如今,大数据、云计算、人工智能等新兴科技产业的快速发展和广泛应用,对传统业态产生了强烈的冲击,全球产业供应链系统面临着前所未有的变革,供应链安全成为网络安全体系面临的重要挑战。
虽然供应链攻击由来已久,但近年来,其规模、复杂性及频率都在急剧增加。欧盟网络安全局 (ENISA) 于2021年7月发布的《供应链攻击威胁局势报告》中也强调了这一点。
此外,在近期中国产业互联网发展联盟指导下发布的《2022产业互联网安全十大趋势》中也强调,供应链安全风险从隐性变为显性。据Check Point 的《2022 年安全报告》显示,2021 年全球供应链攻击同比增长了 650%。
什么是供应链攻击?
供应链是设计、制造和分销产品所需的资源生态系统的组合。在网络安全方面,供应链包括硬件和软件、云或本地存储和分发机制。
供应链攻击是一种面向软件开发人员和供应商的新兴威胁,目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。
供应链攻击由对一个或多个供应商的攻击和随后对最终目标(即客户)的攻击组成,这种攻击可能在很长一段时间内不被察觉,需要数月才能成功。与高级持久性威胁(APT)攻击类似,供应链攻击通常是有目标的。另外,供应链攻击也会和APT攻击、勒索攻击结合在一起,攻击者最终的目的是加密企业设备、系统或数据,以此勒索企业牟取暴利。
Imperva曾分享的五种典型的攻击方法:
- 利用供应商的产品进行注入(典型的如SolarWinds事件)
- 利用第三方应用程序(如邮件/浏览器漏洞)
- 利用开放源代码库中包含的漏洞
- 依赖关系混淆
- 恶意接管(担任社区项目维护者,注入恶意代码)
在以上五种供应链攻击方法中,有的攻击企业可以提前预防,但是有的攻击企业则束手无策。依赖关系混淆可以通过正确配置制品库进行阻止。利用第三方应用程序和利用开放源代码库中包含的漏洞,可以通过及时升级或者利用安全公司提供的补丁进行缓解,但是针对供应商产品注入和恶意接管方面目前并没有比较有效的通用方案。
重大供应链攻击事件频发
· 2020年12月,FireEye发布的关于SolarWinds供应链攻击的通告中表示,SolarWinds产品于2020年3月左右被攻击者植入后门,受到了严重的供应链攻击。本次供应链攻击事件波及范围极大,包括政府部门、关键基础设施以及多家全球500强企业,造成了重大影响。
· 2021年3月,占据全球90%航空份额的通信和IT厂商,国际航空电信公司SITA受到供应链攻击,攻击者窃取了该公司存储在美国服务器上的乘客数据,全球众多航空公司业务受到影响,甚至出现了大范围的数据泄露,直接造成了航空业“大地震”。
· 2021年7月,勒索组织REvil利用IT软件供应商Kaseya发起供应链攻击,有数千家公司中招。REvil攻击了Kaseya基于云的MSP平台(管理服务提供商),破坏其VSA基础设施,然后向VSA内部服务器推送恶意更新,在企业网络上部署勒索软件,导致Kaseya的客户遭供应链攻击。REvil宣称锁定了超过一百万个系统,并愿意就通用解密器进行谈判,起价为7000万美元,这是迄今为止开价最高的赎金。
· 2021年12月,Log4j2漏洞的爆发也引发了一场供应链安全危机,其影响范围极为广泛,同时也伴随着巨大的危害性。Log4j2作为一个堪比标准库的基础日志库,无数开源 Java 组件都直接或间接依赖于Log4j2。作为软件供应链中的核心原始组件,Log4j2的自身漏洞带给整个软件供应链的影响最为直接、隐秘,影响也最为深远。
供应链安全上升至国家战略层面
随着供应链安全形势的愈加严峻,越来越多的国家开始关注国家产业供应链战略,不断努力推动维护本国产业供应链安全的建设。很多国家都根据自己的国情制定了各自的全球产业供应链战略发展措施。
早在2012年欧洲网络和信息安全局(ENISA)就发布了《供应链完整性报告》(2015年更新),报告确定了供应链安全威胁的性质,并审查了可能的应对策略。
近日,美国国家标准与技术研究所(NIST)发布了关于确保软件供应链安全的最新指导,以响应政府旨在加强国家网络安全的行政令。据悉美国还建立跨部门产业供应链安全组织保障体系,多维度建立国家产业供应链安全战略体系,强化产业供应链安全立法体系建设,注重国家产业供应链安全政策研究,并强化产业供应链风险评估和安全审查。
随着越来越多的国家广泛应用现代信息技术,德国政府从政策层面上积极推动本国产业供应链向智能化、信息化方向发展,在信息通信技术基础之上的 CPS 系统构建智能工厂,构建智能制造供应链网络,不断提高制造业竞争力。
我国宏观层面对推动产业供应链发展给予了高度重视,微观层面为推动产业供应链发展不断赋能,企业不断拓展产业供应链发展的全球布局。
多年来,我国相继出台了供应链安全管理国家标准《信息安全技术 ICT 供应链安全风险管理指南》(GB/T 36637-2018)、发布了《信息技术产品供应链安全要求》征求意见稿、拟研究制定《信息安全技术软件供应链安全要求》,
以实现供应链的完整性、保密性、可用性和可控性安全目标,规定信息技术产品供应方和需求方应满足的供应链基本安全要求,并提升国内软件供应链各个环节的规范性和安全保障能力。
另外,对于我国供应链安全管理体系的完善,相关专家认为可以从战略规划、制度建设、保障机制、配套政策、标准体系五方面发力:
- 尽快提高供应链安全在制造业长期发展规划中的战略地位,形成国家层面的战略共识。
- 完善供应链安全的制度建设。
- 完善供应链风险防范保障机制。
- 制定供应链安全战略部署的政策体系。
- 加快供应链安全管理相关国家标准的研究制定,并促进国家标准与国际标准对接。
近年来由于疫情的持续蔓延,对全球供应链安全也产生了重大影响,保障供应链安全将成为一场持久战,各国应携手共同维护全球供应链安全,并发挥各自优势推动全球供应链安全治理。
