過去十年，勒索軟件一直是安全人員的噩夢。僅在 2021 年上半年，這些攻擊就使企業損失了 5.9 億美元。網絡犯罪分子利用軟件供應鏈暴露的重大漏洞從下游利益相關者的領域勒索贖金。隨著這些攻擊變得越來越普遍，企業必須了解他們在供應鏈生態系統中的位置，以確保安全。

了解供應鏈

通過供應鏈進行勒索軟件攻擊的潛在影響非常大。去年 7 月，IT 解決方案開發商 Kaseya報告稱，黑客利用 Kaseya 的 VSA 軟件中的漏洞進行了攻擊。雖然只有不到 0.1% 的公司客戶在此次泄露中受到影響，但它仍然波及了800 至 1500 家的中小型公司。這起事件雖然相對較小，但清楚地表明軟件開發人員看似很小的違規行為會對可能無法正確保護自己的公司產生巨大影響。有些人可能會認為這是一個供應鏈談話，但對于 Kaseya 的客戶來說，它確實是這樣的。

這起事件雖然相對較小，但也清楚地表明，軟件開發人員的一次看似微不足道的違規行為，可能會對那些可能無法妥善保護自己的公司產生巨大的影響。有些人可能會質疑這只是一個供應鏈的話題，但對于Kaseya的客戶來說，這確實發生了。

簡而言之，企業在整個供應鏈中有兩種角色:供應商或消費者。有時企業同時扮演這兩種角色。無論其核心業務模式如何，任何研發技術的企業都是供應商，并擁有可衡量的風險群體。相反，嚴格的技術消費者很少。因此，大多數公司都處于維恩圖的中心，既消費又供應技術。

例如，一家提供服務但也有軟件開發人員來研發自己內部技術的銀行，它有一個持續的進出流程，這使得網絡安全變得異常復雜。勒索軟件攻擊會影響到與目標相隔兩到三層的客戶組織，而對供應鏈生態系統的不了解會使這種附帶損害惡化。

如果安全實踐無法改變，攻擊者也無需改變攻擊方法

網絡犯罪分子在將傳統攻擊方法與惡意勒索軟件目錄相結合方面非常精通并迅速提高。這種毀滅性的組合正在迅速升溫。此外，攻擊者意識到許多公司不知道如何正確修復其供應鏈漏洞。

那么企業應該怎么做呢？他們如何防范利用如此復雜但必要的業務流程的威脅？

很明顯，確定企業作為軟件供應商或消費者（或兩者）的位置是關鍵的第一步。從那里，團隊將能夠通過新的視角來管理和監控他們在供應鏈中的數據，并增加在攻擊初期捕獲攻擊的可能性。

由于大多數企業都提供和使用軟件，因此有必要保護和了解與內部和第三方攻擊途徑相關的數據。數據是業務的核心，團隊必須勤奮工作以掌控靜態數據和動態數據的情況，以防止數據泄露。數據本地化是該策略的關鍵組成部分。安全團隊必須優先覆蓋供應鏈的每個基礎環節，并全面定位、分類和保護其中的所有數據。如果不了解企業的軟件供應鏈生態系統，這是不可能的。

此外，如果沒有與供應鏈上游的第三方(供應商)的信任和持續溝通，安全的數據交換是不可能實現的。想象一下，當你去度假時把寵物交給一個沒有調查其背景的不熟悉的保姆時，把這么珍貴的東西交給一個不認識的陌生人，風險太大了，對吧?現在想象一下，將您最重要的企業軟件開發項目的重要部分交給一個完全陌生的人。

確保所有數據利益相關者都是合法的至關重要，而這種盡職調查將為黑客尋找目標供應鏈中的漏洞提供堅實的防線。

最終，這些攻擊是不可避免的，但安全團隊可以采取幾個步驟來減輕損失：

• 進行徹底的防御評估。研究常見的勒索軟件載體，并將它們與企業的獨特漏洞相抗衡。
• 制定事件響應計劃。制定贖金要求的技術響應、關鍵聯系人、主要決策者和策略。
• 制定事件恢復計劃。您的企業將如何恢復鎖定的系統/數據、響應公眾/客戶的疑問、以及處理其他溝通問題？

供應鏈中的勒索軟件是一個關鍵威脅，但并非勢不可擋。我們要從每一次重大攻擊中吸取教訓，各企業正在努力深入地了解他們的軟件供應鏈。隨著攻擊者不斷改進他們在勒索軟件攻擊中的供應鏈使用，對供應商的了解程度、強大的資產知識和彈性可靠的行動計劃都將有助于減少漏洞的發生。