫到專有代碼的所有內(nèi)容，為整個軟件供應(yīng)鏈提供了透明度和可見性。擁有軟件物料清單(SBOM)對供應(yīng)鏈安全至關(guān)重要，因為它可以讓企業(yè)識別漏洞、跟蹤更改和監(jiān)控更新，確保所有軟件組件都是最新的和安全的。

軟件物料清單(SBOM)還允許您通過識別哪些軟件組件受漏洞影響并采取適當?shù)牟僮鱽砜焖夙憫?yīng)安全事件。美國政府2021年的一項行政命令特別呼吁加強軟件供應(yīng)鏈安全。軟件物料清單(SBOM)是一個很好的候選者，因為它帶來了透明性。

（4）創(chuàng)建開源安全策略

如果像許多公司一樣，您希望從應(yīng)用程序開發(fā)項目的開源庫和框架中的現(xiàn)成功能中受益，請為開發(fā)人員創(chuàng)建開源安全策略。該政策應(yīng)該概述開源代碼的風(fēng)險，并指導(dǎo)參與開發(fā)的任何人如何將這些風(fēng)險降至最低。

一個重要的實踐是，在將所有軟件組件和依賴項集成到代碼庫之前，驗證它們的真實性和完整性。此外，確保開發(fā)人員使用可靠的軟件組件和依賴關(guān)系來源，并且只從可信的存儲庫下載代碼。

（5）識別第四方供應(yīng)商

當涉及到保護供應(yīng)鏈時，需要獲得更多的信息。如果企業(yè)面臨勒索軟件攻擊或安全漏洞的風(fēng)險，這可能是一個問題。通過了解整個供應(yīng)商生態(tài)系統(tǒng)，可以識別與數(shù)據(jù)相關(guān)的潛在風(fēng)險。然而，獲取這些信息可能很耗時，而且很快就會過時。

為了應(yīng)對這一挑戰(zhàn)，可以考慮使用第三方評估平臺來開發(fā)全面的供應(yīng)商概況，其中包括位置、第四方(或者更直白地說，企業(yè)的供應(yīng)商的供應(yīng)商)和部署的技術(shù)等關(guān)鍵信息。這些信息可以與外部供應(yīng)商周邊掃描的數(shù)據(jù)進行補充，以創(chuàng)建關(guān)系圖，并降低成為跳島攻擊受害者的風(fēng)險。

（6）利用外部幫助

對關(guān)鍵安全威脅和最佳實踐的認識將有助于在2023年及以后加強供應(yīng)鏈安全。供應(yīng)鏈安全的另一個困難是，內(nèi)部安全人員忙于撲滅其他火災(zāi)，這些特定的最佳實踐很容易被忽視。

通過托管安全服務(wù)提供的外部幫助可以為增強供應(yīng)鏈的安全性提供許多好處。一個關(guān)鍵的優(yōu)勢是，托管安全服務(wù)提供商可以提供專業(yè)知識和資源，與高技能的安全專業(yè)人員團隊一起檢測和挫敗威脅。外部安全專家憑借其深入的知識和經(jīng)驗，可以評估與供應(yīng)鏈不同組件相關(guān)的風(fēng)險，并實施有效的安全措施來防范攻擊。