过去十年,全球发生了200多起供应链攻击事件。其中一些事件影响了大型供应商网络和数百万客户,例如SolarWinds、Kaseya漏洞和最近的Log4j漏洞。但鉴于分布式工作的增长,尤其是自COVID-19出现以来,现在供应链中没有什么?同样,哪个工作场所不包括在远程工作的所有方面?云托管平台,较弱的身份呢?验证解决方案和对通用工具的依赖已变得司空见惯,现在已经没有回头路了。人们生活的密集生态系统正在渗透到其他一切,企业只会变得更加紧密。当然,在安全方面,您的业务最依赖的供应商应该胜过其他供应商。但是,如果供应链是任何可能让企业有机会跳到另一个目的地的东西,那么几乎所有东西都是供应链的一部分。对于网络攻击者来说,供应链中的所有弱点看起来都是一样的:攻击的机会。提高生产力的代价虽然网络攻击者的动机是机会,但企业必须处理其模糊的边界,这曾经是网络安全的基础,以提高生产力。例如,越来越多的企业使用GitHub作为他们的代码管道。即使使用像GitLab这样的内部解决方案也是如此,因为GitHub是开发人员上传和管理代码的更方便的方式。IT专业人员知道可以锁定公共工具,但没有人认为默认情况下它是安全的。事实上,情况正好相反。GitHub等软件为这些攻击者提供了各种机会。查看GitHub的网络攻击者可能看不到将成为他们实际攻击媒介的服务器,甚至看不到他们找到植入后门的方法的服务器。但它是有关硬编码开发人员凭证、有关软件包内部工作的重要信息等的重要情报来源。这种观点可以让高级威胁参与者深入了解如何构建有效的后门,以及可以将后门安放在哪里,以便在不被发现的情况下轻松可靠地访问。GitHub还向网络攻击者提供有权访问存储库的开发人员列表。一旦您在公司网络中站稳脚跟,此清单将作为一组完美的目标。现在有可能因为受感染的笔记本电脑包含GitHub登录名,所以整个代码存储库及其托管组织都可能受到损害。同样,正式或非正式的“自带设备”策略的激增,以及开发人员从他们自己的设备登录易于访问的服务,极大地扩大了企业的攻击面,因为它消除了防御内部服务的关键组成部分。部分。像攻击者一样思考,然后像业务主管一样思考GitHub、AWS等服务构成了复杂的供应链威胁网络,可能很难将这些风险简明扼要地传达给业务决策者。这就是沟通是关键的原因,因为它经常出现在供应链攻击等新闻讨论中。当只有几分钟的时间来销售安全信息时,简洁的沟通至关重要,这可以直达问题的核心。安全专业人员通常喜欢谈论他们工作的细节,即使他们的听众不喜欢。挑战在于确定安全投资的背景和需求,同时将它们与业务目标联系起来,而不是传播没人愿意想象的噩梦。关注最大的创收组织和最大的创收产品自然会引起企业高管的注意。这为探索这些领域可能面临的威胁以及如何在不牺牲太多生产力的情况下应对这些威胁创造了机会。了解供应链中由企业控制的关键要素、瓶颈所在,以及可以在何处引入关键缓解措施以防止小问题发展为整个领域的危害。对于企业高管来说,了解供应链的规模和无定形性质也很重要,因为网络攻击者很清楚这一点。例如,如果一家企业公司使用MicrosoftTeams,那么生产组织结构图中的每个人都可能知道它。但他们可能没有意识到,微软,这个无处不在的云服务的主人,现在是供应链的一部分。现在,这家在全球大多数国家/地区开展业务的全球最大软件公司面临的任何潜在风险都是对企业的潜在风险。无论好坏,从网络攻击者的角度来思考安全,尤其是信息安全,都会产生一种目标一致的感觉。从攻击您业务的攻击者的角度来看,您可以看到与您合作的每家公司以及您使用的每一种工具都是您安全中潜在的薄弱环节。因此,企业很难在不影响上下游每个组织的情况下做出风险决策。然而,这些决策的范围通常会产生重大风险,因此了解企业的??主要供应商和客户通常是实现有效供应链安全的最重要步骤。人们需要认识到,生产力的回报伴随着相互依存的风险,这是减少网络攻击者机会的关键一步。
