16% 的公司購買了被做過手腳的 IT 設備。

90% 的公司 “沒有做好準備” 應對供應鏈網絡攻擊。

[[312885]]

您如何知道服務器和設備內部的關鍵部件是否有 “貓膩”?是否隨時可能發生故障或者隱藏著惡意軟件，悄悄從事鍵盤記錄，數據盜竊或破壞活動?

如今，大多數企業和供應商都沒有做好應對供應鏈風險的準備，沒有檢測或者防范供應鏈風險的有效方法和能力。

兵已入城

兩年前，信息安全論壇 (ISF) 董事總經理史蒂夫·德賓 (Steve Durbin) 曾警告：

當我尋找可能缺乏信息安全保護的關鍵領域時，第一個想到的就是供應鏈。

ESG 的研究發現，16% 的公司購買了被做過手腳的 IT 設備。

從那以后，情況變得越來越糟。CrowdStrike 最近對 1300 家公司進行的全球調查發現，有 90% 的公司 “沒有做好準備” 應對供應鏈網絡攻擊。

風聲鶴唳

2018 年末，彭博社的一篇失實報道聲稱中國在運往美國大公司的服務器上隱藏了間諜芯片。結果報道一出，引發了全球 IT 市場和金融市場大震動：報道中涉及的超微公司當天股價暴跌近 50%;蘋果股價跌幅近 2%;亞馬遜股價跌幅超 2%。

雖然這篇報道被美國相關企業、政府機構和專家多方辟謠，但是此事件引發的恐慌表明供應鏈安全已經成為一種全球性的深度焦慮。當然，這個焦慮的根源其實來自斯諾登事件對美國情報機構供應鏈攻擊技術的披露。

在過去的幾年中，供應鏈已經已成為網絡安全的新戰場。一個很明顯的跡象：在 BlackHat 和 Defcon 上有關黑客入侵供應鏈的演講開始增多。

新的一年已經不知所措地到來，無論您是供應鏈上的技術買家、賣家、制造商、投資者還是安全專家，供應鏈網絡安全都應當在你的行動清單中占據醒目位置，原因有以下五點：

1. 黑客扎堆供應鏈

專家說，威脅不僅在飛速增長而且被低估。根據行業估計，供應鏈攻擊現在占所有網絡攻擊的50%，去年同比激增了 78%。多達三分之二的公司經歷了至少一次供應鏈攻擊事件，平均成本：110萬美元。Ponemon Institute 于 2018 年進行的一項研究發現，有 56% 的組織由于其供應商而出現違規。美國聯邦監管機構報告說，國防部供應鏈中的 IC 和其他電子零件普遍被假冒。

幾股力量正在助長供應鏈威脅。供應鏈的云化、物聯網、全球化以及向龐大互聯的數字生態系統的轉型是主要因素;其他因素還包括地緣政治，以及有組織犯罪也渴望利用薄弱的供應鏈聯系。

2. 每個人都在尋找解決方案

公共和私營部門正在發出警報。例如，埃森哲和 BSI 的最新報告都將供應鏈網絡安全視為最大的挑戰。一個重要的公私合作聯盟最近呼吁在這個問題上進行迅速和嚴格的合作。這些伙伴關系中最具影響力的是 ICT 供應鏈風險管理工作組，一個由美國國土安全部領導的 50 多個政府機構和企業構成的組織。

美國國家標準技術研究院 (NIST) 發布了有關供應鏈風險管理的新指南，而美國網絡安全與基礎設施安全局 (CISA) 則啟動了 “全國供應鏈完整性月”，并在 9 月發布的機構工作組報告中概述了主要威脅情景、建議和基準。

3. 突破一點，傷及一片

供應鏈攻擊實際上是兩種威脅。第一種嘗試擾亂或削弱物理的供應鏈，例如國家黑客對關鍵基礎設施或能源系統的襲擊。

第二種是攻擊者則將供應鏈作為攻擊數十、數百甚至數千個鏈上合作伙伴的渠道。

研究人員 Cybereason 表示，供應鏈攻擊的最大特點是 “突破一點，傷及一片”，是低成本高回報的 “一本萬利” 的黑客商業模式。

通過查找和利用供應鏈薄弱環節，攻擊者可以在供應鏈實體之間跳來跳去，竊取數據，并監視或銷毀它們。供應鏈攻擊的這種由點到面的巨大破壞性吸引了大量黑客。

4. 硬件是新目標

Kingslayer、CloudHopper、CCleaner、ShadowPad、ShadowHammer、Black Ghost Knifefish、Heriplor，以上這些最近發生的供應鏈攻擊都使用軟件或者將軟件(包括固件)作為目標。但是現在，黑客已經加大了賭注。受到不斷增強的軟件安全保護的阻礙，黑客們開始將目光投向了硬件。在任何環境中，惡意入侵硬件堆棧(包括固件、BIOS和UEFI)都是一個巨大的威脅。而這種威脅在供應鏈中被放大了許多倍。

5. 破壞性堪比“團滅”

供應鏈違規造成的危害是長期隱患，因為這讓人們對產品的可靠性和安全性產生了懷疑。如下圖所示，制造過程中存在一系列潛在的危害，最高端是供應鏈攻擊。

資料來源：英特爾

CISA 警告每個階段都存在供應鏈風險：設計、開發和生產、分配、購置和部署、維護和處置。

同樣，違規會給企業造成一系列的傷害，包括聲譽受損和業務損失。

資料來源：德勤

科技和電子產品是國防、金融服務和能源領域最喜歡的目標，但沒有哪個行業能幸免。《 2019年全球威脅報告》發現，現在有超過一半的網絡攻擊利用了所謂的 “跳島攻擊”，這意味著攻擊者不僅針對一個組織。

攻擊者不只是要搶劫您和您整個供應鏈中的人員。他們想要 ‘擁有’ 您的整個系統。

金融、制造和零售是供應鏈攻擊重災區

資料來源：《全球威脅報告》

生態系統保護的重要性

所有這些事實為我們勾畫出一個骨感的現實：供應鏈威脅是嚴重的，而且會繼續惡化。

業界已經達成了廣泛的共識：企業和組織必須積極發展信息驅動的供應鏈網絡防御。但是，最有效的方法是什么?

普華永道 (PwC) 國家網絡威脅研究中心主管 Chadd Carr 建議說：

公司應考慮定義合理的安全級別和相關控制措施，要求分包商、供應商和關鍵供應鏈合作伙伴達到或超過這些標準，作為既定業務協議的一部分。

埃森哲提出了類似的建議：

企業應當對其威脅狀況和供應鏈脆弱點進行全面了解。將網絡威脅情報整合到并購和其他具有戰略意義的行動中，將供應商和工廠安全測試納入其流程中，并實施以行業為中心的法規，來嘗試改進現代全球業務運營中固有的網絡安全風險的流程和風險評估標準。

本文涉及報告：

• BSI 2019年供應鏈風險分析報告：https://www.bsigroup.com/globalassets/supplychain/localfiles/us/reports/bsi-screen-supply-chain-risk-insights-for-2019.pdf
• 埃森哲2019網絡威脅報告：https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50
• Carbon Black 2019全球事件響應威脅報告：https://cdn.www.carbonblack.com/wp-content/uploads/2019/04/carbon-black-quarterly-incident-response-threat-report-april-2019.pdf

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文