供應鏈的模糊如何為網(wǎng)絡攻擊者打開大門以及如何關閉
?在過去十年中,全球發(fā)生了200多起供應鏈攻擊事件。其中一些事件影響了大量的供應商網(wǎng)絡和數(shù)以百萬計的客戶,例如SolarWinds、Kaseya漏洞攻擊和最近的Log4j漏洞攻擊。
但是考慮到分布式工作的發(fā)展,特別是自從新冠疫情爆發(fā)以來,現(xiàn)在還有什么不是供應鏈的一部分?同樣,哪個工作場所不包括在遠程工作的各個方面?
對云托管平臺、較弱的身份驗證解決方案和公共工具的依賴已經(jīng)變得普遍,而且現(xiàn)在已經(jīng)沒有回頭路。人們所處的密集生態(tài)系統(tǒng)都在向其他一切滲透,企業(yè)之間的聯(lián)系只會變得更加密切。
當然,在考慮安全性時,企業(yè)在業(yè)務上最依賴的供應商應該超越其他供應商。但如果供應鏈是任何可能讓企業(yè)有機會跳轉(zhuǎn)到另一個目標的事物,那么幾乎所有事物都是供應鏈的一部分。對于網(wǎng)絡攻擊者來說,供應鏈中的所有弱點看起來都一樣:都是攻擊的機會。
提高生產(chǎn)力的成本
雖然網(wǎng)絡攻擊者的動機是機會,但企業(yè)必須處理其模糊的界限,這些界限曾經(jīng)是網(wǎng)絡安全的基礎,其原因是生產(chǎn)力。
例如,越來越多的企業(yè)使用GitHub作為他們的代碼管道。即使有像GitLab這樣的內(nèi)部解決方案也是如此,因為GitHub是開發(fā)人員上傳和管理代碼的更方便的方式。
IT專業(yè)人士知道鎖定公共工具是可能的,但沒有人會認為默認情況下它是安全的。事實上,情況恰恰相反。像GitHub這樣的軟件為那些攻擊者提供了各種機會。
網(wǎng)絡攻擊者查看GitHub,可能看不到將成為他們實際攻擊媒介的服務器,甚至看不到他們找到植入后門方法的服務器。但它是硬編碼的開發(fā)人員憑據(jù)、有關軟件包內(nèi)部工作的重要信息等的關鍵情報來源。該視圖可以讓高級威脅參與者深入了解如何構(gòu)建有效的后門,以及可以將其植入到何處,以便在不被發(fā)現(xiàn)的情況下輕松而可靠地訪問。
GitHub還向網(wǎng)絡攻擊者提供有權(quán)訪問存儲庫的開發(fā)人員列表。一旦在企業(yè)網(wǎng)絡中站穩(wěn)了腳跟,這份清單就可以作為一系列完美的目標。現(xiàn)在可能由于一臺被侵入的筆記本電腦包含一個GitHub登錄名,整個代碼存儲庫以及它的宿主組織都可能遭到破壞。
同樣,正式或非正式的“自帶設備”政策的激增,以及開發(fā)人員從自己的設備登錄到易于訪問的服務,極大地擴大了企業(yè)的攻擊面,因為它消除了作為內(nèi)部服務防御的關鍵分段。
像攻擊者一樣思考,然后像企業(yè)高管一樣思考
由于GitHub、AWS等服務構(gòu)成了一個復雜的供應鏈威脅網(wǎng)絡,因此很難將這些風險簡明地傳達給企業(yè)中的決策者。這就是在討論供應鏈攻擊等新聞中經(jīng)常出現(xiàn)的話題,溝通是關鍵的原因。當只有幾分鐘的時間來推銷安全信息時,簡潔的溝通是至關重要的,而這可能觸及問題關鍵。
安全專業(yè)人員通常喜歡談論他們工作的細節(jié),即使他們的聽眾不喜歡。其挑戰(zhàn)在于建立安全投資的背景和需求,同時將它們與企業(yè)的目標聯(lián)系起來,而不是散布沒有人愿意想象的噩夢。
專注于最大的創(chuàng)收組織和最大的創(chuàng)收產(chǎn)品自然會吸引企業(yè)高管人員的注意。這為探索這些領域可能面臨的威脅以及如何在不犧牲太多生產(chǎn)力的情況下應對這些威脅創(chuàng)造了機會。
了解供應鏈中的關鍵是企業(yè)控制的元素、瓶頸在哪里,以及可以在哪里引入關鍵緩解措施以防止小問題發(fā)展成為整個領域的危害。讓企業(yè)高管了解供應鏈的規(guī)模和無定形性也是至關重要的,因為網(wǎng)絡攻擊者很清楚。
例如,如果企業(yè)公司使用Microsoft Teams,那么生產(chǎn)組織結(jié)構(gòu)圖中的每個人都可能知道這一點。但是他們可能沒有意識到,作為這個無處不在的云服務的宿主,微軟公司現(xiàn)在是供應鏈的一部分。現(xiàn)在,對于在全球大多數(shù)國家開展業(yè)務的全球規(guī)模最大軟件公司的任何潛在風險,對企業(yè)來說都是潛在風險。
不管是好是壞,都在一起
從網(wǎng)絡攻擊者的角度考慮安全,尤其是信息安全,將會產(chǎn)生一種殊途同歸的感覺。
從那些以攻擊企業(yè)業(yè)務的攻擊者的角度來看,可以看到與企業(yè)合作的每家公司以及使用的每一種工具都是企業(yè)安全中潛在的薄弱環(huán)節(jié)。因此,企業(yè)難以在不影響其上游和下游的每個組織的情況下做出風險決策。但是,這些決策的范圍通常會產(chǎn)生巨大的風險,因此企業(yè)了解其主要供應商和客戶通常是邁向有效供應鏈安全的最主要的一步。
人們需要認識到生產(chǎn)力的回報伴隨著相互依賴的風險,而這是減少網(wǎng)絡攻擊者的攻擊機會的關鍵一步。
