在建立合作伙伴关系之前,即使企业已经对第三方供应商的安全状况进行了详尽的调查,但由于过于自满,企业仍会面临供应链受到攻击的风险。
在关于勒索软件两部分功能中的第一部分,ZDNet 讨论了持续审查其供应链中所有接触点的必要性,尤其是那些涉及关键系统和数据的接触点。
专注于研究安全和风险的纽约 Forrester 分析师史蒂夫·特纳 (Steve Turner) 表示,企业通常会在对供应商的跟踪历史和系统进行常规检查后,将“通往城堡的钥匙”交给第三方供应商。
“任何拥有城堡钥匙的人,我们都应该深入了解他们并进行持续审查,”他在接受 ZDNet 的视频采访时说。“这些人正在帮助您创造收入,并且在运营上,应该与您的内部安全状况保持相同的水平。”
他补充说,第三方供应商应该有能力处理他们系统中的不规则活动,并且有适当的安全架构,以防止任何对下游的影响。
Capgemini 东南亚网络安全主管 Hamza Siddique 指出,第三方或供应链合作伙伴制定的技术控制和政策并不总是与其客户的能力相匹配。
Siddique 在接受电子邮件采访时说,这在客户的网络上创建了另一个攻击面或容易攻击的目标,可能会导致运营、合规和品牌声誉方面的风险。
他说,为了更好地降低此类风险,建议采用第三方风险管理策略,借鉴NIST和 ISO 标准的最佳实践。它包括执行定期审计、第三方事件响应计划以及受限访问机制的需要。
Turner 敦促需要对第三方系统进行定期重新评估,或者如果无法执行,则组织必须拥有适当的工具和流程来保护自己免受任何下游攻击。
“需要有内在的安全控制,如果某些事情偏离基线,它们可以做出反应,以确保 (任何潜在的破坏)不会蔓延。零信任架构可以实现这一点,”他说。“供应商与企业之间有着内在的信任关系,这种情况必须停止。”
FireEye Mandiant 的 CTO 兼亚太区副总裁 Steve Ledzian 承认,防止供应链攻击具有挑战性,因为这些攻击似乎滥用了组织与第三方供应商之间现有的信任水平。但是,他表示仍有机会检测和降低此类威胁,因为黑客需要在发起全面攻击之前进行其他活动。
例如,在通过第三方供应商成功攻破网络后,他们需要绘制目标组织的网络图,识别持有关键数据的系统,并找出他们需要窃取的特权凭证以获得访问权限,然后再进行攻击。
“一旦黑客进入您的网络,如果您处于检测模式,您就有机会在他们能够破坏您的数据之前识别并阻止他们,”Ledzian 在一次视频采访中说,并强调了工具和服务的重要性,这使企业能够快速检测和响应潜在的威胁。
他们针对勒索软件攻击的防御策略也应该不仅仅局限于购买产品,还应该考虑系统的配置和架构方式。他补充说,这里的主要目标是增强组织的弹性和遏制此类攻击的能力。
Acronis 的 CISO Kevin Reed 还指出,今天的大多数攻击既不是高度复杂的,也不是零日攻击。攻击者在识别漏洞后通常需要时间和精力来开发利用漏洞并使其成功工作。
Reed在一次视频采访中表示,黑客通常需要几天时间才能开发出利用可行的漏洞程序,而在现代软件架构中,这项任务变得越来越困难。
“因此,将漏洞武器化需要时间,”并补充说,即使是技术娴熟的黑客也需要 72 小时才能做到这一点。这意味着组织应该在漏洞可利用之前迅速采取行动,来修复任何漏洞或部署补丁。
他主张组织需要评估其供应商的安全状况,验证和交叉验证这些第三方供应商是否拥有正确的流程和系统。
他指出,这对于没有资源或专业知识的中小型企业 (SMB) 而言可能更具有挑战性。Reed 补充说,这些公司通常依赖他们管理的服务提供商来履行责任。
在这里,他强调了管理服务提供商的必要性,尤其是在Kaseya袭击之后。
黑客之间的伙伴关系增加是一个令人担忧的趋势
然而,勒索软件攻击可能变得更加复杂,并在未来更快地部署,所以它们不再是由单个黑客开发的。
根据 Ledzian 的说法,网络攻击越来越多地被分解为不同的部分,并由专门从事每一部分攻击的不同威胁行为者实施。一个人可能负责构建恶意软件,而其他分支机构则专注于侦察和破坏网络并开发利用漏洞。
“当你拥有专门的技能组合时,每个组件都会更有能力,”他警告说。
CrowdStrike 亚太日本工程副总裁 Sherif El-Nabawi 也强调了网络犯罪分子之间的团队合作以及勒索软件的出现。
El-Nabawi 将此描述为一种令人担忧的趋势,他指出,专门从事勒索软件各个方面的五六个独立团体可以联合起来,因此单个团体不再需要自行开发所有内容。
他说,这种伙伴关系可能会吸引更多的威胁行为者或团体参与进来,并推动整个行业的发展。
Ledzian 补充说,勒索软件攻击利用也已演变为多方面的,网络犯罪分子意识到数据盗窃对企业的影响比服务中断更严重。
他说,在这种情况下,数据备份将不再足够,因为攻击者对担心公开机密数据的企业拥有了更大的影响力。
据 CYFIRMA 首席执行官兼董事长 Kumar Ritesh 称,网络犯罪分子正在将目标转向年轻公司和能够访问大量个人数据的大型初创公司。
他进一步指出,网络犯罪分子越来越关注 OT(运营技术)系统。
特别是,Ritesh 告诉 ZDNet,人们对自动驾驶和联网汽车越来越有感兴趣,这些仪表盘使用户能够访问他们的智能家居和物联网 (IoT) 系统。他指出,其中一些系统缺乏基本的安全功能,汽车和家庭系统之间的通信链接不安全,有被利用的风险。
他说,网络犯罪分子也正在将注意力转移到个人和高层影响者身上。
他补充说,远程工作现已成为常态,没有得到充分保护的个人设施很容易被破坏,黑客可以访问公司的网络及其知识产权,从而加剧了这种风险。(本文出自SCA安全通信联盟,转载请注明出处。)
