過去兩年對供應鏈造成了重大破壞。新冠大流行將供應鏈攻擊問題推向了前沿，2020 年中斷率上升了 67%，隨著全球市場適應“新常態”運營，問題預計將持續存在。

然而，對數字供應解決方案的日益依賴也為供應鏈攻擊的增加奠定了基礎，預計未來有增無減。2021年美國多次供應鏈攻擊，也是這個推測的一個重要依據。

以下是企業需要了解的有關供應鏈威脅的信息。查看供應鏈安全的當前狀態，以及可以采取哪些步驟來降低總體風險。

什么是供應鏈攻擊?

當威脅行為者使用外部合作伙伴(例如供應商)擁有或使用的連接應用程序或服務破壞企業網絡時，就會發生供應鏈攻擊。有時，專家也將這些稱為第三方或價值鏈攻擊。

對于威脅參與者來說，供應鏈攻擊的吸引力在于信任。企業使用的應用程序和服務通常受到安全團隊的信任和審查。因此，他們通常可以訪問敏感或有價值的內部數據。如果攻擊者可以從連接的供應鏈應用程序橫向移動到更大的企業網絡本身，他們就可以竊取、加密或破壞關鍵數據，并使公司損失數百萬美元的維修成本和聲譽損失。

隨著網絡的發展，這個問題更加復雜。第三方供應商通常使用來自其他業務合作伙伴的軟件，而這些合作伙伴又擁有自己的外部應用程序連接。因此，供應鏈攻擊可能會使幾家公司從預定目標中移除，從而更難被發現。

成功的供應鏈攻擊可能是一個重大打擊。當網絡工具供應商 Solar Winds 在 2020 年末遭到入侵時，全球有超過 18,000 家公司受到影響。

過去的2021年供應鏈網絡安全狀況

如上所述，供應鏈攻擊在 2021 年增加了。由于應用程序環境復雜性的增加：公司需要能夠抵抗未來中斷的敏捷和適應性強的供應鏈。畢竟，擴大連接的應用程序和服務的數量有助于企業更好地應對不斷變化的市場條件，還為威脅參與者創造了更大的攻擊面。如果漏洞確實出現，那么在供應鏈威脅成為更大問題之前，更難發現和消除它們。

2021 年值得注意的供應鏈攻擊

供應鏈攻擊在 2021 年有一個良好的開端。例如，2021 年 4 月，DevOps 工具提供商 Codecov 披露，他們的 Bash 腳本上傳器被惡意攻擊者入侵。這使攻擊者能夠在連續信息 (CI) 環境中捕獲 Codecov 客戶存儲的信息。第三方調查人員還發現，攻擊者可能能夠“竊取額外資源”并獲得對用戶憑據的訪問權限，這反過來又可能導致更大的漏洞。

2021 年 7 月，REvil 團伙破壞了軟件供應商 Kaseya 的網絡管理包，并使用該軟件在 Kaseya 的客戶之間傳播勒索軟件。據NPR報道，在 Kaseya 被入侵后，超過 200 家美國公司發現他們的網絡因勒索軟件攻擊而癱瘓。

值得注意的是歐盟網絡安全局的研究發現，66% 的攻擊集中在供應商代碼上。這意味著即使是強大的內部防御也可能不足以減輕供應鏈攻擊的影響。

常見的供應鏈攻擊方法

供應鏈攻擊者的目標是破壞受信任的服務。從那里，他們可以獲得更有價值的公司資源。一種常見的妥協方法是網絡釣魚。成功的網絡釣魚攻擊可以泄露賬戶和密碼數據，從而使攻擊者可以在不觸發網絡防御的情況下檢查源代碼。惡意軟件也常用于滲透網絡和泄露關鍵源代碼，攻擊者隨后可以修改和重新插入。

一些最常見的供應鏈威脅媒介包括：

• 第三方軟件供應商
• 數據存儲解決方案
• 開發或測試平臺
• 網站建設服務。

在每種情況下，這些軟件解決方案和服務都需要訪問企業基礎設施的關鍵方面。這為惡意行為者開辟了一條潛在途徑。

供應鏈安全優秀實踐

當談到供應鏈攻擊時，攻擊者總是在尋找最薄弱的環節。因此，即使是強大的企業防御也可能不足以保護關鍵資產。畢竟，這些第三方應用程序的可信性質意味著它們通常不會受到同樣的審查。這為攻擊者創造了一個機會：如果他們沿著供應鏈走得足夠遠，他們很可能會發現一個可以利用的漏洞并開始向上移動到關鍵應用程序。

為了幫助降低供應鏈威脅的風險，安全最佳實踐至關重要。這些包括：

1) 評估當前戰略——更好的供應鏈安全始于當前戰略：它們在減輕供應鏈威脅方面是否有效?它們是否符合合規性要求?他們能否適應不斷變化的風險現實?

2) 測試、測試、再測試——定期滲透測試和漏洞掃描可以幫助識別潛在的供應鏈安全弱點。從那里，可以關閉潛在的攻擊途徑。

3) 識別和加密——通過識別和加密其環境中的高度敏感數據，企業可以減少確實發生的供應鏈攻擊的范圍。即使惡意行為者獲得訪問權限，他們也無法利用受保護的資產。

4) 第三方風險管理——如今的供應鏈軟件格局比以往任何時候都更加復雜。因此，企業必須對供應商安全實踐進行深入分析。他們需要打破內部運營孤島，以確保所有部門在保護方面都在同一頁面上。

5) 零信任框架——通過轉向“始終驗證，從不信任”框架，企業可以創建功能性前線防御。零信任甚至需要熟悉的應用程序和服務在獲得網絡訪問權限之前通過身份驗證檢查。

在正確的安全工具也起到降低供應鏈的發作風險的作用。在這里，利用區塊鏈進行安全交易、利用人工智能改進威脅檢測和基于云的威脅分析進行快速風險評估的解決方案通常最適合企業。

解決供應鏈攻擊

底線?這一切都歸結為信任。

供應鏈應用程序是企業大規模提供服務所必需的。然而，降低復雜性的相同信任也會增加總風險。為了減輕供應鏈攻擊的影響，企業必須使用旨在檢測意外行為、發現惡意代碼并拒絕訪問潛在威脅的工具和策略來控制第三方連接。