隨著企業對技術和連接性的依賴日益增加,以及對第三方的普遍依賴,供應鏈攻擊變得越來越普遍。這些攻擊旨在通過供應商和商業伙伴損害企業。
供應鏈攻擊可能對企業和組織構成重大威脅,因為它們可能危及它們的安全以及向客戶提供的產品和服務的安全。
在本文中,我們將探討供應鏈攻擊的現象,它們是什么,供應鏈攻擊是如何發生的,一些著名的攻擊案例,以及組織如何采取措施保護自己免受這些威脅,并如何選擇供應商。
什么是供應鏈攻擊
供應鏈攻擊是由惡意行為者針對一個或多個組織在產品或服務供應鏈中進行的惡意行為。
這些攻擊可以通過多種方法進行,包括在供應鏈的某一部分中滲透惡意軟件或勒索軟件,在供應商提供的產品或服務中植入惡意硬件或軟件組件,或在供應鏈各方之間傳輸數據期間截獲敏感信息。
供應鏈攻擊對企業來說是一個特別嚴重的威脅,因為它們可能危及向客戶提供的產品和服務的安全。例如,針對醫療設備制造商的供應鏈攻擊可能會危及設備本身的安全,從而危及患者的健康。
總之,想要攻擊大公司的網絡犯罪分子,可能會利用其供應商IT基礎設施中的安全漏洞來實施攻擊。
如何選擇服務供應商
在選擇供應商并降低供應鏈攻擊風險方面,有幾件事情可以進行監控。主要可能包括:
- 信息安全:在選擇供應商之前,評估其保護自身計算機系統和敏感數據免受潛在攻擊的能力非常重要。應該評估供應商采取的信息安全措施,如使用加密、密碼管理、防火墻安全、備份政策和訪問管理。
- 安全認證和標準:符合如ISO 27001、SOC 2和PCI DSS等安全標準和認證的供應商,通常在信息安全方面更可靠。確保供應商具有適當的認證是其對安全關注的良好指標。
- 供應商歷史:檢查供應商的聲譽和可靠性很重要,以了解其歷史和記錄。應該尋找有關以前安全違規的信息,以及供應商如何處理這些情況。
- 風險評估:對每個供應商進行供應鏈攻擊風險評估很重要。例如,使用更舊(技術過時)或不太安全的技術的供應商可能構成更大的風險。
- 供應商的安全政策:供應商應該有堅實且文件化的安全政策,明確保障供應鏈安全的程序。
- 數據保護:供應商應該使用數據保護措施,如加密,以在傳輸和存儲期間保護客戶的敏感信息。
總之,選擇一個可靠和經驗豐富的供應商,具有良好的聲譽、適當的安全標準、積極的記錄和文件化的安全政策,可以幫助降低遭受供應鏈攻擊的風險。
合同級別和控制的重要性
企業可以采取多種措施保護自己免受供應鏈攻擊。首先,企業需要進行風險評估,以識別供應鏈中的薄弱環節,并制定風險緩解計劃。企業可以采取的一些具體措施包括:
- 供應商審核:企業應該審核自身供應商的安全性和聲譽。企業應該有流程來驗證供應商的身份及其安全政策。
- 合同:企業應該在與供應商的合同中包含安全條款。這些條款應該定義各方對數據和系統安全的責任。
- 供應鏈監控:企業應該不斷監控自己的供應鏈,以識別任何可疑活動。這可能包括使用威脅監控軟件和先進的安全解決方案。
合同中安全措施的重要性
保護自己免受供應鏈攻擊最重要的事情之一是在委托人和供應商之間通過合同確立特定的安全要求,并執行特定的遞歸控制,以驗證這些要求的實施適當性。
顯然,將被包含在合同中的安全要求需要通過對所簽合同的服務進行特定的風險分析來確定。
在合同中加入特定刑罰條款,針對未實施安全要求的行為,可以為供應商提供強大的激勵,以在提供給委托人的IT基礎設施上實施正確的網絡安全。
合同中的安全措施對于保護供應鏈至關重要。然而,它們的有效性取決于企業執行這些條款的能力。委托人進行的控制活動至關重要,以確保供應商遵守安全條款,并且企業的數據和系統得到適當保護。
此外,第三方企業也應該不斷監控自己的系統和網絡,以識別任何可疑活動,并采取預防措施以降低供應鏈攻擊的風險。這可能包括使用威脅監控軟件和先進的安全解決方案。
總之,保護供應鏈是所有企業的一個關鍵挑戰。然而,通過采取和及時監控適當的安全措施,企業可以降低攻擊風險,并確保適當的安全水平。
最著名的供應鏈攻擊是什么
供應鏈攻擊在近年來變得越來越普遍,多個安全報告報告了這類攻擊的日益增長威脅。
一個最近的著名供應鏈攻擊是涉及Kaseya公司的勒索軟件攻擊,Kaseya是一家美國IT管理軟件公司。在2021年夏天,一個名為REvil的俄羅斯網絡犯罪團伙利用Kaseya解決方案中的一個零日漏洞,在軟件更新包中引入了勒索軟件有效載荷。
一旦所有客戶下載了軟件更新,勒索軟件就傳播到了Kaseya的數百個客戶。這次攻擊對許多企業造成了巨大損害,包括醫院、醫療中心、政府機構和各種規模的企業,但也讓人們意識到了這種類型的網絡攻擊的重要性。
更早之前,另一個著名的供應鏈攻擊是針對SolarWinds公司的攻擊,SolarWinds是一家美國網絡管理系統軟件公司。在2020年,一群未知的攻擊者破壞了SolarWinds的更新軟件,將一個名為SUNBURST的惡意軟件插入到分發給SolarWinds客戶的更新包中。
這次攻擊破壞了多個美國政府機構和遍布全球的許多其他組織。
另一個著名的攻擊是涉及CCleaner軟件的攻擊。在2017年,一群攻擊者破壞了由網絡安全公司Avast分發的系統注冊表清理軟件CCleaner。攻擊者利用這個后門向全世界的多個CCleaner用戶分發了惡意軟件。
——torch._dynamo.optimize)
引用)
