供应链攻击频繁带来行业“地震” ,亚信安全“零信任+XDR”为供应链保驾护航

尽管紧张的形势有所放缓,但是全球供应链仍未从疫情的危机中彻底走出,供应短缺事件在各个行业频繁发生,这也凸显了供应链的脆弱。盯上供应链的还有网络攻击:近年来,供应链攻击事件呈现爆发增长的态势,欧洲网络和信息安全局发布的《供应链攻击的威胁分析》报告指出,眼下攻击者已经将注意力转移到供应商上,和2020年相比,2021年供应链攻击已经显著提升。亚信安全在《2022网络安全发展趋势及十大威胁预测》中也指出,供应链威胁暴增,“安全左移”势在必行。

那么,对于企业来说,在做好自身安全防护的同时,如何应对愈演愈烈的供应链攻击呢?

频繁带来行业“地震”的供应链攻击

顾名思义,供应链攻击指的是对于供应链所发动的网络攻击,在典型供应链攻击中,攻击者会将供应链作为攻击对象,先攻击供应链中安全防护相对薄弱的企业,然后再利用供应链之间的相互连接(如软件供应、开源应用)等,将风险扩大至上下游企业,产生攻击涟漪效应和巨大的破坏性。供应链攻击的手段包括:利用供应商的产品进行注入、利用第三方应用程序、利用开放源代码库中包含的漏洞等等。

与其它攻击形式相比,供应链攻击往往牵涉到更多的企业,且更具破坏性,甚至会给整个行业带来巨大的影响。

l 2021年3月,作为全球90%航空公司的通信和IT供应商,国际航空电信公司(SITA)受到供应链攻击,导致多家航空公司的乘客数据被窃取;

l 2021年7月,REvil勒索软件团伙利用Kaseya远程管理软件发动供应链攻击,波及17个国家,上千家企业和机构,上百万台设备被加密……

这些攻击不仅给涉及到的企业带来了巨大的损失,而且还对整个供应链造成扰动。

之所以供应链攻击愈发肆虐,一方面在于,随着全球范围内各个产业的经济联系都在日趋紧密,企业的供应链正在逐步延长,供应链安全形势更加复杂化,暴露在外的供给面也逐步扩展,这在加大了防护难度的同时,也让攻击者更有动力发动以供应链为目标的网络攻击;另一方面,很多企业长期以来只关注自身网络安全的防护,而忽略了供应商产品的安全状况,导致未经过严格安全认证与审核的访问进入企业,带来巨大风险。

值得一提的是,随着企业正在加速拥抱开源社区,企业将更有可能受到开源生态中的供应链攻击所影响。2021年,针对开源软件的供应链攻击暴增650%,全球的各软件开发企业累计从开源平台上引用2万亿的开源软件包或者组件,其中可能存在大量未经严格安全审查的漏洞,一旦这些漏洞随着开源代码被引入到企业的软件之中,攻击者就有可能同时对大量企业进行攻击。此外,由于针对开源软件的供应链攻击的影响面极广,且漏洞利用的成本较低,漏洞修复时间周期较长,攻击者还可能将漏洞直接注入到开源代码中,发动更加主动的攻击。

亚信安全建议以“零信任+XDR”对抗供应链攻击

供应链攻击之所以很难应对,不仅在于供应商的网络安全环境非常复杂,还在于攻击者滥用了供应链之间的信任关系,并通过供应链关系来挖掘上下游之间的关系,以获取更多的数据和权限。因此,要应对供应链攻击,一个重中之重便是提高安全审查的门槛,并默认对于所有来自供应链的访问都进行审核。

亚信安全建议在供应链合作中,企业应该遵循零信任原则,全面审核供应链产品与服务的安全。所有对于系统的访问都会建立在身份、端点、服务等一系列参与服务的角色,必须得到安全策略一致的验证和授权之后才能进行。因此,这必将是替代传统网络安全架构和防御策略的核心,更是企业未来数字化商业的一个重要基础。

此外,在供应链攻击中,攻击者为了最大化攻击成果,往往都“深谋远虑”,对于攻击方式与工具进行了深度定制,因此很有可能会让企业防不胜防。此外,即使是在“零信任”的框架下,企业依然无法保证所有的供应链产品与组件都是安全的,因此提升对于隐藏高级风险的发现能力,并确保从网络安全攻击中恢复也至关重要。

针对上述攻击特征亚信安全的XDR解决方案提供了高效的解决方案,其包括“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段。能够在发现威胁数据之后,将数据集中到本地威胁情报和云端威胁情报做分析,利用机器学习和专家团队,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。

防护供应链攻击,严格的安全意识与规范必不可少

要更好地防护供应链攻击,除了网络安全方案与服务之外,还需要员工有严格的安全意识,把安全性的评估作为开发过程中的必要评审项。开发环节严格遵守开发规范,开发完成的软硬件发布前,交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。

此外,企业还需要制定严格的安全规范,建立可信的开发环境,这包括选择安全规范较强开源应用/开源库、算法等,采购安全可信的软件外包服务。关注所用组件的安全通告,如被揭露出严重安全问题,通过配置或加入其他安全性控制作为缓解措施,必要时升级相关的组件,从而建立完善的使用规范,保障安全的底线。

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )