2023年06月17日
加強網絡安全是防止網絡攻擊的最佳方式,但這并不總能阻止黑客占上風。攻擊者現在已經將矛頭轉向供應鏈攻擊,通過瞄準組織供應鏈中最薄弱的環節,以侵入目標組織的公司網絡。
那么,究竟什么是供應鏈攻擊,它是如何運行的,以及如何防止供應鏈攻擊?
供應鏈攻擊是一種網絡攻擊形式,通過利用企業供應鏈(如第三方軟件、硬件、服務和供應商)中的漏洞來達到攻擊企業的惡意目的。
組織可以加強自身的安全性,但如果其供應商的網絡安全狀況不佳,那么其自身也可能淪為攻擊者的目標。因為一旦進入供應商的網絡,威脅行為者就可以嘗試訪問目標組織的網絡。
供應鏈攻擊利用的是組織與其外部合作伙伴之間的信任關系。這些關系包括供應商關系、合作伙伴關系或第三方軟件的使用。
供應鏈攻擊的運作原理一般是這樣的:
威脅行為者會選擇一個他們想要攻擊的公司。攻擊目標可以是小公司、大公司或政府機構。
威脅行為者識別目標公司供應鏈網絡中的漏洞。例如,目標公司的供應商可能一直在使用未打補丁的軟件。
威脅行為者利用漏洞并在員工的計算機上安裝惡意軟件。
一旦供應商被感染,威脅行為者便會試圖通過橫向移動訪問連接的目標公司的敏感數據。此外,攻擊者還可以在目標公司的設備上安裝惡意代碼。
威脅行為者還可以使用各種類型的網絡釣魚攻擊,來欺騙第三方供應商的員工泄露連接到目標公司的供應商信息系統的登錄憑據。然后,威脅行為者便可以使用這些憑證來竊取或加密目標公司的數據,進而實施勒索攻擊等惡意操作。
在軟件供應鏈攻擊中,威脅行為者通過探索流行的第三方軟件程序中的漏洞,更改源代碼并將惡意軟件隱藏在這些軟件程序的構建和更新過程中。當受害者安裝或更新這種受感染的軟件程序時,其設備就會被感染。
以下是供應鏈攻擊正在上升的主要原因:
公司越來越多地使用任何人都可以檢查或修改的開源軟件程序。
依賴于供應商提供的應用程序增加了供應鏈風險,因為一些供應商在設計應用程序時可能沒有遵循安全最佳實踐。
惡意軟件正變得越來越復雜,這使得在供應鏈中檢測到它們變得越來越困難。
許多公司尚未部署零信任模型。
最后且最關鍵的是,人為錯誤是不可避免的。如今,惡意行為者正在設計日益復雜的社會工程策略,欺騙第三方用戶共享登錄憑據,以攻擊與第三方有關聯的組織。
考慮到供應鏈的復雜性、缺乏可見性和攻擊技術的多樣性,檢測和防止供應鏈攻擊通常是極具挑戰性的。
下面有一些方法可以提高組織防止供應鏈攻擊的可能性。
1. 對供應商進行盡職調查
在為組織選擇供應商或第三方服務提供商時,應該仔細調查他們的背景,以確保組織選擇了正確的合作伙伴,他們會認真對待網絡安全問題。
供應商和第三方服務提供商評估應包括評估其安全實踐、與行業標準的遵從性、過去的跟蹤記錄以及對安全更新和補丁的實現。
與具有強大安全態勢的供應商合作可以減少組織通過供應鏈成為攻擊目標的可能性。
2. 實現零信任模型
實現零信任安全體系結構(zero-trust security architecture, ZTA)是防止供應鏈攻擊的一種可靠的安全控制手段。在ZTA中,應用了“永不信任,始終驗證”的原則。
所有用戶(無論是在組織的網絡內部還是外部)在被授予或保持對組織的應用程序和數據的訪問權之前,都必須經過身份驗證、授權和持續的安全配置驗證。
因此,威脅行為者將無法實現橫向移動,從而最小化攻擊的爆炸半徑。此外,零信任安全模型也可以防止勒索軟件攻擊。
3. 遵循最低權限訪問原則
給員工、合作伙伴和第三方過多的特權很容易招致災難。
假設威脅行為者成功地破壞了組織的供應商或合作伙伴的系統。在這種情況下,如果受感染的供應商擁有過多的訪問權限,那么他們可以很容易地到達組織的網絡。
因此,建議實行最少特權原則,給員工和合作伙伴最少的訪問機會。
4. 實施蜜標(Honeytoken)
蜜標(Honey Token)是一種用于引誘和追蹤而不是用于任何常規生產目的帶有特殊標記的數字實體。例如:文本文件、數據庫記錄、登錄憑證等。蜜標具有以下特點:
蜜標必須是特有的,能夠很容易與其他資源進行區分,以避免誤報;
蜜標必須具有高度靈活性,可以在攻擊過程的任意環節中作為誘餌進行誘導;
蜜標必須具有可追蹤性,用于識別細粒度的攻擊操作,例如:敏感信息的讀取、傳遞和擴散等。
實施蜜標可以顯著降低供應鏈風險,因為蜜標是吸引黑客的數據誘餌。當它們與數據交互時,組織將會收到數據泄露警報。此外,蜜標還可以幫助組織收集泄露方法的詳細信息,以此來改進公司的安全管理策略。
5. 實現網絡分段
網絡分段可以將組織的網絡劃分為作為獨立網絡工作的更小的段。這是最小化供應鏈攻擊影響的絕佳方法。
因此,使用網絡分段將組織的網絡根據其業務功能劃分為更小的區域,可以確保在任何供應鏈攻擊事件中,只有一部分網絡會受到影響,其余網絡將受到保護。
6. 監控供應商的網絡
監控第三方攻擊面是識別漏洞的有效方法,攻擊者可以利用這些漏洞進行供應鏈攻擊。因此,建議組織實施第三方風險管理來保護自身的數據和應用程序安全。
7. 最小化影子IT安全威脅
影子IT指的是組織員工在未經公司IT部門批準的情況下使用設備、工具和軟件。
如果組織沒有制定嚴格的影子IT規則來管理網絡威脅,那么員工很可能會安裝含有惡意代碼的流行第三方軟件程序,從而損害組織的寶貴資產。
因此,建議對所有的商用設備進行強制注冊,禁止所有用戶自行安裝任何軟件。此外,還應該對所有連接設備實施持續監控,以檢測從受損的供應鏈中執行的分布式拒絕服務(DDoS)攻擊。
8. 使用特定網絡安全工具
組織應該投資行業最佳的安全工具來改善公司的安全狀況。不要只考慮防火墻和殺毒軟件,還應該使用專用的供應鏈安全工具,如SAP供應鏈管理(SAP SCM)軟件來提高供應鏈的安全性。
9. 培訓員工和供應商
教育員工和供應商對于改善供應鏈安全而言具有很重要的意義。
通過向組織員工和供應商提供全面的網絡安全意識培訓計劃,以可以告知他們不同類型的網絡攻擊以及如何識別和報告可疑活動。值得注意的是,組織的網絡安全意識培訓計劃應重點關注網絡釣魚攻擊、社會工程攻擊、各種類型的惡意軟件攻擊和密碼攻擊。
不過,培訓材料的確切內容取決于組織的威脅狀況和風險評估結果。
來源:嘶吼專業版