确保供应链的网络弹性的方法

在数字化的现代时代,供应链网络攻击的威胁日益严重,对各行各业和各个规模的组织构成了即将到来且隐蔽的威胁。去年,供应链攻击占所有违规行为的19%,显示出其惊人的威力。进入2023年,像三月份臭名昭著的3CX黑客攻击这样的重大事件进一步证明了加强供应链网络安全的必要性。

那么,是什么让供应链成为攻击者的诱人目标呢?云技术的增长和数字化先导战略的采用使得供应链变得越来越复杂和相互关联。这些外部实体往往具有不同水平的网络安全实践,为网络犯罪分子提供了多个入口点来利用和发动攻击。

最近,开源代码和第三方API为攻击者提供了软件供应链攻击的新后门。事实上,这种威胁如此普遍,以至于根据Gartner的数据,到2025年,45%的组织将成为软件供应链攻击的受害者。

供应链攻击的严重性

当今供应链的错综复杂性使其成为一个多米诺效应,波及多个组织和行业。任何一部分链条的成功破坏都可能在整个供应链中产生连锁反应,影响生产、交货时间表和整体业务连续性,导致重大财务损失。

不幸的是,这种攻击的后果远不止财务损失。客户、合作伙伴和股东对公司保护其数据的能力寄予了极大的信任。一次成功的攻击可以破坏这种信任,玷污公司的声誉,甚至可能导致法律后果。知识产权的丧失可能阻碍创新,并危及组织的竞争优势。

此外,对包括关键基础设施或政府机构在内的供应链进行网络攻击可能会带来国家安全的影响。对重要服务的潜在破坏会对公共安全和国家的整体稳定性造成风险。

了解攻击的构造

为了应对和减轻这些攻击,了解它们的起因至关重要。与典型的数据泄露不同,供应链黑客攻击往往更加复杂。

攻击者通常会寻找并集中于供应链中最薄弱的环节来开始攻击。通常,这些环节是较小的供应商或缺乏健全的安全措施的合作伙伴,它们提供了一个较少抵抗的入口点。

攻击者进行首次入侵的方式有多种。最常见的方法包括发起钓鱼诈骗或社交工程攻击以获取凭证。然而,还有其他一些拒绝服务攻击的情况,甚至利用云漏洞的情况也并非罕见。一旦攻击者在供应商的系统中立足,他们会探索和利用漏洞在网络中横向移动。他们可能利用未修补的软件漏洞、弱访问控制或配置错误的系统来提升权限并进一步深入渗透。

在获得关键数据和系统访问权限后,攻击者有两个主要目标:窃取或勒索敏感数据,或者扣押重要数据并要求支付赎金以换取其释放。

为了避免被发现,攻击者会仔细清除日志并掩盖他们的活动。组织可能无法确定攻击的起源或程度,直到为时已晚。一次平均的供应链攻击需要大约235天(近八个月)才被发现。

确保供应链的网络弹性

业务领导者必须采取积极的、多层次的网络安全措施,以避免和防御供应链网络攻击的风险。

首要行动是进行供应商风险评估。在供应商选择过程中优先考虑网络安全。进行彻底的尽职调查,评估潜在合作伙伴的安全实践、事件响应能力以及对行业标准和法规的遵守程度。只有当每个环节都在自身方面得到加强时,才能构建一个弹性的供应链。

鉴于2019年至2022年软件供应链攻击增长了742%,与软件供应商合作以增强软件供应链的安全性也是至关重要的。实施强大的代码签名实践,进行安全的软件开发生命周期(SDLC)实践,并定期验证软件更新的完整性。

了解攻击的最可能来源有助于有效地减轻其影响。采用下一代防火墙可以显著降低遭受拒绝服务攻击的机会,而漏洞扫描是应对云端或数据库漏洞的最佳策略。然而,大多数这类攻击是通过钓鱼或社交工程入侵开始的,而安全意识是最有效的防范措施。

不需要多加推崇,实施终端安全和管理解决方案是至关重要的。终端设备是组织网络的关键入口,因此必须具备强大的保护和实时可见性,以监控其活动。理想的解决方案组合应包括用于管理的统一终端管理(UEM)解决方案和用于安全的终端保护平台(EPP)。

拥抱“零信任”模型。在零信任架构中,所有网络活动都被自动视为威胁。只有在每个连接请求符合一组准则后,才被授予对敏感数据和资源的访问权限。许可也不是永久性的,而是不断进行评估。此外,组织可以强制执行严格的访问控制、最小权限原则和多因素身份验证,以限制攻击者的横向移动,并限制对关键系统的访问。

最后,加强持续监控和主动威胁搜寻实践,以便检测供应链中的异常和潜在威胁。及时的检测和响应可以显著减少攻击的影响。在这种情况下,扩展检测和响应(EDR)解决方案、安全事件和事件管理(SIEM)解决方案以及漏洞扫描等工具都能提供巨大的帮助。

供应链上的网络攻击对全球企业构成严重风险。企业领导者必须明白,可持续增长和竞争优势依赖于强大而安全的供应链。通过实施积极主动的策略、鼓励透明的合作伙伴关系,并采用创新的安全措施,组织可以成功抵御供应链网络攻击,保护自己的声誉,并塑造在日益相互连接的领域中的未来。

(0)
上一篇 2023年8月31日 下午3:24
下一篇 2023年9月7日 下午7:45

相关推荐

  • 用社区和开发者工具驱动软件供应链安全治理

    本文整理自 OSCS 软件供应链安全技术论坛- 章华鹏老师开场致辞的分享内容。 章华鹏,十二年的企业安全建设、安全社区白帽子、开发者,先后在百度、贝壳负责过企业安全建设 ,也在乌云负责过安全产品,业余时间活跃于安全技术社区,帮助企业、开源项目、软件公司解决过数百个严重安全问题,现在负责墨菲安全和 OSCS 社区,专注于软件供应链安全方向。 软件供应链安全的概…

    2023年8月9日
    0
  • 如何解决软件供应链的安全问题?

    作者:TOMISLAV PERICIN 对于组织来说,更多地了解他们所依赖的软件供应链以及保护它们所需的步骤至关重要。在过去几年中,我们看到恶意行为者利用软件供应链中的漏洞来促进对组织的攻击。但是,重要的是要记住,这些攻击并不是一个新现象。事实上,它们已经存在了几十年。因此,保护我们所依赖的软件的需求并不新鲜,尽管业界将注意力转向这个问题。 软件供应链攻击也…

    2023年9月7日
    0
  • 近期大型攻防演练观感及未来攻防趋势判断

    先说结论 今年大型攻防演练的观感: 1. 大量的国产商业软件供应链厂商的大量商业软件0day被用来攻击(以安全产品、OA、cms、办公软件为主) 2. 社工+钓鱼又玩出了新花样(红队这帮人估计去电诈团队培训回来的?) 3. 开源软件的Nday/0day漏洞及投毒仍然很实用(更多是Nday漏洞有更成熟的利用工具用来打点和内网渗透)未来攻防趋势判断: 1. 未来…

    2023年8月21日
    0
  • 软件完整性保护方案之Sigstore

    背景 SolarWinds Orion 软件更新包在2020年底被黑客植入后门,此次攻击事件波及范围极大,包括美国政府部门、关键基础设施以及多家全球500强企业,影响难以估计。如果用户能确认软件来源是可信的 SolarWinds 官方,这次事件可能可以避免。 为了确认软件的来源和构建方式,实现完整性保护,Linux基金会联合Red Hat、Google 和 …

    2023年8月9日
    0
  • 如何排查软件中的使用的开源组件清单?

    软件中为什么会依赖开源组件? 在软件开发的过程中,我们往往会使用一些第三方或者开源的组件,来提供一些基础的功能或者服务,从而简化开发工作,提高效率和质量。例如,我们可能会使用 Apache Commons、Spring Boot、jQuery 等开源组件来实现一些常见的操作,如字符串处理、Web 开发、DOM 操作等。 使用开源组件的好处是显而易见的,它们可…

    2023年8月9日
    0