从伊朗到俄罗斯,各个国家都在把软件供应链作为攻击工具,来危害和扰乱敌对国的基础设施以及商业前景。
今年7月份,美国的情报机构发布了一份研究报告,报告主要强调了来自中国的软件供应链攻击威胁,并认为这种威胁将有可能长久性地侵蚀美国经济优势的竞争力。各种来源的威胁情报数据表明,包括伊朗和俄罗斯在内,各大民族国家都在利用软件供应链来攻击和危害敌对国的基础设施以及大型企业。根据CrowdStrike的最新研究,在过去的一年里,受调查的跨行业组织总共有三分之二都经历了软件供应链攻击。
针对网络周边设备的传统网络安全解决方案已经日趋成熟,因此网络犯罪分子必须要寻找其他的方法来渗透目标组织。对于各大组织、软件提供商以及业务合作伙伴来说,他们三者之间的信任基础就是软件供应链,因此软件供应链漏洞自然而然就会成为攻击者的目标之一。而且很多第三方供应商会急于让产品上市,因此他们更有可能会忽略产品安全测试以及源代码的安全保护。
由于先进的恶意软件传播技术通常利用的是特权凭证或者是已知的架构漏洞,供应链攻击其实是很常见的,而这种攻击往往针对的是目标组织的整个可信客户群。除此之外,软件供应链攻击也会越来越频繁,越来越复杂。
根据CrowdStrike的研究,这种攻击给目标组织带来的平均经济损失已经超过了100万美元,而这个数字涵盖了企业的对外业务、产品生产以及应对成本,而且其中的某些东西并不是可以用金钱价值来衡量的。软件供应链攻击事件的频繁出现,应该给各大组织敲响警钟。根据最新的调查数据,80%的IT专业人士都认为软件供应链攻击将成为他们企业未来三年需要面临的最严重的网络威胁之一。
何去何从
那么,各大组织应该怎么做才能保护自己呢?或者说,各位还应该做些什么呢?
虽然各大组织已经逐渐开始意识到了软件供应链这种新型的攻击载体,但是CrowdStrike发现他们大多数仍然不认为自己真的会受到这样的攻击。此外,另一个值得关注的领域就是供应商的安全审查了。但不幸的是,72%的受访者表示他们的组织并不会强制性要求外部供应商遵守与他们自己相同的安全标准。不过,很多组织逐渐开始提升他们的供应商审查方式了。将近60%的受访者表示,他们的组织需要更加详细和严格的安全检查策略,而80%的受访者表示,如果供应商的安全策略薄弱,他们可能会减少甚至是拒绝与这类供应商合作。
为了防范软件供应链攻击,组织应该建立更强有力的措施来进行彻底的安全审查。比如说,各大国家银行已经开始强制要求供应商应当满足某些最低程度的网络安全环境标准,以保护其客户的数据。但是在涉及到实际审查时,目前只有不到一半的受访者表示他们会关注供应商的内部安全标准或是使用的安全软件。
这里要跟大家分享一个算是比较好的消息:调查发现,自NotPetya事件之后,95%的企业董事会对供应链攻击的态度都发生了改变,而这种态度和认识的提升是一个很好的开始。
为了保护各大组织不受软件供应链攻击的影响,我们建议各大组织和企业做到以下几个方面:
1、 部署基于行为的攻击检测解决方案,以抵御复杂的供应链攻击;
2、 采用分段式网络体系结构;
3、 部署实时漏洞管理解决方案;
4、 提升系统管理控制策略,提升企业环境中特权凭证的使用管理(包括共享/嵌入式管理员账户的控制);
此外,为了提前应对将来可能发生的攻击,组织还应该利用好各种来源的威胁情报,以获取必要的数据和信息来主动防御新的攻击。
很显然,业界已经意识到了软件供应链攻击的威胁严重程度,而且各大组织应该立刻采取行动,以确保自己能够全力抵御这类破坏性攻击。
* 参考来源:darkreading, Alpha_h4ck编译,转载请注明来自FreeBuf.COM