什么是供应链风险?
供应链风险有多种形式,从勒索软件和数据盗窃到拒绝服务(DDoS)和欺诈。它们可能影响传统供应商,如专业服务公司(律师、会计师等)或商业软件供应商。攻击者还可以攻击托管服务提供商(MSP),因为通过以这种方式攻击单个企业,他们可以获得对大量潜在客户的访问。
以下是供应链网络攻击的一些主要类型及其发生方式:
受损的专有软件: 网络犯罪分子越来越大胆,在某些情况下,他们能够找到一种方法来破坏软件开发人员,并将恶意软件插入到随后交付给下游客户的代码中。如 Kaseya 勒索软件活动。在最近的一个案例中,常用的文件传输软件 MOVEit 受到0day漏洞和数百名企业用户被盗数据的破坏,影响了数百万客户。与此同时,对 3CX 通信软件的攻击作为第一个公开记录的事件被关注,其中一次供应链攻击导致另一次供应链攻击。
开源供应链攻击:大多数开发人员使用开源组件来加速他们软件项目的上市时间。网络罪犯意识到了这一点,并开始在组件中插入恶意软件,并在流行的存储库中提供给用户。一份报告称,这类攻击同比增长了633%。网络犯罪分子还利用开源漏洞,然后再给用户打补丁。如在一个几乎无处不在的工具Log4j中发现一个严重缺陷。
供应商欺诈:被称为“商业电子邮件妥协”(BEC)的复杂攻击有时涉及欺诈者伪装成供应商,欺骗客户转移资金。攻击者通常会劫持一方或另一方的电子邮件账户,监视电子邮件的流动,直到时机成熟时才会介入,发送一张伪造的银行信息发票。
凭证盗窃:攻击者窃取供应商的用户名,试图破坏他们或他们的客户的身份(他们可以访问这些客户的网络)。这就是 2013 年大规模 Target 漏洞中发生的事情,当时攻击者窃取了其 HVAC 供应商之一的凭据。
数据盗窃:许多供应商存储客户的敏感数据,尤其是像律师事务所这样了解公司机密的公司。对于那些寻求通过勒索或其他方式将信息货币化的威胁行为者来说,它们是一个有吸引力的目标。
如何评估和降低供应商风险?
管理开发风险。 这可能意味着使用软件组成分析 (SCA) 工具来了解开源软件组件,同时持续扫描漏洞和恶意软件,并快速修补任何错误。此外,还要确保开发团队在开发产品时了解安全设计的重要性,并在开发期间使用静态代码检测工具(SAST)检测代码安全。
对所有供应商进行风险审查。首先了解供应商是谁,并检查他们是否有基本的安全措施——将分析扩展到供应商本身的供应链。经常进行审计,检查他们是否符合行业标准和法规。
维护所有已批准供应商的名单,并根据审核结果定期更新。定期审核和更新供应商名册将使组织能够进行彻底的风险评估,识别潜在的漏洞,并确保供应商符合网络安全标准。
为供应商制定正式政策,概述降低供应商风险的要求,包括必须满足的服务水平协议。因此,它是一份基础文件,概述了供应商必须遵守的期望、标准和程序,以确保整个供应链的安全。
管理供应商的访问风险。当供应商需要访问公司网络时,应用最小特权原则。这可以作为零信任方法的一部分来实现,在零信任方法中,所有用户和设备在经过验证之前都是不受信任的,持续的身份验证和网络监控增加了额外的风险缓解层。
制定事件响应计划。在最坏的情况下,确保有一个经过验证的计划,在威胁有机会影响组织之前遏制它。
考虑实施行业标准。ISO 27001等标准有许多有用的方法来完成上面列出的一些步骤,以最大限度地减少供应商的风险。
参读链接:
