過去兩年對(duì)供應(yīng)鏈造成了重大破壞。新冠大流行將供應(yīng)鏈攻擊問題推向了前沿，2020 年中斷率上升了 67%，隨著全球市場(chǎng)適應(yīng)“新常態(tài)”運(yùn)營(yíng)，問題預(yù)計(jì)將持續(xù)存在。

公司主營(yíng)業(yè)務(wù)：成都網(wǎng)站建設(shè)、成都網(wǎng)站制作、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。成都創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)推出伊美免費(fèi)做網(wǎng)站回饋大家。

然而，對(duì)數(shù)字供應(yīng)解決方案的日益依賴也為供應(yīng)鏈攻擊的增加奠定了基礎(chǔ)，預(yù)計(jì)未來有增無減。2021年美國(guó)多次供應(yīng)鏈攻擊，也是這個(gè)推測(cè)的一個(gè)重要依據(jù)。

以下是企業(yè)需要了解的有關(guān)供應(yīng)鏈威脅的信息。查看供應(yīng)鏈安全的當(dāng)前狀態(tài)，以及可以采取哪些步驟來降低總體風(fēng)險(xiǎn)。

什么是供應(yīng)鏈攻擊?

當(dāng)威脅行為者使用外部合作伙伴(例如供應(yīng)商)擁有或使用的連接應(yīng)用程序或服務(wù)破壞企業(yè)網(wǎng)絡(luò)時(shí)，就會(huì)發(fā)生供應(yīng)鏈攻擊。有時(shí)，專家也將這些稱為第三方或價(jià)值鏈攻擊。

對(duì)于威脅參與者來說，供應(yīng)鏈攻擊的吸引力在于信任。企業(yè)使用的應(yīng)用程序和服務(wù)通常受到安全團(tuán)隊(duì)的信任和審查。因此，他們通?？梢栽L問敏感或有價(jià)值的內(nèi)部數(shù)據(jù)。如果攻擊者可以從連接的供應(yīng)鏈應(yīng)用程序橫向移動(dòng)到更大的企業(yè)網(wǎng)絡(luò)本身，他們就可以竊取、加密或破壞關(guān)鍵數(shù)據(jù)，并使公司損失數(shù)百萬美元的維修成本和聲譽(yù)損失。

隨著網(wǎng)絡(luò)的發(fā)展，這個(gè)問題更加復(fù)雜。第三方供應(yīng)商通常使用來自其他業(yè)務(wù)合作伙伴的軟件，而這些合作伙伴又擁有自己的外部應(yīng)用程序連接。因此，供應(yīng)鏈攻擊可能會(huì)使幾家公司從預(yù)定目標(biāo)中移除，從而更難被發(fā)現(xiàn)。

成功的供應(yīng)鏈攻擊可能是一個(gè)重大打擊。當(dāng)網(wǎng)絡(luò)工具供應(yīng)商 Solar Winds 在 2020 年末遭到入侵時(shí)，全球有超過 18,000 家公司受到影響。

過去的2021年供應(yīng)鏈網(wǎng)絡(luò)安全狀況

如上所述，供應(yīng)鏈攻擊在 2021 年增加了。由于應(yīng)用程序環(huán)境復(fù)雜性的增加：公司需要能夠抵抗未來中斷的敏捷和適應(yīng)性強(qiáng)的供應(yīng)鏈。畢竟，擴(kuò)大連接的應(yīng)用程序和服務(wù)的數(shù)量有助于企業(yè)更好地應(yīng)對(duì)不斷變化的市場(chǎng)條件，還為威脅參與者創(chuàng)造了更大的攻擊面。如果漏洞確實(shí)出現(xiàn)，那么在供應(yīng)鏈威脅成為更大問題之前，更難發(fā)現(xiàn)和消除它們。

2021 年值得注意的供應(yīng)鏈攻擊

供應(yīng)鏈攻擊在 2021 年有一個(gè)良好的開端。例如，2021 年 4 月，DevOps 工具提供商 Codecov 披露，他們的 Bash 腳本上傳器被惡意攻擊者入侵。這使攻擊者能夠在連續(xù)信息 (CI) 環(huán)境中捕獲 Codecov 客戶存儲(chǔ)的信息。第三方調(diào)查人員還發(fā)現(xiàn)，攻擊者可能能夠“竊取額外資源”并獲得對(duì)用戶憑據(jù)的訪問權(quán)限，這反過來又可能導(dǎo)致更大的漏洞。

2021 年 7 月，REvil 團(tuán)伙破壞了軟件供應(yīng)商 Kaseya 的網(wǎng)絡(luò)管理包，并使用該軟件在 Kaseya 的客戶之間傳播勒索軟件。據(jù)NPR報(bào)道，在 Kaseya 被入侵后，超過 200 家美國(guó)公司發(fā)現(xiàn)他們的網(wǎng)絡(luò)因勒索軟件攻擊而癱瘓。

值得注意的是歐盟網(wǎng)絡(luò)安全局的研究發(fā)現(xiàn)，66% 的攻擊集中在供應(yīng)商代碼上。這意味著即使是強(qiáng)大的內(nèi)部防御也可能不足以減輕供應(yīng)鏈攻擊的影響。

常見的供應(yīng)鏈攻擊方法

供應(yīng)鏈攻擊者的目標(biāo)是破壞受信任的服務(wù)。從那里，他們可以獲得更有價(jià)值的公司資源。一種常見的妥協(xié)方法是網(wǎng)絡(luò)釣魚。成功的網(wǎng)絡(luò)釣魚攻擊可以泄露賬戶和密碼數(shù)據(jù)，從而使攻擊者可以在不觸發(fā)網(wǎng)絡(luò)防御的情況下檢查源代碼。惡意軟件也常用于滲透網(wǎng)絡(luò)和泄露關(guān)鍵源代碼，攻擊者隨后可以修改和重新插入。

一些最常見的供應(yīng)鏈威脅媒介包括：

• 第三方軟件供應(yīng)商
• 數(shù)據(jù)存儲(chǔ)解決方案
• 開發(fā)或測(cè)試平臺(tái)
• 網(wǎng)站建設(shè)服務(wù)。

在每種情況下，這些軟件解決方案和服務(wù)都需要訪問企業(yè)基礎(chǔ)設(shè)施的關(guān)鍵方面。這為惡意行為者開辟了一條潛在途徑。

供應(yīng)鏈安全優(yōu)秀實(shí)踐

當(dāng)談到供應(yīng)鏈攻擊時(shí)，攻擊者總是在尋找最薄弱的環(huán)節(jié)。因此，即使是強(qiáng)大的企業(yè)防御也可能不足以保護(hù)關(guān)鍵資產(chǎn)。畢竟，這些第三方應(yīng)用程序的可信性質(zhì)意味著它們通常不會(huì)受到同樣的審查。這為攻擊者創(chuàng)造了一個(gè)機(jī)會(huì)：如果他們沿著供應(yīng)鏈走得足夠遠(yuǎn)，他們很可能會(huì)發(fā)現(xiàn)一個(gè)可以利用的漏洞并開始向上移動(dòng)到關(guān)鍵應(yīng)用程序。

為了幫助降低供應(yīng)鏈威脅的風(fēng)險(xiǎn)，安全最佳實(shí)踐至關(guān)重要。這些包括：

1) 評(píng)估當(dāng)前戰(zhàn)略——更好的供應(yīng)鏈安全始于當(dāng)前戰(zhàn)略：它們?cè)跍p輕供應(yīng)鏈威脅方面是否有效?它們是否符合合規(guī)性要求?他們能否適應(yīng)不斷變化的風(fēng)險(xiǎn)現(xiàn)實(shí)?

2) 測(cè)試、測(cè)試、再測(cè)試——定期滲透測(cè)試和漏洞掃描可以幫助識(shí)別潛在的供應(yīng)鏈安全弱點(diǎn)。從那里，可以關(guān)閉潛在的攻擊途徑。

3) 識(shí)別和加密——通過識(shí)別和加密其環(huán)境中的高度敏感數(shù)據(jù)，企業(yè)可以減少確實(shí)發(fā)生的供應(yīng)鏈攻擊的范圍。即使惡意行為者獲得訪問權(quán)限，他們也無法利用受保護(hù)的資產(chǎn)。

4) 第三方風(fēng)險(xiǎn)管理——如今的供應(yīng)鏈軟件格局比以往任何時(shí)候都更加復(fù)雜。因此，企業(yè)必須對(duì)供應(yīng)商安全實(shí)踐進(jìn)行深入分析。他們需要打破內(nèi)部運(yùn)營(yíng)孤島，以確保所有部門在保護(hù)方面都在同一頁面上。

5) 零信任框架——通過轉(zhuǎn)向“始終驗(yàn)證，從不信任”框架，企業(yè)可以創(chuàng)建功能性前線防御。零信任甚至需要熟悉的應(yīng)用程序和服務(wù)在獲得網(wǎng)絡(luò)訪問權(quán)限之前通過身份驗(yàn)證檢查。

在正確的安全工具也起到降低供應(yīng)鏈的發(fā)作風(fēng)險(xiǎn)的作用。在這里，利用區(qū)塊鏈進(jìn)行安全交易、利用人工智能改進(jìn)威脅檢測(cè)和基于云的威脅分析進(jìn)行快速風(fēng)險(xiǎn)評(píng)估的解決方案通常最適合企業(yè)。

解決供應(yīng)鏈攻擊

底線?這一切都?xì)w結(jié)為信任。

供應(yīng)鏈應(yīng)用程序是企業(yè)大規(guī)模提供服務(wù)所必需的。然而，降低復(fù)雜性的相同信任也會(huì)增加總風(fēng)險(xiǎn)。為了減輕供應(yīng)鏈攻擊的影響，企業(yè)必須使用旨在檢測(cè)意外行為、發(fā)現(xiàn)惡意代碼并拒絕訪問潛在威脅的工具和策略來控制第三方連接。

新聞名稱：供應(yīng)鏈攻擊是什么？以及如何處理
鏈接分享：http://uogjgqi.cn/article/dpcdjee.html