供應鏈攻擊頻繁帶來行業“地震” ,亞信安全“零信任+XDR”為供應鏈保駕護航
責編:gltian |2022-02-22 13:33:34盡管緊張的形勢有所放緩,但是全球供應鏈仍未從疫情的危機中徹底走出,供應短缺事件在各個行業頻繁發生,這也凸顯了供應鏈的脆弱。盯上供應鏈的還有網絡攻擊:近年來,供應鏈攻擊事件呈現爆發增長的態勢,歐洲網絡和信息安全局發布的《供應鏈攻擊的威脅分析》報告指出,眼下攻擊者已經將注意力轉移到供應商上,和2020年相比,2021年供應鏈攻擊已經顯著提升。亞信安全在《2022網絡安全發展趨勢及十大威脅預測》中也指出,供應鏈威脅暴增,“安全左移”勢在必行。
那么,對于企業來說,在做好自身安全防護的同時,如何應對愈演愈烈的供應鏈攻擊呢?
頻繁帶來行業“地震”的供應鏈攻擊
顧名思義,供應鏈攻擊指的是對于供應鏈所發動的網絡攻擊,在典型供應鏈攻擊中,攻擊者會將供應鏈作為攻擊對象,先攻擊供應鏈中安全防護相對薄弱的企業,然后再利用供應鏈之間的相互連接(如軟件供應、開源應用)等,將風險擴大至上下游企業,產生攻擊漣漪效應和巨大的破壞性。供應鏈攻擊的手段包括:利用供應商的產品進行注入、利用第三方應用程序、利用開放源代碼庫中包含的漏洞等等。
與其它攻擊形式相比,供應鏈攻擊往往牽涉到更多的企業,且更具破壞性,甚至會給整個行業帶來巨大的影響。
2021年3月,作為全球90%航空公司的通信和IT供應商,國際航空電信公司(SITA)受到供應鏈攻擊,導致多家航空公司的乘客數據被竊取;
2021年7月,REvil勒索軟件團伙利用Kaseya遠程管理軟件發動供應鏈攻擊,波及17個國家,上千家企業和機構,上百萬臺設備被加密……
這些攻擊不僅給涉及到的企業帶來了巨大的損失,而且還對整個供應鏈造成擾動。
之所以供應鏈攻擊愈發肆虐,一方面在于,隨著全球范圍內各個產業的經濟聯系都在日趨緊密,企業的供應鏈正在逐步延長,供應鏈安全形勢更加復雜化,暴露在外的供給面也逐步擴展,這在加大了防護難度的同時,也讓攻擊者更有動力發動以供應鏈為目標的網絡攻擊;另一方面,很多企業長期以來只關注自身網絡安全的防護,而忽略了供應商產品的安全狀況,導致未經過嚴格安全認證與審核的訪問進入企業,帶來巨大風險。
值得一提的是,隨著企業正在加速擁抱開源社區,企業將更有可能受到開源生態中的供應鏈攻擊所影響。2021年,針對開源軟件的供應鏈攻擊暴增650%,全球的各軟件開發企業累計從開源平臺上引用2萬億的開源軟件包或者組件,其中可能存在大量未經嚴格安全審查的漏洞,一旦這些漏洞隨著開源代碼被引入到企業的軟件之中,攻擊者就有可能同時對大量企業進行攻擊。此外,由于針對開源軟件的供應鏈攻擊的影響面極廣,且漏洞利用的成本較低,漏洞修復時間周期較長,攻擊者還可能將漏洞直接注入到開源代碼中,發動更加主動的攻擊。
亞信安全建議以“零信任+XDR”對抗供應鏈攻擊
供應鏈攻擊之所以很難應對,不僅在于供應商的網絡安全環境非常復雜,還在于攻擊者濫用了供應鏈之間的信任關系,并通過供應鏈關系來挖掘上下游之間的關系,以獲取更多的數據和權限。因此,要應對供應鏈攻擊,一個重中之重便是提高安全審查的門檻,并默認對于所有來自供應鏈的訪問都進行審核。
亞信安全建議在供應鏈合作中,企業應該遵循零信任原則,全面審核供應鏈產品與服務的安全。所有對于系統的訪問都會建立在身份、端點、服務等一系列參與服務的角色,必須得到安全策略一致的驗證和授權之后才能進行。因此,這必將是替代傳統網絡安全架構和防御策略的核心,更是企業未來數字化商業的一個重要基礎。
此外,在供應鏈攻擊中,攻擊者為了最大化攻擊成果,往往都“深謀遠慮”,對于攻擊方式與工具進行了深度定制,因此很有可能會讓企業防不勝防。此外,即使是在“零信任”的框架下,企業依然無法保證所有的供應鏈產品與組件都是安全的,因此提升對于隱藏高級風險的發現能力,并確保從網絡安全攻擊中恢復也至關重要。
針對上述攻擊特征亞信安全的XDR解決方案提供了高效的解決方案,其包括“準備、發現、分析、遏制、消除、恢復、優化”這7個階段。能夠在發現威脅數據之后,將數據集中到本地威脅情報和云端威脅情報做分析,利用機器學習和專家團隊,通過分析黑客進攻的時間、路徑、工具等所有細節,其特征提取出來,再進行遏制、清除、恢復和優化。
防護供應鏈攻擊,嚴格的安全意識與規范必不可少
要更好地防護供應鏈攻擊,除了網絡安全方案與服務之外,還需要員工有嚴格的安全意識,把安全性的評估作為開發過程中的必要評審項。開發環節嚴格遵守開發規范,開發完成的軟硬件發布前,交給獨立的內部或外部測評組織進行安全性評估,及時解決所發現的問題。
此外,企業還需要制定嚴格的安全規范,建立可信的開發環境,這包括選擇安全規范較強開源應用/開源庫、算法等,采購安全可信的軟件外包服務。關注所用組件的安全通告,如被揭露出嚴重安全問題,通過配置或加入其他安全性控制作為緩解措施,必要時升級相關的組件,從而建立完善的使用規范,保障安全的底線。