尽管紧张的形势有所放缓,但是全球供应链仍未从疫情的危机中彻底走出,供应短缺事件在各个行业频繁发生,这也凸显了供应链的脆弱。盯上供应链的还有网络攻击:近年来,供应链攻击事件呈现爆发增长的态势,欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出,眼下攻击者已经将注意力转移到供应商上,和2020年相比,2021年供应链攻击已经显著提升。亚信安全在《2022网络安全发展趋势及十大威胁预测》中也指出,供应链威胁暴增,“安全左移”势在必行。
那么,对于企业来说,在做好自身安全防护的同时,如何应对愈演愈烈的供应链攻击呢?
频繁带来行业“地震”的供应链攻击
顾名思义,供应链攻击指的是对于供应链所发动的网络攻击,在典型供应链攻击中,攻击者会将供应链作为攻击对象,先攻击供应链中安全防护相对薄弱的企业,然后再利用供应链之间的相互连接(如软件供应、开源应用)等,将风险扩大至上下游企业,产生攻击涟漪效应和巨大的破坏性。供应链攻击的手段包括:利用供应商的产品进行注入、利用第三方应用程序、利用开放源代码库中包含的漏洞等等。
与其它攻击形式相比,供应链攻击往往牵涉到更多的企业,且更具破坏性,甚至会给整个行业带来巨大的影响。
2021年3月,作为全球90%航空公司的通信和IT供应商,国际航空电信公司(SITA)受到供应链攻击,导致多家航空公司的乘客数据被窃取;2021年7月,REvil勒索软件团伙利用Kaseya远程管理软件发动供应链攻击,波及17个国家,上千家企业和机构,上百万台设备被加密……
这些攻击不仅给涉及到的企业带来了巨大的损失,而且还对整个供应链造成扰动。
之所以供应链攻击愈发肆虐,一方面在于,随着全球范围内各个产业的经济联系都在日趋紧密,企业的供应链正在逐步延长,供应链安全形势更加复杂化,暴露在外的供给面也逐步扩展,这在加大了防护难度的同时,也让攻击者更有动力发动以供应链为目标的网络攻击;另一方面,很多企业长期以来只关注自身网络安全的防护,而忽略了供应商产品的安全状况,导致未经过严格安全认证与审核的访问进入企业,带来巨大风险。
值得一提的是,随着企业正在加速拥抱开源社区,企业将更有可能受到开源生态中的供应链攻击所影响。2021年,针对开源软件的供应链攻击暴增650%,全球的各软件开发企业累计从开源平台上引用2万亿的开源软件包或者组件,其中可能存在大量未经严格安全审查的漏洞,一旦这些漏洞随着开源代码被引入到企业的软件之中,攻击者就有可能同时对大量企业进行攻击。此外,由于针对开源软件的供应链攻击的影响面极广,且漏洞利用的成本较低,漏洞修复时间周期较长,攻击者还可能将漏洞直接注入到开源代码中,发动更加主动的攻击。
亚信安全建议以“零信任+XDR”对抗供应链攻击
供应链攻击之所以很难应对,不仅在于供应商的网络安全环境非常复杂,还在于攻击者滥用了供应链之间的信任关系,并通过供应链关系来挖掘上下游之间的关系,以获取更多的数据和权限。因此,要应对供应链攻击,一个重中之重便是提高安全审查的门槛,并默认对于所有来自供应链的访问都进行审核。
亚信安全建议在供应链合作中,企业应该遵循零信任原则,全面审核供应链产品与服务的安全。所有对于系统的访问都会建立在身份、端点、服务等一系列参与服务的角色,必须得到安全策略一致的验证和授权之后才能进行。因此,这必将是替代传统网络安全架构和防御策略的核心,更是企业未来数字化商业的一个重要基础。
此外,在供应链攻击中,攻击者为了最大化攻击成果,往往都“深谋远虑”,对于攻击方式与工具进行了深度定制,因此很有可能会让企业防不胜防。此外,即使是在“零信任”的框架下,企业依然无法保证所有的供应链产品与组件都是安全的,因此提升对于隐藏高级风险的发现能力,并确保从网络安全攻击中恢复也至关重要。
针对上述攻击特征亚信安全的XDR解决方案提供了高效的解决方案,其包括“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段。能够在发现威胁数据之后,将数据集中到本地威胁情报和云端威胁情报做分析,利用机器学习和专家团队,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。
防护供应链攻击,严格的安全意识与规范必不可少
要更好地防护供应链攻击,除了网络安全方案与服务之外,还需要员工有严格的安全意识,把安全性的评估作为开发过程中的必要评审项。开发环节严格遵守开发规范,开发完成的软硬件发布前,交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。
此外,企业还需要制定严格的安全规范,建立可信的开发环境,这包括选择安全规范较强开源应用/开源库、算法等,采购安全可信的软件外包服务。关注所用组件的安全通告,如被揭露出严重安全问题,通过配置或加入其他安全性控制作为缓解措施,必要时升级相关的组件,从而建立完善的使用规范,保障安全的底线。