本文作者:Akamai 亞太地區(qū)及日本安全技術(shù)和戰(zhàn)略總監(jiān) Reuben Koh
在當今的互聯(lián)世界里,供應(yīng)鏈在提供產(chǎn)品和服務(wù)方面起著至關(guān)重要的作用,一旦出現(xiàn)中斷,可能會引發(fā)一系列問題。但是,隨著供應(yīng)鏈的日益復(fù)雜化,其中的漏洞也會增多。
在供應(yīng)鏈中,環(huán)節(jié)越多,漏洞出現(xiàn)的可能性越大,從而大大增加了遭受網(wǎng)絡(luò)攻擊的風(fēng)險。如果與您相關(guān)的供應(yīng)商或合作伙伴發(fā)生數(shù)據(jù)泄露,您將無法獨善其身。
Gartner 預(yù)測,到 2025 年,全球?qū)⒂?45% 的企業(yè)遭受軟件供應(yīng)鏈攻擊,這一數(shù)字相比 2021 年將增長三倍。
以下是一些關(guān)鍵風(fēng)險及其相應(yīng)的抵御策略。
1.軟件供應(yīng)鏈攻擊
供應(yīng)鏈中常見的網(wǎng)絡(luò)威脅之一是軟件攻擊。攻擊者會試圖入侵產(chǎn)品的源代碼、軟件或固件。例如,攻擊者在供應(yīng)商或提供商級別將惡意代碼注入軟件,而客戶在下載并使用該軟件時也毫不知情。這種攻擊方式能夠繞過很多安全措施,因為客戶通常對直接從供應(yīng)商和提供商處獲得的軟件深信不疑。
SolarWinds 事件充分說明了軟件供應(yīng)鏈攻擊的嚴重性。黑客將惡意代碼植入了 SolarWinds 的 Orion 軟件,這款軟件在全球范圍內(nèi)被眾多企業(yè)和政府機構(gòu)用于管理 IT 資源。這些用戶在安裝軟件更新包后,便會在不經(jīng)意間感染隱匿其中的惡意軟件。這不僅給 Orion 用戶帶來了巨大風(fēng)險,還使黑客有機會訪問客戶和合作伙伴的網(wǎng)絡(luò)及數(shù)據(jù)。
企業(yè)必須采取主動的措施來應(yīng)對軟件供應(yīng)鏈攻擊。這包括進行嚴格的供應(yīng)商風(fēng)險管理,評估供應(yīng)商的安全態(tài)勢,并針對各類供應(yīng)商制定獨特的安全要求。此外,實施 Zero Trust 安全模式也有助于企業(yè)驗證每個傳入連接和請求訪問的設(shè)備是否可信。
2.針對供應(yīng)商的網(wǎng)絡(luò)釣魚攻擊
針對供應(yīng)商的網(wǎng)絡(luò)釣魚攻擊是網(wǎng)絡(luò)犯罪分子間接入侵企業(yè)網(wǎng)絡(luò)和系統(tǒng)的另一種常見手段。當供應(yīng)商,特別是 IT 外包或呼叫中心的供應(yīng)商,成為網(wǎng)絡(luò)釣魚攻擊的受害者時,網(wǎng)絡(luò)犯罪分子會假扮成客戶,騙取敏感信息或要求供應(yīng)商重置密碼。
由于供應(yīng)商可能沒有像大型企業(yè)那樣的安全意識和反網(wǎng)絡(luò)釣魚解決方案,這些攻擊便更容易得手。因此,這些供應(yīng)商便成了網(wǎng)絡(luò)犯罪分子入侵大型企業(yè)網(wǎng)絡(luò)的理想突破點。
為了降低通過供應(yīng)商實施的網(wǎng)絡(luò)釣魚攻擊的風(fēng)險,企業(yè)應(yīng)當注重對供應(yīng)商進行全面的安全意識培訓(xùn),并執(zhí)行嚴格的安全要求。通過擴大安全實踐的范圍以將供應(yīng)商納入其中并密切監(jiān)控他們的活動,企業(yè)能夠盡早發(fā)現(xiàn)可疑行為并進行有效應(yīng)對。
3.硬件供應(yīng)鏈攻擊
硬件供應(yīng)鏈攻擊是指攻擊者對路由器、IoT 設(shè)備和智能家電(甚至包括智能電視和洗衣機)等硬件設(shè)備的固件進行篡改,以植入后門或漏洞。這些被入侵的設(shè)備隨后會被出售給最終企業(yè),而這些企業(yè)在毫不知情的情況下將這些設(shè)備投入使用,從而為攻擊者提供了一個潛在的入侵點。
檢測硬件供應(yīng)鏈攻擊是一項極具挑戰(zhàn)性的任務(wù),因為這類攻擊往往被制造商和供應(yīng)商所忽視。企業(yè)必須依賴嚴格的質(zhì)量控制和驗證流程,以確保發(fā)現(xiàn)被入侵的硬件。
盡管硬件供應(yīng)鏈攻擊發(fā)生的頻率較低,但其檢測難度大,且可能帶來嚴重的后果。為了確保硬件產(chǎn)品的完整性,制造商和供應(yīng)商必須執(zhí)行徹底的測試和驗證流程,包括對所有發(fā)貨產(chǎn)品進行二次甚至三次的檢查。
未來趨勢和挑戰(zhàn)
由于供應(yīng)鏈攻擊的有效性和企業(yè)間日益加強的相互依賴性,預(yù)計 2024 年供應(yīng)鏈攻擊數(shù)量將出現(xiàn)增長。隨著企業(yè)不斷擴展合作伙伴關(guān)系和生態(tài)系統(tǒng),它們將更容易受到供應(yīng)鏈攻擊的威脅。攻擊者通常會選擇供應(yīng)鏈中的薄弱環(huán)節(jié)作為目標,如安全措施和安全意識相對較差的小型供應(yīng)商。
企業(yè)必須增強其安全態(tài)勢,以應(yīng)對兩個關(guān)鍵領(lǐng)域的挑戰(zhàn):
1.API 安全性:隨著供應(yīng)鏈中 API 數(shù)量的激增,企業(yè)必須采用專業(yè)的 API 安全防護工具來保護系統(tǒng)免遭與 API 相關(guān)的漏洞威脅。API 是有效的數(shù)據(jù)傳輸通道。隨著 API 數(shù)量的快速增長,傳統(tǒng)的安全措施已無法滿足需求。因此,在 API 的開發(fā)和發(fā)布階段,都必須采取有效的保護措施。
2.安全領(lǐng)域的人工智能 (AI):評估 AI 賦能的安全解決方案正日益成為一種趨勢。我們?nèi)绾问?AI 不單單用于提高運營效率,而是能夠提升我們的安全性呢?AI 可以增強威脅檢測和響應(yīng)能力,并且將在未來一年內(nèi)在這個領(lǐng)域?qū)崿F(xiàn)顯著的發(fā)展。
供應(yīng)鏈中的網(wǎng)絡(luò)威脅問題為企業(yè)帶來了重大挑戰(zhàn)。企業(yè)必須采取積極主動且強有力的安全措施,以保護他們在關(guān)鍵技術(shù)領(lǐng)域的工作和投資。此外,企業(yè)還需與值得信賴的供應(yīng)商建立合作關(guān)系,持續(xù)監(jiān)控供應(yīng)鏈中的風(fēng)險和漏洞,進行深入的風(fēng)險評估,并確保定期進行軟件更新和修補工作。
盡管供應(yīng)鏈網(wǎng)絡(luò)安全問題錯綜復(fù)雜,但通過與更廣泛的供應(yīng)鏈生態(tài)系統(tǒng)進行合作,并實施這些措施,便可有效抵御和打擊這些威脅和漏洞。
