16%的公司购买了被操纵的IT设备。90%的公司对供应链网络攻击“毫无准备”。您如何知道服务器和设备中的关键组件是否“有问题”?它是否随时发生故障或隐藏恶意软件,悄悄地进行键盘记录、数据窃取或破坏?现在大多数企业和供应商都没有做好供应链风险的准备,没有有效的方法和能力来检测或预防供应链风险。两年前,信息安全论坛(ISF)常务董事史蒂夫德宾警告说:当我寻找可能缺乏信息安全保护的关键领域时,首先想到的是供应链。.ESG研究发现,16%的公司购买了被操纵的IT设备。从那以后,事情每况愈下。CrowdStrike最近对1,300家公司进行的一项全球调查发现,90%的公司对供应链网络攻击“毫无准备”。2018年底,彭博社的一篇虚假报道称,中国在发往美国大公司的服务器上隐藏了间谍芯片。结果,该报告一出,在全球IT市场和金融市场引发了不小的震动:当日,涉及该报告的超微公司股价暴跌近50%;苹果股价下跌近2%;亚马逊股价下跌超过2%。尽管这一报道遭到美国相关企业、政府机构和专家的反驳,但此次事件引发的恐慌表明,供应链安全已成为全球深层次的焦虑。当然,这种焦虑的根源其实来自于斯诺登为美国情报机构披露的供应链攻击技术。在过去几年中,供应链已成为网络安全的新战场。一个明显的迹象是:BlackHat和Defcon上关于黑客攻击供应链的讨论开始升温。新的一年到了,无论你是技术买家、卖家、制造商、投资者还是供应链安全专家,供应链网络安全都应该放在你的行动清单上,原因如下五点:1.黑客扎堆供应链专家表示,威胁不仅急剧上升,而且被低估了。据行业估计,供应链攻击现在占所有网络攻击的50%,同比激增78%。多达三分之二的公司经历过至少一次供应链攻击事件,平均损失:110万美元。PonemonInstitute2018年的一项研究发现,56%的组织因供应商而遭受数据泄露。美国联邦监管机构报告说,国防部供应链中的IC和其他电子部件普遍存在假冒行为。有几种力量正在助长供应链威胁。供应链的云化、物联网、全球化和向庞大的互联数字生态系统的过渡是主要因素;其他因素包括地缘政治,有组织犯罪也渴望利用薄弱的供应链环节。2.每个人都在寻找解决方案公共和私营部门都在敲响警钟。例如,埃森哲和BSI最近的报告都将供应链网络安全确定为最大挑战。一个主要的公私联盟最近呼吁就此问题进行迅速而严格的合作。这些伙伴关系中最具影响力的是ICT供应链风险管理工作组,该工作组由美国国土安全部牵头的50多个政府机构和企业组成。美国国家标准与技术研究院(NIST)发布了关于供应链风险管理的新指南,而美国网络安全和基础设施安全局(CISA)启动了全国供应链诚信月,其中概述了9月的主要威胁场景、建议和基线机构工作组的报告。3、突破一点,伤害供应链一块攻击其实是两种威胁。第一种是试图破坏或削弱实体供应链,例如国家黑客攻击关键基础设施或能源系统。二是攻击者以供应链为渠道,攻击数十个、数百个甚至上千个链上合作伙伴。据研究员Cyber??eason介绍,供应链攻击最大的特点是“突破一点,伤害很大”,是一种低成本高回报的黑客商业模式。通过查找和利用供应链弱点,攻击者可以在供应链实体之间跳转、窃取数据并监控或破坏它们。供应链攻击点对面的破坏性吸引了大量黑客。4.硬件是新目标Kingslayer、CloudHopper、CCleaner、ShadowPad、ShadowHammer、BlackGhostKnifefish、Heriplor,所有这些最近的供应链攻击都使用软件或目标软件(包括固件)。但现在,黑客提高了赌注。受到不断增强的软件安全保护措施的阻碍,黑客开始转向硬件。恶意入侵硬件堆栈(包括固件、BIOS和UEFI)在任何环境中都是一个巨大的威胁。而这种威胁在供应链中被放大了很多倍。5、破坏力堪比“群杀”。供应链违规造成的危害是一个长期隐患,因为它让人怀疑产品的可靠性和安全性。如下图所示,制造过程中存在一系列潜在危害,最严重的是供应链攻击。资料来源:英特尔CISA警告每个阶段的供应链风险:设计、开发和生产、分销、采购和部署、维护和处置。同样,不合规会对企业造成一系列损害,包括声誉受损和业务损失。资料来源:德勤科技和电子是国防、金融服务和能源领域最受欢迎的目标,但没有任何行业能够幸免。《 2019年全球威胁报告》发现现在超过一半的网络攻击都利用了所谓的“跳岛攻击”,这意味着攻击者不仅仅针对一个组织。攻击者不仅要抢劫您和整个供应链中的人员。他们想“拥有”你的整个系统。金融、制造业和零售业是供应链攻击的重灾区来源:《全球威胁报告》生态系统保护的重要性所有这些事实都描绘了一个严酷的现实:供应链威胁是严重的,并将继续恶化。业界已达成广泛共识:企业和组织必须积极开展信息驱动的供应链网络防御。但最有效的方法是什么?普华永道国家网络威胁研究中心主任查德卡尔建议:公司应考虑定义合理的安全级别和相关控制措施,要求分包商、供应商和向Chain合作伙伴提供的关键供应品达到或超过这些标准,作为既定业务协议的一部分。埃森哲提供了类似的建议:组织应该全面了解他们的威胁态势和供应链漏洞。将网络威胁情报整合到并购和其他战略举措中,将供应商和工厂安全测试整合到其流程中,并实施以行业为中心的法规,以试图改善现代全球业务运营流程和风险评估标准中固有的网络安全风险。本文参考报告:BSISupplyChainRiskInsightsReport2019:https://www.bsigroup.com/globalassets/supplychain/localfiles/us/reports/bsi-screen-supply-chain-risk-insights-for-2019.pdf埃森哲2019年网络威胁报告:https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50CarbonBlack2019年全球事件响应威胁报告:https://cdn.www.carbonblack.com/wp-content/uploads/2019/04/carbon-black-quarterly-incident-response-threat-report-april-2019.pdf【本文为专栏作家“李少鹏”原创文章,转载请注明出处它是通过安全牛(微信id:gooann-sectv)获得授权】点此阅读更多该作者的好文
