多年来,供应链攻击一直是网络安全专家关注的一个问题,因为针对单一供应商的一次攻击引发的连锁反应,可能危及整个供应商网络。攻击者在62%的攻击中使用的是恶意软件攻击。
根据最新的ENISA(欧洲网络和信息安全局)报告——《供应链攻击的威胁分析》,分析了最近的24次攻击,当攻击者已经将注意力转移到供应商上时,强大的安全保护对组织来说已经不够了。
这些攻击的影响越来越大,如系统停机、金钱损失和声誉损害。
与去年相比,2021年供应链攻击预计将增加4倍。这种新趋势强调了政策制定者和网络安全界马上采取行动的必要性。迫切需要采取新的保护措施,以预防和应对未来可能发生的供应链攻击,同时减轻其影响。
欧盟网络安全局执行主任Juhan Lepassaar说:“由于供应链攻击的连锁效应,威胁行动者可以同时对企业和客户造成广泛的损害。有了欧盟层面的良好实践和协调行动,成员国将能够达到类似的能力水平,提高欧盟的网络安全共同水平。”
什么是供应链?
供应链是设计、制造和分销产品所需的资源生态系统的组合。在网络安全方面,供应链包括硬件和软件、云或本地存储和分发机制。
为什么良好的网络安全水平还不够好?
供应链攻击由对一个或多个供应商的攻击和随后对最终目标(即客户)的攻击组成,供应链攻击可能需要数月才能成功。在许多情况下,这种攻击可能在很长一段时间内不被察觉。与高级持久性威胁(APT)攻击类似,供应链攻击通常是有目标的。
报告显示,一个组织在供应链攻击中可能很脆弱,即使它自己的防御很好。攻击者通过寻找新的潜在途径,以一个供应商的身份打入组织。此外,由于供应链攻击对众多客户的影响几乎是无限的,所以这些类型的攻击正变得越来越普遍。
在报告的事件中,约66%的攻击者为了攻击目标客户,将注意力集中在供应商的代码上。这表明,在使用第三方代码和软件之前,组织应该集中精力验证它们,以确保这些代码和软件没有被篡改或操纵。
在分析的约58%的供应链事件中,目标客户资产主要是公司数据,包括个人身份信息数据和知识产权。
在分析的66%的供应链攻击中,供应商不知道或没有报告他们是如何受到损害的。然而,约9%的因供应链攻击而受害的客户不知道攻击是如何发生的。这显示了供应商和终端用户在网络安全事件报告方面成熟度的差距。
建议在欧盟层面应用良好实践并参与协调行动。
攻击对供应商造成了深远的影响,因为所使用的技术的相互依赖性和复杂性增加了。除了对受影响的组织和第三方造成的损害外,当机密信息被泄露、国家安全受到威胁,或者由此产生政治性质的后果,还有更深层的原因值得担忧。
在这个复杂的供应链环境中,建立良好的做法并参与欧盟层面的协调行动,支持所有成员国发展类似的能力,达到共同的安全水平都很重要。
该报告为公司管理供应链网络安全风险和管理与供应商的关系提出了大量建议。
对公司的建议包括:
识别和记录供应商和服务;
为不同类型的供应商和服务定义风险标准,如供应商和客户依赖关系、关键软件依赖关系、单点故障;
监控供应链风险和威胁;
在产品或服务的整个生命周期内管理供应商,包括处理报废产品和组件的程序;
对与供应商共享或可访问的资产和信息进行分类,并制定访问和处理这些资产和信息的相关程序。
该报告还建议采取可能的行动,以确保产品和服务的开发符合安全实践。
对供应商的建议包括:
确保用于设计、开发、制造和交付产品、组件和服务的基础设施符合网络安全规范;
实施与普遍接受的产品开发过程一致的产品开发、维护和支持过程;
监控由内部和外部来源(包括使用的第三方组件)报告的安全漏洞;
维护包含补丁相关信息的资产清单。
网络威胁的形势在不断演变。在威胁情报的支持下,决策者和实践者都需要获得关于当前威胁状况的最新和准确的信息。为了应对这一需求,自2012年以来,ENISA每年都会发布《威胁报告》。这些报告基于公开可用的数据,并对观察到的威胁行为、威胁因子、威胁趋势和攻击载体提供独立的观点。
ENISA成立了一个网络威胁报告特设工作组,与广泛的利益相关者互动,并在设计、更新和审查绘制网络威胁报告所需的方法方面获得支持。该机构提供一系列新兴技术和挑战的威胁分析。
关于供应链攻击问题,ENISA在2012年就发布了《供应链完整性报告》(2015年更新),该报告确定了这些威胁的性质,并审查了可能的应对策略。(本文出自SCA安全通信联盟,转载请注明出处。)
