今天,大数据、云计算、人工智能等新兴科技产业的快速发展和广泛应用,对传统业态产生了强烈冲击。全球产业供应链体系正面临前所未有的变革,供应链安全已成为网络安全体系面临的重要挑战。虽然供应链攻击历史悠久,但近年来它们的规模、复杂性和频率都急剧增加。欧盟网络安全局(ENISA)2021年7月发布的《供应链攻击威胁局势报告》也强调了这一点。此外,最近在中国工业互联网发展联盟指导下发布的《2022产业互联网安全十大趋势》也强调了供应链安全风险已经由隐式变为显式。根据CheckPoint的,2021年全球供应链攻击将同比增长650%。什么是供应链攻击?供应链是设计、制造和分销产品所需的资源生态系统的集合。在网络安全方面,供应链包括硬件和软件、云端或本地存储和分发机制。供应链攻击是对软件开发商和供应商的新威胁,其目标是通过感染合法应用程序来分发恶意软件,以获取对源代码、构建流程或更新机制的访问权限。供应链攻击包括对一个或多个供应商的攻击,然后是对最终目标(即客户)的攻击,可能会在很长一段时间内未被发现,需要数月才能成功。与高级持续威胁(APT)攻击类似,供应链攻击通常是有针对性的。此外,供应链攻击还会与APT攻击、勒索攻击相结合。攻击者的最终目的是对企业设备、系统或数据进行加密,以勒索企业利润。Imperva分享的五种典型攻击方式:利用厂商产品注入(典型如SolarWinds事件)利用第三方应用(如邮件/浏览器漏洞)利用开源库中包含的漏洞依赖混淆恶意接管(充当社区项目维护者),注入恶意代码)在以上五种供应链攻击方式中,有的攻击企业可以提前防范,有的攻击企业却束手无策。可以通过正确配置工件库来防止依赖性混淆。使用第三方应用程序和利用开源代码库中包含的漏洞可以通过安全公司提供的及时升级或补丁来缓解。但是,对于供应商产品注入和恶意接管,目前还没有有效的通用解决方案。重大供应链攻击频发·2020年12月,FireEye发布SolarWinds供应链攻击事件通报,称SolarWinds产品于2020年3月左右被攻击者植入后门,遭受严重供应链攻击。此次供应链攻击波及范围广,包括政府部门、关键基础设施,以及多家世界500强企业,造成重大影响。·2021年3月,占全球航空份额90%的通信和IT制造商国际航空电信公司SITA遭到供应链攻击。攻击者窃取了该公司位于美国的服务器上存储的乘客数据,全球多家航空公司的业务受到影响,甚至出现大规模数据泄露,直接引发了航空业的“大地震”.·2021年7月,勒索组织REvil利用IT软件供应商Kaseya发起供应链攻击,数千家企业中招。REvil攻击了Kaseya基于云的MSP平台(托管服务提供商),破坏了其VSA基础设施,然后将恶意更新推送到VSA的内部服务器,在公司网络上部署勒索软件,对Kaseya的客户造成供应链攻击。REvil声称已锁定超过一百万个系统,并愿意就通用解密器进行谈判,起价为7000万美元,这是迄今为止提供的最高赎金。·2021年12月,Log4j2漏洞的爆发也引发了供应链安全危机,影响范围极其广泛,危害也非常大。Log4j2是一个堪比标准库的基础日志库,无数的开源Java组件都直接或间接依赖于Log4j2。Log4j2漏洞作为软件供应链中最核心的原始组件,对整个软件供应链的影响最为直接、隐蔽和深远。供应链安全上升为国家战略随着供应链安全形势日益严峻,越来越多的国家开始关注国家产业供应链战略,并不断着力推进维护产业链建设。自身产业供应链的安全。许多国家根据本国国情制定了自己的全球产业供应链发展战略措施。《供应链完整性报告》(2015年更新),早在2012年就由欧洲网络和信息安全局(ENISA)发布,确定了供应链安全威胁的性质并研究了可能的对策。最近,美国国家标准与技术研究院(NIST)发布了有关保护软件供应链安全的最新指南,以响应政府旨在加强国家网络安全的行政命令。据悉,美国还建立了跨部门的产业供应链安全组织保障体系,建立了多维度的国家产业供应链安全战略体系,加强了产业供应链安全立法体系建设,重点关注国家产业供应链安全政策研究,加强产业供应链风险评估和安全审查。随着现代信息技术在越来越多国家的广泛应用,德国政府从政策层面积极推动国内产业供应链向智能化、信息化方向发展。基于信息通信技术的CPS系统建设智能工厂,构建智能制造供应链网络,不断提高制造业的竞争力。在宏观层面,我国高度重视推动产业供应链发展。微观层面,不断赋能产业供应链发展,企业不断拓展产业供应链全球布局。多年来,我国先后发布了供应链安全管理国家标准《信息安全技术 ICT 供应链安全风险管理指南》(GB/T36637-2018),发布了《信息技术产品供应链安全要求》的征求意见稿,拟研究制定《信息安全技术软件供应链安全要求》,实现供给链完整性和保密性可靠性、可用性和可控性的安全目标,规定了信息技术产品供需双方应满足的供应链基本安全要求,提高国内软件供应链各环节的标准化和安全保障能力.此外,对于完善我国供应链安全管理体系,相关专家认为,可从战略规划、制度建设、保障机制、配套政策、标准体系五个方面着力:有可能在制造业的中长期发展战略规划中占有一席之地,并在国家层面形成战略共识。完善供应链安全体系建设。完善供应链风险防范和保障机制。制定供应链安全战略部署的政策体系。加快研究制定供应链安全管理相关国家标准,促进国家标准与国际标准对接。近年来,由于疫情持续蔓延,也对全球供应链安全造成重大影响。保障供应链安全将成为一场持久战。各国应携手维护全球供应链安全,发挥各自优势,推动全球供应链安全治理。.
