2023年06月17日
加強(qiáng)網(wǎng)絡(luò)安全是防止網(wǎng)絡(luò)攻擊的最佳方式,但這并不總能阻止黑客占上風(fēng)。攻擊者現(xiàn)在已經(jīng)將矛頭轉(zhuǎn)向供應(yīng)鏈攻擊,通過瞄準(zhǔn)組織供應(yīng)鏈中最薄弱的環(huán)節(jié),以侵入目標(biāo)組織的公司網(wǎng)絡(luò)。
那么,究竟什么是供應(yīng)鏈攻擊,它是如何運(yùn)行的,以及如何防止供應(yīng)鏈攻擊?
供應(yīng)鏈攻擊是一種網(wǎng)絡(luò)攻擊形式,通過利用企業(yè)供應(yīng)鏈(如第三方軟件、硬件、服務(wù)和供應(yīng)商)中的漏洞來達(dá)到攻擊企業(yè)的惡意目的。
組織可以加強(qiáng)自身的安全性,但如果其供應(yīng)商的網(wǎng)絡(luò)安全狀況不佳,那么其自身也可能淪為攻擊者的目標(biāo)。因?yàn)橐坏┻M(jìn)入供應(yīng)商的網(wǎng)絡(luò),威脅行為者就可以嘗試訪問目標(biāo)組織的網(wǎng)絡(luò)。
供應(yīng)鏈攻擊利用的是組織與其外部合作伙伴之間的信任關(guān)系。這些關(guān)系包括供應(yīng)商關(guān)系、合作伙伴關(guān)系或第三方軟件的使用。
供應(yīng)鏈攻擊的運(yùn)作原理一般是這樣的:
威脅行為者會(huì)選擇一個(gè)他們想要攻擊的公司。攻擊目標(biāo)可以是小公司、大公司或政府機(jī)構(gòu)。
威脅行為者識(shí)別目標(biāo)公司供應(yīng)鏈網(wǎng)絡(luò)中的漏洞。例如,目標(biāo)公司的供應(yīng)商可能一直在使用未打補(bǔ)丁的軟件。
威脅行為者利用漏洞并在員工的計(jì)算機(jī)上安裝惡意軟件。
一旦供應(yīng)商被感染,威脅行為者便會(huì)試圖通過橫向移動(dòng)訪問連接的目標(biāo)公司的敏感數(shù)據(jù)。此外,攻擊者還可以在目標(biāo)公司的設(shè)備上安裝惡意代碼。
威脅行為者還可以使用各種類型的網(wǎng)絡(luò)釣魚攻擊,來欺騙第三方供應(yīng)商的員工泄露連接到目標(biāo)公司的供應(yīng)商信息系統(tǒng)的登錄憑據(jù)。然后,威脅行為者便可以使用這些憑證來竊取或加密目標(biāo)公司的數(shù)據(jù),進(jìn)而實(shí)施勒索攻擊等惡意操作。
在軟件供應(yīng)鏈攻擊中,威脅行為者通過探索流行的第三方軟件程序中的漏洞,更改源代碼并將惡意軟件隱藏在這些軟件程序的構(gòu)建和更新過程中。當(dāng)受害者安裝或更新這種受感染的軟件程序時(shí),其設(shè)備就會(huì)被感染。
以下是供應(yīng)鏈攻擊正在上升的主要原因:
公司越來越多地使用任何人都可以檢查或修改的開源軟件程序。
依賴于供應(yīng)商提供的應(yīng)用程序增加了供應(yīng)鏈風(fēng)險(xiǎn),因?yàn)橐恍┕?yīng)商在設(shè)計(jì)應(yīng)用程序時(shí)可能沒有遵循安全最佳實(shí)踐。
惡意軟件正變得越來越復(fù)雜,這使得在供應(yīng)鏈中檢測(cè)到它們變得越來越困難。
許多公司尚未部署零信任模型。
最后且最關(guān)鍵的是,人為錯(cuò)誤是不可避免的。如今,惡意行為者正在設(shè)計(jì)日益復(fù)雜的社會(huì)工程策略,欺騙第三方用戶共享登錄憑據(jù),以攻擊與第三方有關(guān)聯(lián)的組織。
考慮到供應(yīng)鏈的復(fù)雜性、缺乏可見性和攻擊技術(shù)的多樣性,檢測(cè)和防止供應(yīng)鏈攻擊通常是極具挑戰(zhàn)性的。
下面有一些方法可以提高組織防止供應(yīng)鏈攻擊的可能性。
1. 對(duì)供應(yīng)商進(jìn)行盡職調(diào)查
在為組織選擇供應(yīng)商或第三方服務(wù)提供商時(shí),應(yīng)該仔細(xì)調(diào)查他們的背景,以確保組織選擇了正確的合作伙伴,他們會(huì)認(rèn)真對(duì)待網(wǎng)絡(luò)安全問題。
供應(yīng)商和第三方服務(wù)提供商評(píng)估應(yīng)包括評(píng)估其安全實(shí)踐、與行業(yè)標(biāo)準(zhǔn)的遵從性、過去的跟蹤記錄以及對(duì)安全更新和補(bǔ)丁的實(shí)現(xiàn)。
與具有強(qiáng)大安全態(tài)勢(shì)的供應(yīng)商合作可以減少組織通過供應(yīng)鏈成為攻擊目標(biāo)的可能性。
2. 實(shí)現(xiàn)零信任模型
實(shí)現(xiàn)零信任安全體系結(jié)構(gòu)(zero-trust security architecture, ZTA)是防止供應(yīng)鏈攻擊的一種可靠的安全控制手段。在ZTA中,應(yīng)用了“永不信任,始終驗(yàn)證”的原則。
所有用戶(無論是在組織的網(wǎng)絡(luò)內(nèi)部還是外部)在被授予或保持對(duì)組織的應(yīng)用程序和數(shù)據(jù)的訪問權(quán)之前,都必須經(jīng)過身份驗(yàn)證、授權(quán)和持續(xù)的安全配置驗(yàn)證。
因此,威脅行為者將無法實(shí)現(xiàn)橫向移動(dòng),從而最小化攻擊的爆炸半徑。此外,零信任安全模型也可以防止勒索軟件攻擊。
3. 遵循最低權(quán)限訪問原則
給員工、合作伙伴和第三方過多的特權(quán)很容易招致災(zāi)難。
假設(shè)威脅行為者成功地破壞了組織的供應(yīng)商或合作伙伴的系統(tǒng)。在這種情況下,如果受感染的供應(yīng)商擁有過多的訪問權(quán)限,那么他們可以很容易地到達(dá)組織的網(wǎng)絡(luò)。
因此,建議實(shí)行最少特權(quán)原則,給員工和合作伙伴最少的訪問機(jī)會(huì)。
4. 實(shí)施蜜標(biāo)(Honeytoken)
蜜標(biāo)(Honey Token)是一種用于引誘和追蹤而不是用于任何常規(guī)生產(chǎn)目的帶有特殊標(biāo)記的數(shù)字實(shí)體。例如:文本文件、數(shù)據(jù)庫(kù)記錄、登錄憑證等。蜜標(biāo)具有以下特點(diǎn):
蜜標(biāo)必須是特有的,能夠很容易與其他資源進(jìn)行區(qū)分,以避免誤報(bào);
蜜標(biāo)必須具有高度靈活性,可以在攻擊過程的任意環(huán)節(jié)中作為誘餌進(jìn)行誘導(dǎo);
蜜標(biāo)必須具有可追蹤性,用于識(shí)別細(xì)粒度的攻擊操作,例如:敏感信息的讀取、傳遞和擴(kuò)散等。
實(shí)施蜜標(biāo)可以顯著降低供應(yīng)鏈風(fēng)險(xiǎn),因?yàn)槊蹣?biāo)是吸引黑客的數(shù)據(jù)誘餌。當(dāng)它們與數(shù)據(jù)交互時(shí),組織將會(huì)收到數(shù)據(jù)泄露警報(bào)。此外,蜜標(biāo)還可以幫助組織收集泄露方法的詳細(xì)信息,以此來改進(jìn)公司的安全管理策略。
5. 實(shí)現(xiàn)網(wǎng)絡(luò)分段
網(wǎng)絡(luò)分段可以將組織的網(wǎng)絡(luò)劃分為作為獨(dú)立網(wǎng)絡(luò)工作的更小的段。這是最小化供應(yīng)鏈攻擊影響的絕佳方法。
因此,使用網(wǎng)絡(luò)分段將組織的網(wǎng)絡(luò)根據(jù)其業(yè)務(wù)功能劃分為更小的區(qū)域,可以確保在任何供應(yīng)鏈攻擊事件中,只有一部分網(wǎng)絡(luò)會(huì)受到影響,其余網(wǎng)絡(luò)將受到保護(hù)。
6. 監(jiān)控供應(yīng)商的網(wǎng)絡(luò)
監(jiān)控第三方攻擊面是識(shí)別漏洞的有效方法,攻擊者可以利用這些漏洞進(jìn)行供應(yīng)鏈攻擊。因此,建議組織實(shí)施第三方風(fēng)險(xiǎn)管理來保護(hù)自身的數(shù)據(jù)和應(yīng)用程序安全。
7. 最小化影子IT安全威脅
影子IT指的是組織員工在未經(jīng)公司IT部門批準(zhǔn)的情況下使用設(shè)備、工具和軟件。
如果組織沒有制定嚴(yán)格的影子IT規(guī)則來管理網(wǎng)絡(luò)威脅,那么員工很可能會(huì)安裝含有惡意代碼的流行第三方軟件程序,從而損害組織的寶貴資產(chǎn)。
因此,建議對(duì)所有的商用設(shè)備進(jìn)行強(qiáng)制注冊(cè),禁止所有用戶自行安裝任何軟件。此外,還應(yīng)該對(duì)所有連接設(shè)備實(shí)施持續(xù)監(jiān)控,以檢測(cè)從受損的供應(yīng)鏈中執(zhí)行的分布式拒絕服務(wù)(DDoS)攻擊。
8. 使用特定網(wǎng)絡(luò)安全工具
組織應(yīng)該投資行業(yè)最佳的安全工具來改善公司的安全狀況。不要只考慮防火墻和殺毒軟件,還應(yīng)該使用專用的供應(yīng)鏈安全工具,如SAP供應(yīng)鏈管理(SAP SCM)軟件來提高供應(yīng)鏈的安全性。
9. 培訓(xùn)員工和供應(yīng)商
教育員工和供應(yīng)商對(duì)于改善供應(yīng)鏈安全而言具有很重要的意義。
通過向組織員工和供應(yīng)商提供全面的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃,以可以告知他們不同類型的網(wǎng)絡(luò)攻擊以及如何識(shí)別和報(bào)告可疑活動(dòng)。值得注意的是,組織的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)計(jì)劃應(yīng)重點(diǎn)關(guān)注網(wǎng)絡(luò)釣魚攻擊、社會(huì)工程攻擊、各種類型的惡意軟件攻擊和密碼攻擊。
不過,培訓(xùn)材料的確切內(nèi)容取決于組織的威脅狀況和風(fēng)險(xiǎn)評(píng)估結(jié)果。
來源:嘶吼專業(yè)版