如今,大數(shù)據(jù)、云計(jì)算、人工智能等新興科技產(chǎn)業(yè)的快速發(fā)展和廣泛應(yīng)用,對(duì)傳統(tǒng)業(yè)態(tài)產(chǎn)生了強(qiáng)烈的沖擊,全球產(chǎn)業(yè)供應(yīng)鏈系統(tǒng)面臨著前所未有的變革,供應(yīng)鏈安全成為網(wǎng)絡(luò)安全體系面臨的重要挑戰(zhàn)。
雖然供應(yīng)鏈攻擊由來已久,但近年來,其規(guī)模、復(fù)雜性及頻率都在急劇增加。歐盟網(wǎng)絡(luò)安全局 (ENISA) 于2021年7月發(fā)布的《供應(yīng)鏈攻擊威脅局勢(shì)報(bào)告》中也強(qiáng)調(diào)了這一點(diǎn)。
此外,在近期中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟指導(dǎo)下發(fā)布的《2022產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)》中也強(qiáng)調(diào),供應(yīng)鏈安全風(fēng)險(xiǎn)從隱性變?yōu)轱@性。據(jù)Check Point 的《2022 年安全報(bào)告》顯示,2021 年全球供應(yīng)鏈攻擊同比增長(zhǎng)了 650%。
什么是供應(yīng)鏈攻擊?
供應(yīng)鏈?zhǔn)窃O(shè)計(jì)、制造和分銷產(chǎn)品所需的資源生態(tài)系統(tǒng)的組合。在網(wǎng)絡(luò)安全方面,供應(yīng)鏈包括硬件和軟件、云或本地存儲(chǔ)和分發(fā)機(jī)制。
供應(yīng)鏈攻擊是一種面向軟件開發(fā)人員和供應(yīng)商的新興威脅,目標(biāo)是通過感染合法應(yīng)用分發(fā)惡意軟件來訪問源代碼、構(gòu)建過程或更新機(jī)制。
供應(yīng)鏈攻擊由對(duì)一個(gè)或多個(gè)供應(yīng)商的攻擊和隨后對(duì)最終目標(biāo)(即客戶)的攻擊組成,這種攻擊可能在很長(zhǎng)一段時(shí)間內(nèi)不被察覺,需要數(shù)月才能成功。與高級(jí)持久性威脅(APT)攻擊類似,供應(yīng)鏈攻擊通常是有目標(biāo)的。另外,供應(yīng)鏈攻擊也會(huì)和APT攻擊、勒索攻擊結(jié)合在一起,攻擊者最終的目的是加密企業(yè)設(shè)備、系統(tǒng)或數(shù)據(jù),以此勒索企業(yè)牟取暴利。
Imperva曾分享的五種典型的攻擊方法:
- 利用供應(yīng)商的產(chǎn)品進(jìn)行注入(典型的如SolarWinds事件)
- 利用第三方應(yīng)用程序(如郵件/瀏覽器漏洞)
- 利用開放源代碼庫(kù)中包含的漏洞
- 依賴關(guān)系混淆
- 惡意接管(擔(dān)任社區(qū)項(xiàng)目維護(hù)者,注入惡意代碼)
在以上五種供應(yīng)鏈攻擊方法中,有的攻擊企業(yè)可以提前預(yù)防,但是有的攻擊企業(yè)則束手無策。依賴關(guān)系混淆可以通過正確配置制品庫(kù)進(jìn)行阻止。利用第三方應(yīng)用程序和利用開放源代碼庫(kù)中包含的漏洞,可以通過及時(shí)升級(jí)或者利用安全公司提供的補(bǔ)丁進(jìn)行緩解,但是針對(duì)供應(yīng)商產(chǎn)品注入和惡意接管方面目前并沒有比較有效的通用方案。
重大供應(yīng)鏈攻擊事件頻發(fā)
· 2020年12月,F(xiàn)ireEye發(fā)布的關(guān)于SolarWinds供應(yīng)鏈攻擊的通告中表示,SolarWinds產(chǎn)品于2020年3月左右被攻擊者植入后門,受到了嚴(yán)重的供應(yīng)鏈攻擊。本次供應(yīng)鏈攻擊事件波及范圍極大,包括政府部門、關(guān)鍵基礎(chǔ)設(shè)施以及多家全球500強(qiáng)企業(yè),造成了重大影響。
· 2021年3月,占據(jù)全球90%航空份額的通信和IT廠商,國(guó)際航空電信公司SITA受到供應(yīng)鏈攻擊,攻擊者竊取了該公司存儲(chǔ)在美國(guó)服務(wù)器上的乘客數(shù)據(jù),全球眾多航空公司業(yè)務(wù)受到影響,甚至出現(xiàn)了大范圍的數(shù)據(jù)泄露,直接造成了航空業(yè)“大地震”。
· 2021年7月,勒索組織REvil利用IT軟件供應(yīng)商Kaseya發(fā)起供應(yīng)鏈攻擊,有數(shù)千家公司中招。REvil攻擊了Kaseya基于云的MSP平臺(tái)(管理服務(wù)提供商),破壞其VSA基礎(chǔ)設(shè)施,然后向VSA內(nèi)部服務(wù)器推送惡意更新,在企業(yè)網(wǎng)絡(luò)上部署勒索軟件,導(dǎo)致Kaseya的客戶遭供應(yīng)鏈攻擊。REvil宣稱鎖定了超過一百萬個(gè)系統(tǒng),并愿意就通用解密器進(jìn)行談判,起價(jià)為7000萬美元,這是迄今為止開價(jià)最高的贖金。
· 2021年12月,Log4j2漏洞的爆發(fā)也引發(fā)了一場(chǎng)供應(yīng)鏈安全危機(jī),其影響范圍極為廣泛,同時(shí)也伴隨著巨大的危害性。Log4j2作為一個(gè)堪比標(biāo)準(zhǔn)庫(kù)的基礎(chǔ)日志庫(kù),無數(shù)開源 Java 組件都直接或間接依賴于Log4j2。作為軟件供應(yīng)鏈中的核心原始組件,Log4j2的自身漏洞帶給整個(gè)軟件供應(yīng)鏈的影響最為直接、隱秘,影響也最為深遠(yuǎn)。
供應(yīng)鏈安全上升至國(guó)家戰(zhàn)略層面
隨著供應(yīng)鏈安全形勢(shì)的愈加嚴(yán)峻,越來越多的國(guó)家開始關(guān)注國(guó)家產(chǎn)業(yè)供應(yīng)鏈戰(zhàn)略,不斷努力推動(dòng)維護(hù)本國(guó)產(chǎn)業(yè)供應(yīng)鏈安全的建設(shè)。很多國(guó)家都根據(jù)自己的國(guó)情制定了各自的全球產(chǎn)業(yè)供應(yīng)鏈戰(zhàn)略發(fā)展措施。
早在2012年歐洲網(wǎng)絡(luò)和信息安全局(ENISA)就發(fā)布了《供應(yīng)鏈完整性報(bào)告》(2015年更新),報(bào)告確定了供應(yīng)鏈安全威脅的性質(zhì),并審查了可能的應(yīng)對(duì)策略。
近日,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)發(fā)布了關(guān)于確保軟件供應(yīng)鏈安全的最新指導(dǎo),以響應(yīng)政府旨在加強(qiáng)國(guó)家網(wǎng)絡(luò)安全的行政令。據(jù)悉美國(guó)還建立跨部門產(chǎn)業(yè)供應(yīng)鏈安全組織保障體系,多維度建立國(guó)家產(chǎn)業(yè)供應(yīng)鏈安全戰(zhàn)略體系,強(qiáng)化產(chǎn)業(yè)供應(yīng)鏈安全立法體系建設(shè),注重國(guó)家產(chǎn)業(yè)供應(yīng)鏈安全政策研究,并強(qiáng)化產(chǎn)業(yè)供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估和安全審查。
隨著越來越多的國(guó)家廣泛應(yīng)用現(xiàn)代信息技術(shù),德國(guó)政府從政策層面上積極推動(dòng)本國(guó)產(chǎn)業(yè)供應(yīng)鏈向智能化、信息化方向發(fā)展,在信息通信技術(shù)基礎(chǔ)之上的 CPS 系統(tǒng)構(gòu)建智能工廠,構(gòu)建智能制造供應(yīng)鏈網(wǎng)絡(luò),不斷提高制造業(yè)競(jìng)爭(zhēng)力。
我國(guó)宏觀層面對(duì)推動(dòng)產(chǎn)業(yè)供應(yīng)鏈發(fā)展給予了高度重視,微觀層面為推動(dòng)產(chǎn)業(yè)供應(yīng)鏈發(fā)展不斷賦能,企業(yè)不斷拓展產(chǎn)業(yè)供應(yīng)鏈發(fā)展的全球布局。
多年來,我國(guó)相繼出臺(tái)了供應(yīng)鏈安全管理國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) ICT 供應(yīng)鏈安全風(fēng)險(xiǎn)管理指南》(GB/T 36637-2018)、發(fā)布了《信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》征求意見稿、擬研究制定《信息安全技術(shù)軟件供應(yīng)鏈安全要求》,
以實(shí)現(xiàn)供應(yīng)鏈的完整性、保密性、可用性和可控性安全目標(biāo),規(guī)定信息技術(shù)產(chǎn)品供應(yīng)方和需求方應(yīng)滿足的供應(yīng)鏈基本安全要求,并提升國(guó)內(nèi)軟件供應(yīng)鏈各個(gè)環(huán)節(jié)的規(guī)范性和安全保障能力。
另外,對(duì)于我國(guó)供應(yīng)鏈安全管理體系的完善,相關(guān)專家認(rèn)為可以從戰(zhàn)略規(guī)劃、制度建設(shè)、保障機(jī)制、配套政策、標(biāo)準(zhǔn)體系五方面發(fā)力:
- 盡快提高供應(yīng)鏈安全在制造業(yè)長(zhǎng)期發(fā)展規(guī)劃中的戰(zhàn)略地位,形成國(guó)家層面的戰(zhàn)略共識(shí)。
- 完善供應(yīng)鏈安全的制度建設(shè)。
- 完善供應(yīng)鏈風(fēng)險(xiǎn)防范保障機(jī)制。
- 制定供應(yīng)鏈安全戰(zhàn)略部署的政策體系。
- 加快供應(yīng)鏈安全管理相關(guān)國(guó)家標(biāo)準(zhǔn)的研究制定,并促進(jìn)國(guó)家標(biāo)準(zhǔn)與國(guó)際標(biāo)準(zhǔn)對(duì)接。
近年來由于疫情的持續(xù)蔓延,對(duì)全球供應(yīng)鏈安全也產(chǎn)生了重大影響,保障供應(yīng)鏈安全將成為一場(chǎng)持久戰(zhàn),各國(guó)應(yīng)攜手共同維護(hù)全球供應(yīng)鏈安全,并發(fā)揮各自優(yōu)勢(shì)推動(dòng)全球供應(yīng)鏈安全治理。
