本文来自微信公众号“嘶吼专业版”,作者/小二郎。
加强网络安全是防止网络攻击的最佳方式,但这并不总能阻止黑客占上风。攻击者现在已经将矛头转向供应链攻击,通过瞄准组织供应链中最薄弱的环节,以侵入目标组织的公司网络。
那么,究竟什么是供应链攻击,它是如何运行的,以及如何防止供应链攻击?
供应链攻击的概念及运行原理
供应链攻击是一种网络攻击形式,通过利用企业供应链(如第三方软件、硬件、服务和供应商)中的漏洞来达到攻击企业的恶意目的。
组织可以加强自身的安全性,但如果其供应商的网络安全状况不佳,那么其自身也可能沦为攻击者的目标。因为一旦进入供应商的网络,威胁行为者就可以尝试访问目标组织的网络。
供应链攻击利用的是组织与其外部合作伙伴之间的信任关系。这些关系包括供应商关系、合作伙伴关系或第三方软件的使用。
供应链攻击的运作原理一般是这样的:
威胁行为者会选择一个他们想要攻击的公司。攻击目标可以是小公司、大公司或政府机构。
威胁行为者识别目标公司供应链网络中的漏洞。例如,目标公司的供应商可能一直在使用未打补丁的软件。
威胁行为者利用漏洞并在员工的计算机上安装恶意软件。
一旦供应商被感染,威胁行为者便会试图通过横向移动访问连接的目标公司的敏感数据。此外,攻击者还可以在目标公司的设备上安装恶意代码。
威胁行为者还可以使用各种类型的网络钓鱼攻击,来欺骗第三方供应商的员工泄露连接到目标公司的供应商信息系统的登录凭据。然后,威胁行为者便可以使用这些凭证来窃取或加密目标公司的数据,进而实施勒索攻击等恶意操作。
在软件供应链攻击中,威胁行为者通过探索流行的第三方软件程序中的漏洞,更改源代码并将恶意软件隐藏在这些软件程序的构建和更新过程中。当受害者安装或更新这种受感染的软件程序时,其设备就会被感染。
供应链攻击不断飙升的原因
以下是供应链攻击正在上升的主要原因:
公司越来越多地使用任何人都可以检查或修改的开源软件程序。
依赖于供应商提供的应用程序增加了供应链风险,因为一些供应商在设计应用程序时可能没有遵循安全最佳实践。
恶意软件正变得越来越复杂,这使得在供应链中检测到它们变得越来越困难。
许多公司尚未部署零信任模型。
最后且最关键的是,人为错误是不可避免的。如今,恶意行为者正在设计日益复杂的社会工程策略,欺骗第三方用户共享登录凭据,以攻击与第三方有关联的组织。
供应链攻击防范建议
考虑到供应链的复杂性、缺乏可见性和攻击技术的多样性,检测和防止供应链攻击通常是极具挑战性的。
下面有一些方法可以提高组织防止供应链攻击的可能性。
1.对供应商进行尽职调查
在为组织选择供应商或第三方服务提供商时,应该仔细调查他们的背景,以确保组织选择了正确的合作伙伴,他们会认真对待网络安全问题。
供应商和第三方服务提供商评估应包括评估其安全实践、与行业标准的遵从性、过去的跟踪记录以及对安全更新和补丁的实现。
与具有强大安全态势的供应商合作可以减少组织通过供应链成为攻击目标的可能性。
2.实现零信任模型
实现零信任安全体系结构(zero-trust security architecture,ZTA)是防止供应链攻击的一种可靠的安全控制手段。在ZTA中,应用了“永不信任,始终验证”的原则。
所有用户(无论是在组织的网络内部还是外部)在被授予或保持对组织的应用程序和数据的访问权之前,都必须经过身份验证、授权和持续的安全配置验证。
因此,威胁行为者将无法实现横向移动,从而最小化攻击的爆炸半径。此外,零信任安全模型也可以防止勒索软件攻击。
3.遵循最低权限访问原则
给员工、合作伙伴和第三方过多的特权很容易招致灾难。
假设威胁行为者成功地破坏了组织的供应商或合作伙伴的系统。在这种情况下,如果受感染的供应商拥有过多的访问权限,那么他们可以很容易地到达组织的网络。
因此,建议实行最少特权原则,给员工和合作伙伴最少的访问机会。
4.实施蜜标(Honeytoken)
蜜标(Honey Token)是一种用于引诱和追踪而不是用于任何常规生产目的带有特殊标记的数字实体。例如:文本文件、数据库记录、登录凭证等。蜜标具有以下特点:
蜜标必须是特有的,能够很容易与其他资源进行区分,以避免误报;
蜜标必须具有高度灵活性,可以在攻击过程的任意环节中作为诱饵进行诱导;
蜜标必须具有可追踪性,用于识别细粒度的攻击操作,例如:敏感信息的读取、传递和扩散等。
实施蜜标可以显著降低供应链风险,因为蜜标是吸引黑客的数据诱饵。当它们与数据交互时,组织将会收到数据泄露警报。此外,蜜标还可以帮助组织收集泄露方法的详细信息,以此来改进公司的安全管理策略。
5.实现网络分段
网络分段可以将组织的网络划分为作为独立网络工作的更小的段。这是最小化供应链攻击影响的绝佳方法。
因此,使用网络分段将组织的网络根据其业务功能划分为更小的区域,可以确保在任何供应链攻击事件中,只有一部分网络会受到影响,其余网络将受到保护。
6.监控供应商的网络
监控第三方攻击面是识别漏洞的有效方法,攻击者可以利用这些漏洞进行供应链攻击。因此,建议组织实施第三方风险管理来保护自身的数据和应用程序安全。
7.最小化影子IT安全威胁
影子IT指的是组织员工在未经公司IT部门批准的情况下使用设备、工具和软件。
如果组织没有制定严格的影子IT规则来管理网络威胁,那么员工很可能会安装含有恶意代码的流行第三方软件程序,从而损害组织的宝贵资产。
因此,建议对所有的商用设备进行强制注册,禁止所有用户自行安装任何软件。此外,还应该对所有连接设备实施持续监控,以检测从受损的供应链中执行的分布式拒绝服务(DDoS)攻击。
8.使用特定网络安全工具
组织应该投资行业最佳的安全工具来改善公司的安全状况。不要只考虑防火墙和杀毒软件,还应该使用专用的供应链安全工具,如SAP供应链管理(SAP SCM)软件来提高供应链的安全性。
9.培训员工和供应商
教育员工和供应商对于改善供应链安全而言具有很重要的意义。
通过向组织员工和供应商提供全面的网络安全意识培训计划,以可以告知他们不同类型的网络攻击以及如何识别和报告可疑活动。值得注意的是,组织的网络安全意识培训计划应重点关注网络钓鱼攻击、社会工程攻击、各种类型的恶意软件攻击和密码攻击。
不过,培训材料的确切内容取决于组织的威胁状况和风险评估结果。