什么是供应链攻击?发生供应链攻击,也称为价值链或第三方攻击。随着越来越多的供应商和服务提供商能够访问敏感数据,这在过去几年中极大地改变了普通企业的攻击面。由于新型攻击,与供应链攻击相关的风险从未如此高,导致公众对威胁的意识增强,监管机构加强监督。同时,攻击者拥有比以往更多的资源和工具来制造完美风暴。对SolarWinds的攻击就是一个典型的例子。SolarWinds攻击凸显了一个事实,即供应链风险网络工具提供商SolarWinds的18,000名客户遭到了一个民族国家的攻击,而且消息越来越糟。根据《纽约时报》的最新报告,SolarWinds攻击是由俄罗斯发起的,并且正如最初认为的那样,破坏了“数十个”政府和企业网络。多达250个组织受到影响,攻击者利用了多个供应链层。LeviStrauss副首席信息安全官SteveZalewski表示,这违反了信任链。“这是所有第三方产品的大问题,”他说。“我们不再在内部使用他们的产品。我们必须依靠第三方手段来建立这种信任,而在国内或国际上都无法做到这一点,”扎莱斯基说。越来越依赖外部供应商加剧了这个问题。他补充说,现在是时候审视软件行业的整个生态系统来解决这个问题了。“我们需要的是一个国际信任链,比如全球PKI系统,”他说,“我们可以就一套全球工具和实践达成一致。”很遗憾。不幸的是,没有实用的方法可以做到这一点。“我们需要法律、监管和集体防御,”扎莱斯基说。“但要做到这一点需要很多年。”安全评级公司Bitsight估计,SolarWinds攻击可能使网络保险公司损失高达9000万美元。那只是因为政府机构不购买网络保险。此外,攻击者希望尽可能安静地窃取信息,因此他们不会对系统造成太大的破坏。作为2017年另一次供应链攻击的一部分,同样是俄罗斯针对乌克兰基础设施发起的攻击,乌克兰的会计软件也遭到破坏,恶意软件迅速传播到其他国家。NotPetya病毒最终使马士基、联邦快递和默克等跨国公司损失了超过100亿美元,并中断了业务运营。供应链攻击对黑客很有吸引力,因为当常用软件遭到破坏时,攻击者可以访问使用该软件的所有企业。所有技术供应商都容易受到供应链攻击任何为其他组织生产软件或硬件的公司都可能成为攻击者的目标。民族国家攻击者拥有的资源和技能甚至可以危害最注重安全的公司。甚至安全供应商也可能成为攻击目标。例如,以SolarWinds攻击为例,网络安全提供商FireEye就是被入侵的知名公司之一。FireEye表示,攻击者并未侵入面向客户的系统,而只是使用渗透工具进行安全测试。这次袭击的事实令人担忧。受到SolarWinds攻击者影响的其他供应商包括MicrosoftCorp.和另一家安全供应商Malwarebytes。“鉴于SolarWinds攻击的供应链性质以及需要高度警惕,我们立即对所有Malwarebytes源代码、构建和交付流程进行了彻底调查,包括对我们自己的软件进行逆向工程,”该公司首席执行官Marcin说Kleczynski在一篇文章中说。电子邮件安全提供商Mimecast宣布它也遭到了老练的网络攻击者的破坏,并且有报告表明同一组织是SolarWinds攻击的幕后黑手。这些攻击表明任何供应商都容易受到攻击并且可能受到损害。据安全提供商Immuniweb统计,全球400强网络安全企业中,97%都存在暗网数据泄露或其他安全事件,91家企业网站存在可被利用的安全漏洞。这些类型的攻击并不新鲜。2011年,RSASecurity承认其SecurID令牌遭到黑客攻击。结果,该公司的客户之一洛克希德马丁公司遭到攻击。除了像SolarWinds攻击这样涉及损害商业软件供应商的攻击之外,还有另外两种类型的供应链攻击——针对开源软件项目的攻击和政府直接干预其管辖范围内的Vendor产品的开源软件攻击。对开源供应链的威胁商业软件并不是供应链攻击的唯一目标。Sonatype的2020年软件供应链状况报告称,针对开源软件项目的供应链攻击是企业主要关注的问题,因为90%的应用程序包含开源代码,其中11%的应用程序已经存在。知道漏洞。例如,在2017年的Equifax漏洞中,该公司称其损失了近20亿美元,攻击者利用了一个未修补的ApacheStruts漏洞。21%的公司表示他们在过去12个月内经历过与开源代码相关的攻击。最近,攻击者开始利用数百万基于Java的应用程序中使用的开源ApacheLog4日志记录库中的漏洞。这些漏洞利用很难识别和遏制。可以利用Log4j漏洞的一种情况是允许在运行易受攻击的应用程序的服务器上无需身份验证即可远程执行代码。这使该漏洞在通用漏洞评分系统(CVSS)量表中的严重等级为10。另一个漏洞可能导致拒绝服务条件。由于Log4j用于许多商业应用程序,因此组织可能不知道他们实际上正在使用日志库并且容易受到攻击。这导致企业争先恐后地弄清楚他们面临的威胁和风险的级别,并希望供应商能够及时提供有效的补丁。攻击者不必等待漏洞神奇地出现在开源软件中。在过去的几年里,攻击者已经开始蓄意破坏开源代码的开发或分发,并且正在奏效。据Sonatype称,这种新一代攻击比上一年增加了430%。如何防范供应链攻击那么企业可以做什么呢?一些监管框架,例如金融部门或医疗保健领域的监管框架,已经规定了第三方风险测试,或者已经制定了供应商需要遵守的标准。“在支付卡行业,有一个软件质量组件可以测试移动支付组件的质量,”Wilson说,他指的是支付卡行业数据安全标准(PCI-DSS)。还有更通用的框架,例如能力成熟度模型(CMM)、ISO9001、CommonCriteria、SOC2等。“我真的很喜欢CMM审计,”Wilson说。“另一方面,我承认代价。直到最近,唯一坚持共同标准的人是情报人员。”还有用于加密模块的FiPS-140认证。“这个认证真的很贵,”威尔逊说。“获得FIPS-140认证的应用程序需要花费一百万美元,除非你向联邦政府出售黑莓手机,否则你不会这样做。”企业习惯于廉价和快速的软件。“我们不得不承认,几十年来我们一直在以低成本编写软件,现在我们要为此付出代价,”威尔逊说。但是,如果公司开始要求进行更多测试,或者如果监管机构介入并要求更好的管理,审计成本可能会下降。“如果人们开始在测试上花更多的钱,测试公司将获得更多收入,竞争也会更加激烈,”威尔逊说。会有更多的创新,比如自动化测试。Zaleski说,在LeviStrauss,我们审查软件供应商。“我们要求软件供应商提供可证明和可审计的证据,证明他们已经实施了特定的安全框架,并且他们可以证明遵守该框架,”他说。然后,LeviStrauss补充说,并没有规定供应商必须遵循特定的框架。“但我们希望你们承诺并愿意写下你们已经采取的安全措施和做法,这样我们才能确保供应商满足我们的要求。这就是我们管理风险的方式,也是你们应该做的最重要的事情”数据中心你不应该做的一件事就是停止安装补丁。事实上,LeviStrauss的补丁管理流程意味着在SolarWinds攻击的消息传出之前安装了SolarWinds软件的修复程序,从而保护公司免受其他攻击者利用该漏洞的攻击。但他承认我们公司的系统无法发现SolarWinds更新程序中存在的恶意软件。当然,没有人可以——FireEye和Microsoft都没有。Zaleski说,问题在于很难扫描更新中的可疑行为,这些行为显然旨在改变软件的行为方式。“这就是软件工作的本质,”Zaleski说。“问题在于生态系统,以及生态系统的组成方式。犯罪分子正在寻找并利用这些漏洞。安全公司DeepInstinct的研究副总裁ShimonOren说,对供应链的攻击仍然比对已知漏洞的攻击要少得多。安全更新带来的风险远远超过供应链攻击的风险。根据IBM的2020年数据泄露成本报告,所有数据泄露中有16%的根源在于第三方软件中的漏洞。Oren建议供应商,而不是延迟修补,企业应该问问自己,你有什么机制来保护你的软件免受损害。“他们有什么样的安全态度?他们目前有什么样的代码验证机制?”他说,遗憾的是,目前还没有人。专门针对软件开发安全性的可用标准。”我认为没有任何东西可以证明您的代码是安全的。致力于解决此问题的一个组织是信息和软件质量联盟,它是对象管理组的一个特殊兴趣小组,技术标准机构。例如,该小组正在研究的标准是相当于材料清单的软件。该软件让企业客户知道他们使用的软件中包含哪些组件,以及是否存在任何已知的安全问题那些组件。”该软件目前正在开发中,我们预计将在今年春天的某个时候完成,”执行董事比尔柯蒂斯说,他说微软、Linux基金会和其他主要公司(总共约30家公司)都参与其中。Loeb&Loeb隐私、安全和数据创新实践的律师兼联席主席IeuanJolly说:“供应链风险评估。适当的尽职调查与企业与其供应商之间的合同谈判一样重要,甚至更重要.如果供应商自愿停业,其客户将失去任何损害赔偿。如果这些客户确实获得了损害赔偿,“但这种赔偿不足以对公司声誉造成损害,“他说。根据万事达卡公司RiskRecon和CyentiaInstitute最近对风险管理专业人士进行的一项调查,79%的组织目前已制定正式计划来管理第三方风险。最常见的风险评估方法是问卷调查(84%的公司使用)和文件审查(69%的公司使用)。一半的公司使用远程评估,42%使用网络安全评级,34%使用现场安全评估。尽管这种调查方法很受欢迎,但只有34%的风险专业人士表示他们相信供应商的回答。然而,81%的公司在发现问题时很少要求纠正,只有14%的公司非常有信心他们的供应商满足他们的安全要求。RiskRecon的首席执行官兼联合创始人KellyWhite表示,尤其是在SolarWinds攻击之后,组织需要关注他们的软件供应商,尤其是那些可以访问公司资产的供应商。他说,这包括增加评估标准以涵盖整个软件开发过程,“以确保有足够的控制措施来防止引入恶意代码。”怀特说,现在也是加倍使用最低特权的时候了。“当我在一家大型金融机构担任首席信息安全官时,任何需要与互联网通信的软件都只能访问那些预编程的更新站点,”他说。White之前曾担任ZionsBancorporation的首席信息安全官。怀特说,这种策略不仅可以防止软件与恶意命令和控制服务器通信,而且可以在软件尝试这样做时发出警报。
