2022 年 3月，全球領先的網絡安全解決方案提供商 Check Point? 軟件技術有限公司（納斯達克股票代碼：CHKP）總結了一年來主要供應鏈攻擊的起因，以及如何幫助企業有效防護此類攻擊。近年來，供應鏈一直是網絡犯罪分子的主要目標之一。由于新冠疫情悄然改變了現代企業的運營方式，在許多企業可能尚未做好充分準備的情況下，就直接采用了混合辦公模式，并將諸多應用移至云端。因此，安全團隊往往不堪重負，無法滿足突發安全需求。Check Point 的《2022 年安全報告》顯示，2021 年供應鏈攻擊同比驟增 650%。

去年的轟動性供應鏈攻擊 Solarwinds是許多企業蒙受損失。當時一群網絡犯罪分子侵入了 Solarwinds 的生產環境，并將后門嵌入至其 Orion 網絡監控產品更新中，運行這一惡意更新的客戶隨即遭遇了數據竊取及其他安全問題。再以 REvil 勒索軟件犯罪團伙為例，他們利用 Kaseya（一家為托管服務提供商 (MSP) 提供軟件的軟件公司）使 1,000 多家客戶感染了勒索軟件。網絡犯罪分子甚至要求支付 7000 萬美元的贖金才會為所有受影響的用戶提供解密密鑰。

供應鏈攻擊過程

Check Point安全專家認為，供應鏈攻擊利用了不同機構之間的信任關系。所有公司對其軟件服務供應商都有著某種程度的信任，因為他們在其網絡上安裝并使用了這些供應商的軟件。此類威脅瞄準了信任鏈中最薄弱的環節：如果一個企業部署了強大的網絡安全防護，但卻有著不安全的可信供應商，那么網絡犯罪分子將會向其發起攻擊。在潛伏于該提供商的網絡后，攻擊者可以借此鏈路向更安全的網絡進行滲透。

網絡犯罪分子往往利用供應鏈漏洞分發惡意軟件

供應鏈攻擊的目標通常是托管服務提供商 (MSP)，因為他們能夠廣泛訪問其客戶網絡，這對攻擊者而言非常有機可乘。在利用 MSP 后，攻擊者可以輕松擴展到他們客戶的網絡，并通過利用其漏洞造成更嚴重的影響，趁機訪問直接攻擊很難侵入的區域。

在獲得訪問權限后，攻擊者便可實施其他任何類型的網絡攻擊，包括：

· 數據泄露：供應鏈漏洞通常用于執行數據漏洞。例如，Solarwinds 黑客攻擊泄露了多家政府和企業的敏感數據。

· 惡意軟件攻擊：網絡犯罪分子經常利用供應鏈漏洞將惡意軟件分發到目標公司中。Solarwinds 包含惡意后門交付，對 Kaseya 的攻擊致使公司感染了勒索軟件。

利用最佳實踐來識別并規避供應鏈攻擊

盡管這種威脅會造成嚴重危害，但企業可借助一些最佳實踐獲得保護：

1. 實施最低權限策略：許多機構將過多的訪問權限分配給其員工、合作伙伴及軟件。這些過度授權助長了供應鏈攻擊。因此，必須實施最低權限策略，僅為公司內部人員及軟件本身分配其執行自身工作所需的權限。

2. 進行網絡分段：第三方軟件和合作伙伴機構無需無限制地全面訪問公司網絡。為了避免任何風險，應采用網絡分段方式根據不同的業務功能將網絡劃分為不同的區域。這樣，如果供應鏈攻擊危及部分網絡，其余部分仍將受到保護。

3. 應用 DevSecOps 實踐：通過將安全保護集成到軟件開發生命周期中，企業與機構可以快速檢測 例如Orion 等更新軟件等是否遭到惡意修改。  

4. 自動化威脅防御和風險搜尋：安全運營中心 (SOC) 分析師必須能夠跨所有環境抵御攻擊，包括端點、網絡、云端及移動設備。

Check Point?軟件技術有限公司中國區技術總監王躍霖先生表示：“供應鏈攻擊由來已久，但去年，其規模、復雜性及頻率均急劇增加，全球供應鏈攻擊同比增長了 650%。在由越來越多的供應商、合作伙伴及客戶之間的復雜互聯組成的數字環境中，漏洞風險呈指數級增長，企業無法在安全防護方面退而求其次。勒索軟件事件和修復成本可能高達數百萬美元，采取主動的安全防護方案并采用合適的技術才能第一時間防止惡意軟件侵入網絡，從而避免此類事件的發生?！??