导语:今年7月,美国情报机构发布了一份报告,强调了对软件供应链的攻击,是目前许多攻击企业的新方式,这可能会形成新一轮的威胁。
今年7月,美国情报机构发布了一份报告,强调了对软件供应链的攻击,是目前许多攻击企业的新方式,这可能会形成新一轮的威胁。来自各种来源的威胁情报数据表明,来自伊朗和俄罗斯的黑客正利用供应链作为来破坏国家基础设施和企业的运行。事实上,CrowdStrike最近的研究也发现,在过去的12个月中,不同行业的三分之二的企业都经历过软件供应链攻击。
由于传统的网络安全解决方案已经对网络进行了全方位保护,因此攻击者不得不寻找其他方法来渗透企业,所以他们转向了这种攻击方式。软件供应链漏洞是利用攻击目标与其软件供应商和业务合作伙伴之间的信任环节所做的攻击,特别是因为这些第三方供应商常常急于进入市场,而忽略了正确测试和源代码安全的最佳实践。
由于针对这些信任环节攻击的恶意软件非常成熟,以及不断发展的传播技术经常利用特权凭证或已知的基础设施漏洞,因此供应链攻击目前非常普遍,且针对的是整个受信任企业的客户群。供应链攻击的频率和成熟度也在不断提高,例如,攻击者使用合法的软件包来定位漏洞,因此当攻击发生时,很难检测和缓解此种攻击。
根据CrowdStrike的研究,这些攻击造成的企业损失平均超过100万美元,包括业务、生产率和响应成本。随着软件供应链攻击的增加,加上欧盟一般数据保护法规和其他隐私监管规则的实施,企业的安全措施不容忽视。根据CrowdStrike最近的供应链安全调查,80%的IT专业人士认为软件供应链攻击将是他们的企业在未来三年面临的最大网络威胁之一。
那么,企业应该做些什么来保护自己呢?
尽管企业越来越意识到供应链是一个新兴的攻击载体,但CrowdStrike的调查发现,企业目前还没有什么好的办法来缓解这种攻击。其中的一个大问题就是对供应商的审查,因为企业相信第三方在评估与它们的合作时,都会进行严格的安全调查,所以他们很少再进行严格的审查。比如,在调查中只有三分之一的企业受访者表示,他们审查了所有供应商的安全连接情况。还有三分之一的企业受访者表示确信,如果供应商发现安全隐患,则会通知他们。此外,72%的人表示,他们的组织并不总是要求外部供应商遵守他们自己已经执行的安全标准。
未来,所有行业的企业都将开始改变其供应商的审查流程。近60%的受访者认为这一过程有必要变得更加严格,需要进行更详细的检查,而80%的受访者表示,他们将避免与新兴或不太成熟的供应商合作,因为他们认为安全因素将是它们的弱点。
目前,主要的国家银行已经开始要求其供应商要满足某些最低限度的网络安全环境,以保护其客户的数据。但在实际审核方面,目前只有约一半的受访者会查看其供应商的内部安全标准或安全软件。此外,确保关键业务应用程序的及时更新以及确保在受控环境中正确测试更新,正成为安全和渠道组织讨论的常见主题。
在NotPetya攻击事件发生之后,95%的企业已经看到企业高层对此类攻击的态度发生了变化。而态度的改变和意识的提高只是一个开始,但充分防御软件供应链攻击需要有适当的工具和流程。
注:NotPetya的攻击能力不亚于一场小型战争,在出现数小时之内,NotPetya就蔓延到了乌克兰以外感染到全世界从宾夕法尼亚的医院到塔斯阿尼亚岛的巧克力工厂的无数机器上,给包括马士基、制药巨头默克、联邦快递欧洲分布TT Express、法国建筑公司Saint-Gobain、食品制造商Mondelēz以及制造商Reckitt Benckiser等在内的跨国公司。据美国白宫估计,目前它已经造成了超过100亿美元的总损失
为了使软件供应链攻击者更难以进入并遍历整个网络,研究人员建议企业实施以下措施:
1.基于行为的攻击检测解决方案,可以抵御复杂的供应链攻击;
2.分割网络架构;
3.漏洞管理解决方案;
4.改进用于管理环境中特权凭证使用的控制(包括对共享/嵌入式管理员帐户的控制);
5.此外,企业应该使用威胁情报,来帮助他们提供必要的数据和信息,以主动防御新的攻击;