供應鏈攻擊成最大網絡威脅 解決之道關鍵在人
責編:gltian |2018-05-28 15:32:14現代供應鏈是全球物資和服務穿流交錯的復雜而又脆弱的網絡。可以毫不夸張地說,供應鏈是我們經濟賴以為生的命脈,是我們生活的基礎,確保了我們有東西可吃,有能源可用,保障了我們的醫療健康和銀行里的財產安全。但供應鏈存在一個問題:網絡罪犯和國家級黑客已經發現這里面充滿了可供利用的漏洞。
因此,英國國家網絡安全中心(NCSC)最近指出,供應鏈被黑是英國公司面臨的最大威脅之一。如果攻擊者通過供應鏈中最有價值的部分入侵其既定受害者,該如何緩解此風險呢?答案就是:培訓你的雇員,強化整個供應鏈。
數字世界
我們的世界越來越數字化,黑客也越來越精于在互聯網匿名性掩蓋下隨意遠程探測和攻擊我們。2017年英國公司遭受的網絡攻擊數量達到歷史新高,全球網絡犯罪非法獲利大概在1.5萬億美元左右。在供應鏈作為關鍵角色的制造業,近乎一半的英國公司經歷過重大網絡攻擊。
供應鏈攻擊形式多樣。可以是對合作伙伴公司的雇員進行網絡釣魚獲取本公司登錄憑證,比如近幾年影響最重大的兩起數據泄露:美國零售商塔吉特百貨和美國人事管理局(OPM)數據泄露事件,就是經由合作公司失竊的登錄憑證。也可以是往合法軟件中植入惡意軟件,比如著名的NotPetya勒索軟件,就是烏克蘭流行會計軟件M.E.Doc被感染而引起的。出乎意料的是,NotPetya在全球擴散,中斷了馬士基和TNT這種國際航運和物流公司關鍵IT系統時,對全球供應鏈產生了計劃外的深遠影響,凸顯出我們的供應鏈依賴是有多么不穩定。
NCSC和美國相關機構的最新情報宣稱,俄羅斯黑客仍在努力攻克供應鏈的某些部分。據最新警報,他們通過入侵全球網絡基礎設施設備來盜取IP和實現關鍵基礎設施目標駐留。
問題多多
供應鏈攻擊的影響當然各行各業不同。正如上述幾個例子中揭示的,有可能造成知識產權竊取,也有可能提升國家安全風險和激化地緣政治緊張局勢。商業世界里,供應鏈攻擊可能導致競爭優勢喪失和嚴重的財務及信譽責任。如今,數據泄露事件的平均損失在360萬美元左右,但有些攻擊可招致高得多的損失,尤其是對那些發售有形產品和服務的公司而言。
Equifax去年就因數據泄露而大出血了4.39億英鎊,而馬士基和TNT則都公開報告了約3億美元的NotPetya所致物質損失。除了這些報告出來的大筆數字,初始報告之后一直持續的事件響應和恢復工作也有相應的持續內部損耗;更不用說此類公開報告還略去了對其他人因這些公司無法服務其客戶和合作伙伴而肯定會受到的下游服務中斷的級聯影響。
NCSC對供應鏈攻擊做了個總結:
如果做得好的話,供應鏈攻擊是很難被檢測出來的,有時候甚至是完全不可能被發現。網絡監視能檢測出異常或可疑行為,但依然難以確定安全漏洞是有意引入的(可能是作為后門),還是來自開發人員或制造商的無意疏忽,或者其實是為了證明有潛在的訪問憑證被利用了。
于是,應該做些什么來防止供應鏈攻擊呢?
以人為本
技術和安全框架很重要,可以提供發現并封鎖攻擊的方法,幫助公司企業建立貫穿整個供應鏈的統一風險視圖。 ISO/IEC 27000 系列標準可作為基礎信息安全操作的起點。其他國際上承認的行業標準和操作也很有用,比如 IEC 62443 和 NIST 800-82 工控系統安全指南。另外,涵蓋更廣的NIST網絡安全框架(CSF)描述了一種基于風險的主動性方法,可以幫助公司企業評估和緩解其IT及OT系統所面臨的安全風險。
然而,僅靠技術手段和安全框架是無法保衛我們脆弱的供應鏈的。即便物聯網新時代帶來了機器到機器的自動化世界,保護供應鏈關鍵操作和過程的核心,依然是人。
一方面,只要公司雇員或供應鏈合作伙伴雇員繼續淪為網絡釣魚攻擊的受害者,那世界上最智能的安全工具都幫不了你。威瑞森最新《數據泄露調查報告》揭示,去年的數據泄露事件中,有93%之多都出現了網絡釣魚的身影。另外,以粗心大意的雇員為主導的內部人威脅,導致了28%的數據泄露事件發生。
意識、教育和培訓,可以讓雇員為公司及供應鏈合作伙伴的安全態勢帶來非常積極的影響。不妨通過各種渠道設置補充培訓項目,改善供應鏈中每一個環節的安全狀況。眼下或許還被視為主要安全風險的人,只要有了正確的方法,也會轉變為強有力的第一道防線,有助于構筑和測試響應計劃,在威脅演變為重大事件之前就識別出來,并在攻擊已侵入的情況下提升恢復速度。
經過培訓的員工就是有了能力加持的員工。有了經過安全教育的人在需要的時候做出正確決策,你便有了在虛擬的安全及能力鏈中保護自家公司及上下游公司的能力。這是僅使用各種工具所不能得的超高投資回報。