大主宰天蚕土豆小说,盗墓笔记小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

供應(yīng)鏈攻擊事件告訴我們，為什么應(yīng)該警惕第三方供應(yīng)商

什么是供應(yīng)鏈攻擊?

當(dāng)有人以有權(quán)限訪問您系統(tǒng)和數(shù)據(jù)的外部合作伙伴或供應(yīng)商的身份侵入您的系統(tǒng)時(shí)，就會(huì)發(fā)生供應(yīng)鏈攻擊，也稱為價(jià)值鏈或第三方攻擊。與以往相比，隨著越來(lái)越多的供應(yīng)商和服務(wù)提供商可以接觸到敏感數(shù)據(jù)，在過(guò)去幾年里，這極大地改變了普通企業(yè)受攻擊的范圍。

由于出現(xiàn)新型的攻擊，因此與供應(yīng)鏈攻擊相關(guān)的風(fēng)險(xiǎn)從未如此之高，導(dǎo)致公眾對(duì)威脅的意識(shí)不斷提高以及監(jiān)管機(jī)構(gòu)加強(qiáng)監(jiān)督。與此同時(shí)，攻擊者擁有比以往更多的資源和工具，可以創(chuàng)造一場(chǎng)完美的風(fēng)暴。SolarWinds公司的攻擊事件就是一個(gè)典型的例子。

SolarWinds公司的攻擊事件凸顯了供應(yīng)鏈風(fēng)險(xiǎn)

網(wǎng)絡(luò)工具供應(yīng)商SolarWinds的18000名客戶曾受到單一民族國(guó)家的攻擊，這一消息變得越來(lái)越糟。根據(jù)《紐約時(shí)報(bào)》最近的一篇報(bào)道，SolarWinds公司的攻擊事件是由俄羅斯發(fā)起的，正如最初人們所認(rèn)為的那樣，侵入了“幾十個(gè)”政府和企業(yè)網(wǎng)絡(luò)。多達(dá)250個(gè)組織機(jī)構(gòu)受到影響，攻擊者利用了多個(gè)供應(yīng)鏈層。

李維斯公司(Levi Strauss)副首席信息安全官史蒂夫·扎勒斯基(Steve Zalewski)表示，這違背了信任鏈?！斑@是所有第三方產(chǎn)品的大問題，”他說(shuō)?！拔覀儾粫?huì)再將其產(chǎn)品放在內(nèi)部使用。我們不得不依賴第三方的方式來(lái)建立這種信任，而這在國(guó)內(nèi)或國(guó)際都沒有辦法做到。”

扎勒斯基表示，隨著企業(yè)越來(lái)越依賴于外部供應(yīng)商，這一問題正在不斷惡化。他補(bǔ)充道，現(xiàn)在是時(shí)候該審視軟件行業(yè)的整個(gè)生態(tài)系統(tǒng)以解決這一問題了?！耙獜氐捉鉀Q這一問題，我們需要的是一個(gè)國(guó)際信任鏈，就像一個(gè)全球PKI系統(tǒng)，”他說(shuō)，“在這一系統(tǒng)中，我們可以就一套全球的工具和做法達(dá)成一致?！?/p>

不幸的是，沒有切實(shí)可行的方法來(lái)做到這一點(diǎn)?！拔覀冃枰粋€(gè)法律、監(jiān)管和集體層面上的防御，”扎勒斯基說(shuō)?！暗龅竭@一點(diǎn)需要年復(fù)一年的漫長(zhǎng)時(shí)間。”

安全評(píng)級(jí)公司Bitsight估計(jì)，SolarWinds公司的攻擊事件可能使網(wǎng)絡(luò)保險(xiǎn)公司賠付高達(dá)9000萬(wàn)美元。這還只是因?yàn)檎畽C(jī)構(gòu)不購(gòu)買網(wǎng)絡(luò)保險(xiǎn)。此外，攻擊者想盡可能低調(diào)地竊取信息，因此并沒有對(duì)系統(tǒng)進(jìn)行太大破壞。

2017年的另一次供應(yīng)鏈攻擊事件也是由俄羅斯發(fā)起的，該攻擊事件的目標(biāo)是烏克蘭的基礎(chǔ)設(shè)施，而作為此次攻擊的一部分，烏克蘭的會(huì)計(jì)軟件也遭到了破壞，并且該惡意軟件迅速傳播至其他國(guó)家。NotPetya病毒最終給馬士基、聯(lián)邦快遞和默克等跨國(guó)公司造成了超過(guò)100億美元的損失，并使業(yè)務(wù)運(yùn)營(yíng)中斷。

供應(yīng)鏈攻擊對(duì)黑客而言很有吸引力，因?yàn)楫?dāng)常用軟件遭到破壞后，攻擊者可以有權(quán)限訪問所有使用該軟件的企業(yè)。

所有技術(shù)供應(yīng)商都容易受到供應(yīng)鏈攻擊

任何為其他組織機(jī)構(gòu)生產(chǎn)軟件或硬件的公司都可能成為攻擊者的目標(biāo)。單一民族國(guó)家的攻擊者擁有豐富的資源和技能，甚至可以侵入具備最高安全意識(shí)的公司。

甚至安全供應(yīng)商也可能成為目標(biāo)。例如，以SolarWinds公司攻擊事件為例，網(wǎng)絡(luò)安全供應(yīng)商FireEye是被入侵的知名公司之一。FireEye公司表示，攻擊者沒有侵入面向客戶的系統(tǒng)，而只是使用滲透工具進(jìn)行安全測(cè)試。這一攻擊事件的事實(shí)令人擔(dān)憂。

受到SolarWinds攻擊者入侵的其他供應(yīng)商包括微軟公司和另一家安全供應(yīng)商Malwarebytes?！翱紤]到SolarWinds公司攻擊事件的供應(yīng)鏈屬性，以及需要高度警惕，我們立即對(duì)Malwarebytes公司所有的源代碼、構(gòu)建和交付流程進(jìn)行了徹底調(diào)查，包括對(duì)我們自己的軟件進(jìn)行逆向工程，”公司首席執(zhí)行官M(fèi)arcin Kleczynski在一篇文章中說(shuō)道。

電子郵件安全供應(yīng)商Mimecast宣布，他們也受到了老練的網(wǎng)絡(luò)攻擊者入侵，并且有報(bào)道稱，該攻擊行為與SolarWinds攻擊事件的幕后黑手是同一個(gè)組織。

這些攻擊事件表明，任何供應(yīng)商都很容易受到攻擊，并可能會(huì)遭到破壞。安全供應(yīng)商Immuniweb表示，全球400強(qiáng)網(wǎng)絡(luò)安全公司中有97%的公司都在暗網(wǎng)上存在數(shù)據(jù)泄露或其他安全事故，并且有91家公司存在可被利用的網(wǎng)站安全漏洞。

這些類型的攻擊行為并不是最近才出現(xiàn)的。2011年，RSA Security公司承認(rèn)其SecurID令牌遭到黑客攻擊。因此，該公司的一位客戶洛克希德·馬丁公司(Lockheed Martin)遭到了攻擊。

除了像SolarWinds攻擊事件這樣涉及到損害商業(yè)軟件供應(yīng)商的攻擊行為之外，還有另外兩類供應(yīng)鏈攻擊行為——針對(duì)開源軟件項(xiàng)目的攻擊和開源軟件案例的攻擊，其中，政府會(huì)直接干預(yù)其管轄范圍內(nèi)的供應(yīng)商產(chǎn)品。

開源供應(yīng)鏈面臨的威脅

商業(yè)軟件并不是供應(yīng)鏈攻擊的唯一目標(biāo)。Sonatype公司的“2020年軟件供應(yīng)鏈狀況報(bào)告”稱，針對(duì)開源軟件項(xiàng)目的供應(yīng)鏈攻擊是企業(yè)面臨的一個(gè)主要問題，因?yàn)?0%的應(yīng)用程序都包含開源代碼，而其中11%的應(yīng)用程序存在已知漏洞。

例如，在2017年艾奎法克斯公司(Equifax)的入侵事件中，該公司稱其損失了近20億美元，而攻擊者利用了一個(gè)未打補(bǔ)丁的Apache Struts漏洞。21%的公司表示，他們?cè)谶^(guò)去12個(gè)月內(nèi)遭遇過(guò)與開源代碼相關(guān)的攻擊。

最近，攻擊者已開始利用數(shù)百萬(wàn)個(gè)基于Java應(yīng)用程序中使用的開源Apache Log4日志庫(kù)中的漏洞。這些利用漏洞的行為很難進(jìn)行識(shí)別和遏制。利用Log4j漏洞的一種情況是，允許在運(yùn)行有漏洞的應(yīng)用程序的服務(wù)器上遠(yuǎn)程執(zhí)行代碼，而無(wú)需進(jìn)行身份驗(yàn)證。這使得該漏洞在通用安全漏洞評(píng)分系統(tǒng)(CVSS)量表上獲得了10分的嚴(yán)重級(jí)。另一個(gè)漏洞可能導(dǎo)致發(fā)生拒絕服務(wù)狀態(tài)。

由于Log4j被用在許多商業(yè)應(yīng)用程序中，因此組織機(jī)構(gòu)可能并不知道自己事實(shí)上正在使用日志庫(kù)，而且容易受到攻擊。這就導(dǎo)致企業(yè)急于想明確自身所面臨的威脅和風(fēng)險(xiǎn)級(jí)別，并希望供應(yīng)商能及時(shí)提供有效的補(bǔ)丁程序。

攻擊者不必等待某一漏洞神奇地出現(xiàn)在開源軟件中。在過(guò)去的幾年里，攻擊者已開始蓄意破壞開源代碼的開發(fā)或分發(fā)過(guò)程，而且這一做法正在奏效。根據(jù)Sonatype公司的調(diào)查，這類新一代攻擊行為比前一年增加了430%。

如何防范供應(yīng)鏈攻擊

那么，企業(yè)能做些什么呢?一些監(jiān)管架構(gòu)(例如金融部門或醫(yī)療領(lǐng)域的監(jiān)管架構(gòu))已提供了第三方風(fēng)險(xiǎn)測(cè)試，或者已制定了一些供應(yīng)商需要遵守的標(biāo)準(zhǔn)?！霸谥Ц犊ㄐ袠I(yè)中，有一個(gè)軟件質(zhì)量組件可用來(lái)測(cè)試移動(dòng)支付組件的質(zhì)量，”威爾遜說(shuō)，這是指支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)。

還有一些更通用的框架，例如能力成熟度模型(CMM)、ISO 9001、通用標(biāo)準(zhǔn)(Common Criteria)、SOC 2等?！拔曳浅Ｏ矚gCMM審核，”威爾遜說(shuō)。“另一方面，我承認(rèn)其所支付的成本。直到最近，唯一堅(jiān)持使用通用標(biāo)準(zhǔn)的人就是情報(bào)人員。”

還有針對(duì)密碼模塊的FiPS-140認(rèn)證?！斑@一認(rèn)證真的很貴，”威爾遜說(shuō)?！白屢豢顟?yīng)用程序獲得FIPS-140認(rèn)證需要花費(fèi)一百萬(wàn)美元，除非您向聯(lián)邦政府出售黑莓手機(jī)，否則您不會(huì)做該認(rèn)證?！?/p>

企業(yè)已經(jīng)習(xí)慣于廉價(jià)且快捷的軟件?！拔覀儽仨毘姓J(rèn)，幾十年來(lái)，我們一直以低廉的成本編寫軟件，而現(xiàn)在我們要自食其果了，”威爾遜說(shuō)。

然而，如果企業(yè)開始要求進(jìn)行更多的測(cè)試，或者監(jiān)管機(jī)構(gòu)介入，并強(qiáng)制要求進(jìn)行更好的管理，那么審計(jì)成本可能會(huì)下降?！叭绻藗冮_始在測(cè)試環(huán)節(jié)上投入更多資金，那么測(cè)試企業(yè)將獲得更多收入，同時(shí)形成更多的競(jìng)爭(zhēng)，”威爾遜說(shuō)。還會(huì)有更多的創(chuàng)新，例如自動(dòng)化測(cè)試。

扎勒斯基說(shuō)，在李維斯公司，我們會(huì)對(duì)軟件供應(yīng)商進(jìn)行審查?！拔覀円筌浖?yīng)商提供可證明和可審計(jì)的憑證，以證明自己已實(shí)施了某一安全框架，而且能夠證明自己符合該框架，”他說(shuō)。然后，補(bǔ)充道，李維斯公司并沒有規(guī)定供應(yīng)商必須要遵循某一特定的框架?！暗覀兿Ｍ銈兡艹兄Z，愿意寫下自己所采取的安全措施和做法，這樣我們才能確保供應(yīng)商符合我們的要求。這就是我們管理風(fēng)險(xiǎn)的方式，也是您最應(yīng)該做的事情?！?/p>

數(shù)據(jù)中心不應(yīng)該做的一件事就是停止安裝補(bǔ)丁程序。事實(shí)上，李維斯公司的補(bǔ)丁管理流程意味著，在SolarWinds攻擊事件新聞傳出之前，SolarWinds軟件的修復(fù)程序就已安裝完成，從而可使公司免受其他攻擊者利用該漏洞進(jìn)行攻擊。

但他承認(rèn)，我們公司的系統(tǒng)無(wú)法發(fā)現(xiàn)SolarWinds更新程序中存在的惡意軟件。當(dāng)然，沒有人能做到——FireEye和微軟公司也都沒有做到。扎勒斯基表示，該問題在于很難在更新程序中掃描可疑行為，因?yàn)楦鲁绦虻哪康娘@然是為了改變軟件的行為方式。

“這就是軟件工作方式的本質(zhì)，”扎勒斯基說(shuō)?！霸搯栴}是存在于生態(tài)系統(tǒng)中，以及該生態(tài)系統(tǒng)組成的方式上。不法分子正在尋找和利用這些漏洞?！?/p>

安全公司Deep Instinct的研究業(yè)務(wù)副總裁西蒙?奧倫(Shimon Oren)表示，對(duì)供應(yīng)鏈的攻擊仍然比針對(duì)已知漏洞的攻擊要罕見得多?！拔艺J(rèn)為，未做修補(bǔ)的漏洞或未安裝安全更新程序所帶來(lái)的風(fēng)險(xiǎn)，遠(yuǎn)遠(yuǎn)超過(guò)了供應(yīng)鏈?zhǔn)艿焦舻娘L(fēng)險(xiǎn)。”據(jù)IBM公司的“2020年數(shù)據(jù)泄露成本報(bào)告”稱，所有數(shù)據(jù)泄漏事件中有16%的根源是因?yàn)榈谌杰浖械穆┒础?/p>

奧倫建議，企業(yè)不要拖延安裝補(bǔ)丁程序，而是要詢問自己的供應(yīng)商，你們有什么機(jī)制來(lái)保護(hù)自身的軟件不受破壞。“他們持有什么樣的安全態(tài)度?他們目前有什么樣的代碼驗(yàn)證機(jī)制?”

他表示，不幸的是，目前還沒有一套可用的標(biāo)準(zhǔn)，能專門解決軟件開發(fā)過(guò)程中的安全問題?！拔艺J(rèn)為沒有任何東西可以說(shuō)明，您的代碼是安全的。”

一個(gè)致力于解決這一問題的組織是“信息和軟件質(zhì)量聯(lián)盟”(Consortium for Information and Software Quality)，它是技術(shù)標(biāo)準(zhǔn)機(jī)構(gòu)“對(duì)象管理組織”(Object Management Group)下屬的一個(gè)特殊興趣小組。例如，該組織正在制定的一個(gè)標(biāo)準(zhǔn)是等效于材料清單的一個(gè)軟件。該軟件可讓企業(yè)客戶了解自己所使用的軟件中包含哪些組件，以及這些組件中是否存在任何已知的安全問題。

“該軟件目前正在開發(fā)中，我們預(yù)計(jì)這一工作將在今年春天的某個(gè)時(shí)候完成，”執(zhí)行董事比爾·柯蒂斯(Bill Curtis)說(shuō)。他表示，微軟公司、Linux基金會(huì)和其他大公司(總共約有30家公司)都參與其中。

供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估方面的缺口

樂博法律事務(wù)所(Loeb & Loeb)隱私、安全和數(shù)據(jù)創(chuàng)新業(yè)務(wù)聯(lián)合主席、律師伊安?喬利(Ieuan Jolly)表示，進(jìn)行適當(dāng)?shù)谋M職調(diào)查至關(guān)重要，這項(xiàng)工作與企業(yè)與其供應(yīng)商協(xié)商簽訂一份合同同等重要，甚至更為重要。如果某一供應(yīng)商由于自身原因造成違約而倒閉，那么他的客戶將無(wú)法獲得任何損失賠償。如果這些客戶確實(shí)獲得了損失賠償，“但對(duì)于公司所遭受的聲譽(yù)損失而言，這一補(bǔ)償是遠(yuǎn)遠(yuǎn)不夠的，”他說(shuō)。

根據(jù)萬(wàn)事達(dá)卡公司旗下的RiskRecon公司和Cyentia Institute公司最近對(duì)風(fēng)險(xiǎn)管理專業(yè)人士進(jìn)行的一項(xiàng)調(diào)查，其中79%的組織機(jī)構(gòu)目前已制定了管理第三方風(fēng)險(xiǎn)的正式計(jì)劃。最常見的風(fēng)險(xiǎn)評(píng)估方法是問卷調(diào)查(84%的公司使用該方法)，和文件審查(69%的公司使用該方法)。一半的公司采用遠(yuǎn)程評(píng)估，42%的公司采用網(wǎng)絡(luò)安全評(píng)級(jí)，34%的公司采用現(xiàn)場(chǎng)安全評(píng)估。

盡管問卷調(diào)查方法很受歡迎，但只有34%的風(fēng)險(xiǎn)專業(yè)人士表示，他們相信供應(yīng)商的回答。然而，當(dāng)發(fā)現(xiàn)問題時(shí)，81%的公司極少要求進(jìn)行糾正，而只有14%的公司非常堅(jiān)信，他們的供應(yīng)商能滿足自身的安全要求。

RiskRecon公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人凱利·懷特(Kelly White)表示，尤其是在SolarWinds攻擊事件之后，組織機(jī)構(gòu)需要關(guān)注他們的軟件供應(yīng)商，尤其是那些擁有訪問公司資產(chǎn)權(quán)限的軟件供應(yīng)商。他表示，這包括增加評(píng)估標(biāo)準(zhǔn)以涵蓋整個(gè)軟件開發(fā)過(guò)程，“以確保擁有足夠的管理措施，可防止引入惡意代碼?！?/p>

懷特表示，現(xiàn)在也是需要對(duì)最低權(quán)限進(jìn)行加倍關(guān)注的時(shí)候了。“在我擔(dān)任一家大型金融機(jī)構(gòu)的首席信息安全官期間，任何需要與互聯(lián)網(wǎng)通信的軟件，其網(wǎng)絡(luò)訪問權(quán)限都會(huì)受到限制，只能訪問那些預(yù)先設(shè)定的更新站點(diǎn)，”他說(shuō)。懷特之前在錫安銀行集團(tuán)(Zions Bancorporation)擔(dān)任首席信息安全官。

懷特表示，這一策略不僅可防止軟件與惡意的命令和控制服務(wù)器進(jìn)行通信，而且還可以在軟件試圖進(jìn)行通信時(shí)發(fā)出警報(bào)。

標(biāo)題名稱：供應(yīng)鏈攻擊事件告訴我們，為什么應(yīng)該警惕第三方供應(yīng)商
文章源于：http://fisionsoft.com.cn/article/ccieigi.html