编者按
网络攻击已经存在多年,它们并不是什么新鲜事,针对不同组织的各种网络威胁也是如此。在供应链网络安全方面,不同供应链节点对于网络安全的威胁各不相同,但是甚至顾客也会遭受到网络攻击的侵害。
在过去几年中,我们看到了几起备受瞩目的攻击,这些攻击被视为供应链攻击。2019年,为世界各地的许多政府和大型企业提供加密服务的大型跨国公司RSA也遭遇了网络攻击,这是通过仅发送给RSA三名员工的网络钓鱼电子邮件,其中一人点击了导致入侵的链接。而这个入侵邮件真正的目标实际上是他们的客户之一,国防公司洛克希德马丁公司。这是一次非常有针对性的攻击。
最近针对供应链网络攻击屡见不鲜如2020年的病毒SolarWinds攻击下,有18000名客户下载了自动更新的黑客插件而导致信息遭到泄露。然而,正如 ENISA(欧盟网络安全行业机构)最近发布的题为“供应链攻击的ENISA威胁形势”(2021年7月)的报告强调:“并非所有攻击都应被称为供应链网络安全攻击,但由于它们的性质,其中许多是未来新的供应链网络安全攻击的潜在载体。”
作为分析针对供应链网络攻击的基础,首先要了解供应链的定义,“供应链是指参与创建和交付最终解决方案或产品的流程、人员、组织和分销商的生态系统。” 这意味着有很多方法可以分析对供应链网络安全生态系统的攻击。
仅针对供应链网络安全的威胁
这些类型的威胁通常是会对供应商、供应商资产、客户或客户资产的攻击。随着服务通过数字化转型变得更加个性化,不仅针对每个市场部门,而且针对每个子部门都有可能受到威胁。这些软件供应商提供的数字化转型服务可能不一定像以前的解决方案那样经过试验和测试,因为数字化转型的重点在于小步快跑,系统在不断开发、测试和添加新服务中逐步完善。
尽管数字化转型项目对如此多的企业来说很重要,但在“将安全性融入其中”的开发方法方面,许多企业仍处于起步阶段。这意味着,在这些项目团队建立了在代码中构建安全性和消除漏洞的方法之前,我们可能会看到源自旨在为供应商及其客户提供更好服务的数字化转型项目的问题。此类服务中的一些问题不太可能在多年内浮出水面,而其他问题将很快被识别和修复。
处理此类攻击的策略需要做好及时全面的系统信息安全维护。包括良好的软件系统采购治理、采购政策、流程和应用,并指定您希望立即使用的应用以及可以在商定的时间段内分阶段实施的应用。
不同层次供应链网络服务下的安全攻击
供应链网络不是一个统一的供应商组,因为通常有几个分层。关键层的可能是大型货运或航运公司使用特定软件进行物流、控制或导航这些与人产生交互的系统,并且其中的关键组件由不同的供应商提供。它可能是 GPS 软件,或者是确定最佳路线的人工智能,而提供这些系统或功能支撑的供应商则是应用程序的第二层或第三层,并且离实际客户更远一层。而供应链网络的第四层供应商的则为提供给基础网络功能的服务方,包括应用程序编程接口 (API) 的编码库供应商或特定平台的 Wi-Fi 库供应商,或物联网库供应商等。
随着应用程序变得越来越轻松便捷,客户能够使用许多不同的技术(Wi-Fi、Wi-Fi Direct、蓝牙、近场通信 (NFC)、5G等)进行连接,并且这些技术中的每一个都在扩展和改进,这些技术和所有其他专业API库提供的,将是供应链网络中必不可少的,并且应用普及度也会不断增加。这些供应商中的每一个都在进行自己的数字化转型,以使他们的客户更容易通过云使用他们的服务。
而在广泛的应用与普及下也存在着安全漏洞,一个完整成熟的系统可能有数十个(甚至数百个)专业服务供应商,其中一些则是至关重要的,并且代码的任何妥协都可能导致所提供的整个最终服务的妥协。对这些关键支持服务供应商的攻击一定要有的良好记录,但在2015年左右,苹果公司iOS平台的无线网络API库提供商在三个月的时间里发现了三个独立的漏洞,每个漏洞影响了1,500到 5,000个应用程序,影响了数十个应用程序数百万iOS平台的最终用户。因此在与供应链网络供应商合作时要特别注意其安全防卫能力与体系。
常见网络安全问题在供应链中的影响
一些在互联网上流传的勒索软件是所有用户共有的威胁,这些类型的攻击源于同时影响许多组织的偶然事件,攻击者也是在网络上随机挑选实施攻击的目标对象。这些类型的攻击有时可能是所谓的实时攻击的结果;漏洞太新以至于系统供应商不知道,系统供应商生产安全补丁的时间周期较长,导致攻击者可以自由支配软件进行违法犯罪。
尽管从弹性的角度来看,通常很难对这些类型的攻击采取战略性措施,但让所有技术保持最新的安全更新和补丁对于减少此类威胁的影响大有帮助。此外,为了跟上最新的漏洞,无论补丁是否可用,这对于使组织至少能够实施一些其他控制措施来限制此类攻击的影响。
来自常见的非目标机会主义攻击的威胁
就像旧式广告过去的工作方式一样,每个人都是潜在目标,总会有一些攻击,无论是无目标的网络钓鱼电子邮件,还是对您的网络IP地址的探测,或对您的网络服务器的探测,或易受攻击的 Wi-Fi 网络。此类攻击者往往不清楚实际的最终路径在哪,但凭借足够的信息库以及适配性,任何的操作模式都有机会受到威胁。
许多此类攻击还依赖于未更新的系统。没有最新安全补丁的系统可能总是存在安全问题。比如有一些组织正在并且一直在运行在 Windows XP上运行的系统,这些系统在20多年前就停止接收安全补丁。此类系统通常受到多层控制的保护,尽管本意是最好的,但网络设置的更改可以使它们都可以通过互联网访问——即使它们没有连接到任何连接到互联网的设备。
对供应链网络安全威胁的弹性实践
在应对供应链网络安全,每个企业每个人都不应该掉以轻心。并且要清楚:
1.你们拥有的网络可延伸的资产都有什么
2.你们应该保护什么
3.应该在哪里加强护卫与检测
4.对于不用类型的攻击所采取的相应
5.如遇到网络安全事故的恢复能力
翻译整理:金圣轩 高珉
