2023年供應(yīng)鏈網(wǎng)絡(luò)安全狀況
在2023年,供應(yīng)鏈網(wǎng)絡(luò)安全風(fēng)險(xiǎn)將繼續(xù)引起各種企業(yè)和組織的關(guān)注。這些風(fēng)險(xiǎn)比以往任何時(shí)候都更加突出,部分原因是復(fù)雜的IT生態(tài)系統(tǒng)使得很難保持供應(yīng)鏈的可見(jiàn)性,甚至很難定義供應(yīng)鏈。此外,正在進(jìn)行的數(shù)字化轉(zhuǎn)型計(jì)劃增加了對(duì)第三方應(yīng)用程序和代碼的依賴(lài)(例如,開(kāi)源項(xiàng)目和商業(yè)SaaS應(yīng)用程序)。本文將介紹一些值得關(guān)注的關(guān)鍵供應(yīng)鏈威脅,以及在2023年實(shí)現(xiàn)強(qiáng)大供應(yīng)鏈安全的技巧。
2023年的關(guān)鍵供應(yīng)鏈威脅
(1)開(kāi)源漏洞
許多供應(yīng)鏈攻擊源于威脅行為者利用組織軟件供應(yīng)鏈中的弱點(diǎn)。Java日志庫(kù)ApacheLog4j中的零日漏洞就是這種風(fēng)險(xiǎn)的一個(gè)例子,它立即使數(shù)千家使用該庫(kù)的公司面臨重大泄露風(fēng)險(xiǎn)。
供應(yīng)鏈威脅有多種形式,但開(kāi)源風(fēng)險(xiǎn)正在上升,因?yàn)樵絹?lái)越多的企業(yè)在從事快節(jié)奏的開(kāi)發(fā)項(xiàng)目時(shí)依賴(lài)于現(xiàn)成的功能。無(wú)論是隱藏在廣泛使用的開(kāi)源庫(kù)/框架中的惡意代碼或不安全代碼,還是開(kāi)源項(xiàng)目中安全性不足的代碼,了解這種威脅都是至關(guān)重要的。與開(kāi)發(fā)人員溝通充分審查他們選擇的開(kāi)源項(xiàng)目的重要性。
(2)API安全事件
在當(dāng)今無(wú)縫應(yīng)用程序生態(tài)系統(tǒng)中,應(yīng)用程序編程接口(API)是一個(gè)至關(guān)重要的環(huán)節(jié),公司使用它來(lái)允許不同的應(yīng)用程序相互通信。許多公司依賴(lài)于這些API,無(wú)論是來(lái)自與其網(wǎng)站綁定的支付處理系統(tǒng),還是其關(guān)鍵業(yè)務(wù)活動(dòng)所依賴(lài)的其他關(guān)鍵應(yīng)用程序。
API也容易存在安全風(fēng)險(xiǎn),當(dāng)其他公司開(kāi)發(fā)的API給黑客攻擊其業(yè)務(wù)或訪問(wèn)其數(shù)據(jù)的機(jī)會(huì)時(shí),這些風(fēng)險(xiǎn)就代表了供應(yīng)鏈威脅。2022年的一項(xiàng)調(diào)查發(fā)現(xiàn),41%的企業(yè)在過(guò)去12個(gè)月遭遇API安全事件。
(3)跳島攻擊
除了網(wǎng)絡(luò)安全,跳島攻擊也是一種有效的攻擊方式。但它在網(wǎng)絡(luò)安全中的更險(xiǎn)惡的含義與一種供應(yīng)鏈威脅有關(guān)。在跳島攻擊中,對(duì)手將脆弱的第三方和第四方合作伙伴作為攻擊目標(biāo),以利用通常規(guī)模更大的公司的網(wǎng)絡(luò)防御。
“跳島”的顯著特征是對(duì)手如何在供應(yīng)鏈的多個(gè)環(huán)節(jié)之間跳躍,直到他們能夠破壞目標(biāo)。這些類(lèi)型的攻擊利用了數(shù)字供應(yīng)鏈復(fù)雜和交織的特性。
(4)欺詐
企業(yè)與其各種合作伙伴和供應(yīng)商之間的信任關(guān)系也是威脅行為者的目標(biāo)。利用這種信任來(lái)實(shí)施欺詐是一種過(guò)時(shí)的策略,但它不會(huì)很快消失。事實(shí)上,隨著社會(huì)工程策略變得更加精細(xì),并針對(duì)特定的個(gè)人,這種威脅可能會(huì)惡化。
魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)在利用供應(yīng)鏈關(guān)系方面尤其有效。黑客可以欺騙商業(yè)供應(yīng)商的域名,或者潛伏在只有輕微拼寫(xiě)錯(cuò)誤的域名上。然后,威脅行為者可以發(fā)送自稱(chēng)來(lái)自供應(yīng)商的電子郵件,要求向網(wǎng)絡(luò)攻擊者控制下的特定銀行賬戶(hù)付款。物理安全風(fēng)險(xiǎn)也在欺詐中發(fā)揮作用,模仿一個(gè)可信的供應(yīng)商可以欺騙員工允許未經(jīng)授權(quán)的人員進(jìn)入你的場(chǎng)所。
2023年供應(yīng)鏈網(wǎng)絡(luò)安全的建議
(1)進(jìn)行第三方風(fēng)險(xiǎn)評(píng)估
第三方風(fēng)險(xiǎn)評(píng)估是指在整個(gè)供應(yīng)鏈中分析公司的第三方關(guān)系所帶來(lái)的風(fēng)險(xiǎn),包括供應(yīng)商和服務(wù)提供商。這一做法是更廣泛的第三方風(fēng)險(xiǎn)管理程序的一個(gè)關(guān)鍵方面,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析應(yīng)在評(píng)估中發(fā)揮核心作用。
分析公司都應(yīng)該能夠提供評(píng)估問(wèn)題的誠(chéng)實(shí)答案,幫助企業(yè)評(píng)估他們對(duì)安全性的重視程度。每一兩年重新評(píng)估所有供應(yīng)商和合作伙伴。利用現(xiàn)成的問(wèn)卷來(lái)幫助企業(yè)解決問(wèn)題,例如共識(shí)評(píng)估倡議問(wèn)卷(CAIQ)和標(biāo)準(zhǔn)化信息收集問(wèn)卷。
(2)教育員工供應(yīng)鏈社會(huì)工程攻擊
由于供應(yīng)鏈社會(huì)工程攻擊利用員工對(duì)供應(yīng)商或供應(yīng)商的信任來(lái)滲透公司網(wǎng)絡(luò)或獲取敏感信息,因此有必要關(guān)注持續(xù)的教育和培訓(xùn),以降低欺詐和其他結(jié)果的風(fēng)險(xiǎn)。企業(yè)通過(guò)教育員工與這些攻擊相關(guān)的風(fēng)險(xiǎn),可以幫助他們更好地識(shí)別和防止可疑活動(dòng)。
此外,當(dāng)員工了解網(wǎng)絡(luò)安全的重要性以及他們?cè)诒Wo(hù)敏感信息方面的作用時(shí),他們更有可能采取預(yù)防措施來(lái)保護(hù)數(shù)據(jù)和防止攻擊。特別有價(jià)值的是專(zhuān)注于供應(yīng)鏈社會(huì)工程的特定培訓(xùn)材料。用社會(huì)工程模擬來(lái)補(bǔ)充標(biāo)準(zhǔn)的視頻或文本學(xué)習(xí),模擬真實(shí)世界的攻擊。
(3)實(shí)施軟件物料清單(SBOM)
軟件材料清單(SBOM)是構(gòu)成一個(gè)軟件的所有組件的詳細(xì)清單。它列出了從開(kāi)源庫(kù)到專(zhuān)有代碼的所有內(nèi)容,為整個(gè)軟件供應(yīng)鏈提供了透明度和可見(jiàn)性。擁有軟件物料清單(SBOM)對(duì)供應(yīng)鏈安全至關(guān)重要,因?yàn)樗梢宰屍髽I(yè)識(shí)別漏洞、跟蹤更改和監(jiān)控更新,確保所有軟件組件都是最新的和安全的。
軟件物料清單(SBOM)還允許您通過(guò)識(shí)別哪些軟件組件受漏洞影響并采取適當(dāng)?shù)牟僮鱽?lái)快速響應(yīng)安全事件。美國(guó)政府2021年的一項(xiàng)行政命令特別呼吁加強(qiáng)軟件供應(yīng)鏈安全。軟件物料清單(SBOM)是一個(gè)很好的候選者,因?yàn)樗鼛?lái)了透明性。
(4)創(chuàng)建開(kāi)源安全策略
如果像許多公司一樣,您希望從應(yīng)用程序開(kāi)發(fā)項(xiàng)目的開(kāi)源庫(kù)和框架中的現(xiàn)成功能中受益,請(qǐng)為開(kāi)發(fā)人員創(chuàng)建開(kāi)源安全策略。該政策應(yīng)該概述開(kāi)源代碼的風(fēng)險(xiǎn),并指導(dǎo)參與開(kāi)發(fā)的任何人如何將這些風(fēng)險(xiǎn)降至最低。
一個(gè)重要的實(shí)踐是,在將所有軟件組件和依賴(lài)項(xiàng)集成到代碼庫(kù)之前,驗(yàn)證它們的真實(shí)性和完整性。此外,確保開(kāi)發(fā)人員使用可靠的軟件組件和依賴(lài)關(guān)系來(lái)源,并且只從可信的存儲(chǔ)庫(kù)下載代碼。
(5)識(shí)別第四方供應(yīng)商
當(dāng)涉及到保護(hù)供應(yīng)鏈時(shí),需要獲得更多的信息。如果企業(yè)面臨勒索軟件攻擊或安全漏洞的風(fēng)險(xiǎn),這可能是一個(gè)問(wèn)題。通過(guò)了解整個(gè)供應(yīng)商生態(tài)系統(tǒng),可以識(shí)別與數(shù)據(jù)相關(guān)的潛在風(fēng)險(xiǎn)。然而,獲取這些信息可能很耗時(shí),而且很快就會(huì)過(guò)時(shí)。
為了應(yīng)對(duì)這一挑戰(zhàn),可以考慮使用第三方評(píng)估平臺(tái)來(lái)開(kāi)發(fā)全面的供應(yīng)商概況,其中包括位置、第四方(或者更直白地說(shuō),企業(yè)的供應(yīng)商的供應(yīng)商)和部署的技術(shù)等關(guān)鍵信息。這些信息可以與外部供應(yīng)商周邊掃描的數(shù)據(jù)進(jìn)行補(bǔ)充,以創(chuàng)建關(guān)系圖,并降低成為跳島攻擊受害者的風(fēng)險(xiǎn)。
(6)利用外部幫助
對(duì)關(guān)鍵安全威脅和最佳實(shí)踐的認(rèn)識(shí)將有助于在2023年及以后加強(qiáng)供應(yīng)鏈安全。供應(yīng)鏈安全的另一個(gè)困難是,內(nèi)部安全人員忙于撲滅其他火災(zāi),這些特定的最佳實(shí)踐很容易被忽視。
通過(guò)托管安全服務(wù)提供的外部幫助可以為增強(qiáng)供應(yīng)鏈的安全性提供許多好處。一個(gè)關(guān)鍵的優(yōu)勢(shì)是,托管安全服務(wù)提供商可以提供專(zhuān)業(yè)知識(shí)和資源,與高技能的安全專(zhuān)業(yè)人員團(tuán)隊(duì)一起檢測(cè)和挫敗威脅。外部安全專(zhuān)家憑借其深入的知識(shí)和經(jīng)驗(yàn),可以評(píng)估與供應(yīng)鏈不同組件相關(guān)的風(fēng)險(xiǎn),并實(shí)施有效的安全措施來(lái)防范攻擊。
