日益脆弱的軟體供應鏈
今年7月,美國情報機構釋出了ofollow,noindex">一份報告 ,強調了對軟體供應鏈的攻擊,是目前許多攻擊企業的新方式,這可能會形成新一輪的威脅。來自各種來源的威脅情報資料表明,來自伊朗和俄羅斯的黑客正利用供應鏈作為來破壞國家基礎設施和企業的執行。事實上,CrowdStrike最近的研究也發現 ,在過去的12個月中,不同行業的三分之二的企業都經歷過軟體供應鏈攻擊。
由於傳統的網路安全解決方案已經對網路進行了全方位保護,因此攻擊者不得不尋找其他方法來滲透企業,所以他們轉向了這種攻擊方式。軟體供應鏈漏洞是利用攻擊目標與其軟體供應商和業務合作伙伴之間的信任環節所做的攻擊,特別是因為這些第三方供應商常常急於進入市場,而忽略了正確測試和原始碼安全的最佳實踐。
由於針對這些信任環節攻擊的惡意軟體非常成熟,以及不斷髮展的傳播技術經常利用特權憑證或已知的基礎設施漏洞,因此供應鏈攻擊目前非常普遍,且針對的是整個受信任企業的客戶群。供應鏈攻擊的頻率和成熟度也在不斷提高,例如,攻擊者使用合法的軟體包來定位漏洞,因此當攻擊發生時,很難檢測和緩解此種攻擊。
根據CrowdStrike的研究,這些攻擊造成的企業損失平均超過100萬美元,包括業務、生產率和響應成本。隨著軟體供應鏈攻擊的增加,加上歐盟一般資料保護法規和其他隱私監管規則的實施,企業的安全措施不容忽視。根據CrowdStrike最近的供應鏈安全調查,80%的IT專業人士認為軟體供應鏈攻擊將是他們的企業在未來三年面臨的最大網路威脅之一。
那麼,企業應該做些什麼來保護自己呢?
儘管企業越來越意識到供應鏈是一個新興的攻擊載體,但CrowdStrike的調查發現,企業目前還沒有什麼好的辦法來緩解這種攻擊。其中的一個大問題就是對供應商的審查,因為企業相信第三方在評估與它們的合作時,都會進行嚴格的安全調查,所以他們很少再進行嚴格的審查。比如,在調查中只有三分之一的企業受訪者表示,他們審查了所有供應商的安全連線情況。還有三分之一的企業受訪者表示確信,如果供應商發現安全隱患,則會通知他們。此外,72%的人表示,他們的組織並不總是要求外部供應商遵守他們自己已經執行的安全標準。
未來,所有行業的企業都將開始改變其供應商的審查流程。近60%的受訪者認為這一過程有必要變得更加嚴格,需要進行更詳細的檢查,而80%的受訪者表示,他們將避免與新興或不太成熟的供應商合作,因為他們認為安全因素將是它們的弱點。
目前,主要的國家銀行已經開始要求其供應商要滿足某些最低限度的網路安全環境,以保護其客戶的資料。但在實際稽核方面,目前只有約一半的受訪者會檢視其供應商的內部安全標準或安全軟體。此外,確保關鍵業務應用程式的及時更新以及確保在受控環境中正確測試更新,正成為安全和渠道組織討論的常見主題。
在NotPetya攻擊事件發生之後,95%的企業已經看到企業高層對此類攻擊的態度發生了變化。而態度的改變和意識的提高只是一個開始,但充分防禦軟體供應鏈攻擊需要有適當的工具和流程。
注:NotPetya的攻擊能力不亞於一場小型戰爭,在出現數小時之內,NotPetya就蔓延到了烏克蘭以外感染到全世界從賓夕法尼亞的醫院到塔斯阿尼亞島的巧克力工廠的無數機器上,給包括馬士基、製藥巨頭默克、聯邦快遞歐洲分佈TT Express、法國建築公司Saint-Gobain、食品製造商Mondelēz以及製造商Reckitt Benckiser等在內的跨國公司。據美國白宮估計,目前它已經造成了超過100億美元的總損失
為了使軟體供應鏈攻擊者更難以進入並遍歷整個網路,研究人員建議企業實施以下措施:
1.基於行為的攻擊檢測解決方案,可以抵禦複雜的供應鏈攻擊;
2.分割網路架構;
3.漏洞管理解決方案;
4.改進用於管理環境中特權憑證使用的控制(包括對共享/嵌入式管理員帳戶的控制);
5.此外,企業應該使用威脅情報,來幫助他們提供必要的資料和資訊,以主動防禦新的攻擊;