在2023年,供应链网络安全风险将继续引起各种企业和组织的关注。这些风险比以往任何时候都更加突出,部分原因是复杂的IT生态系统使得很难保持供应链的可见性,甚至很难定义供应链。此外,正在进行的数字化转型计划增加了对第三方应用程序和代码的依赖(例如,开源项目和商业SaaS应用程序)。本文将介绍一些值得关注的关键供应链威胁,以及在2023年实现强大供应链安全的技巧。
2023年的关键供应链威胁
(1)开源漏洞
许多供应链攻击源于威胁行为者利用组织软件供应链中的弱点。Java日志库ApacheLog4j中的零日漏洞就是这种风险的一个例子,它立即使数千家使用该库的公司面临重大泄露风险。
供应链威胁有多种形式,但开源风险正在上升,因为越来越多的企业在从事快节奏的开发项目时依赖于现成的功能。无论是隐藏在广泛使用的开源库/框架中的恶意代码或不安全代码,还是开源项目中安全性不足的代码,了解这种威胁都是至关重要的。与开发人员沟通充分审查他们选择的开源项目的重要性。
(2)API安全事件
在当今无缝应用程序生态系统中,应用程序编程接口(API)是一个至关重要的环节,公司使用它来允许不同的应用程序相互通信。许多公司依赖于这些API,无论是来自与其网站绑定的支付处理系统,还是其关键业务活动所依赖的其他关键应用程序。
API也容易存在安全风险,当其他公司开发的API给黑客攻击其业务或访问其数据的机会时,这些风险就代表了供应链威胁。2022年的一项调查发现,41%的企业在过去12个月遭遇API安全事件。
(3)跳岛攻击
除了网络安全,跳岛攻击也是一种有效的攻击方式。但它在网络安全中的更险恶的含义与一种供应链威胁有关。在跳岛攻击中,对手将脆弱的第三方和第四方合作伙伴作为攻击目标,以利用通常规模更大的公司的网络防御。
“跳岛”的显著特征是对手如何在供应链的多个环节之间跳跃,直到他们能够破坏目标。这些类型的攻击利用了数字供应链复杂和交织的特性。
(4)欺诈
企业与其各种合作伙伴和供应商之间的信任关系也是威胁行为者的目标。利用这种信任来实施欺诈是一种过时的策略,但它不会很快消失。事实上,随着社会工程策略变得更加精细,并针对特定的个人,这种威胁可能会恶化。
鱼叉式网络钓鱼在利用供应链关系方面尤其有效。黑客可以欺骗商业供应商的域名,或者潜伏在只有轻微拼写错误的域名上。然后,威胁行为者可以发送自称来自供应商的电子邮件,要求向网络攻击者控制下的特定银行账户付款。物理安全风险也在欺诈中发挥作用,模仿一个可信的供应商可以欺骗员工允许未经授权的人员进入你的场所。
2023年供应链网络安全的建议
(1)进行第三方风险评估
第三方风险评估是指在整个供应链中分析公司的第三方关系所带来的风险,包括供应商和服务提供商。这一做法是更广泛的第三方风险管理程序的一个关键方面,网络安全风险分析应在评估中发挥核心作用。
分析公司都应该能够提供评估问题的诚实答案,帮助企业评估他们对安全性的重视程度。每一两年重新评估所有供应商和合作伙伴。利用现成的问卷来帮助企业解决问题,例如共识评估倡议问卷(CAIQ)和标准化信息收集问卷。
(2)教育员工供应链社会工程攻击
由于供应链社会工程攻击利用员工对供应商或供应商的信任来渗透公司网络或获取敏感信息,因此有必要关注持续的教育和培训,以降低欺诈和其他结果的风险。企业通过教育员工与这些攻击相关的风险,可以帮助他们更好地识别和防止可疑活动。
此外,当员工了解网络安全的重要性以及他们在保护敏感信息方面的作用时,他们更有可能采取预防措施来保护数据和防止攻击。特别有价值的是专注于供应链社会工程的特定培训材料。用社会工程模拟来补充标准的视频或文本学习,模拟真实世界的攻击。
(3)实施软件物料清单(SBOM)
软件材料清单(SBOM)是构成一个软件的所有组件的详细清单。它列出了从开源库到专有代码的所有内容,为整个软件供应链提供了透明度和可见性。拥有软件物料清单(SBOM)对供应链安全至关重要,因为它可以让企业识别漏洞、跟踪更改和监控更新,确保所有软件组件都是最新的和安全的。
软件物料清单(SBOM)还允许您通过识别哪些软件组件受漏洞影响并采取适当的操作来快速响应安全事件。美国政府2021年的一项行政命令特别呼吁加强软件供应链安全。软件物料清单(SBOM)是一个很好的候选者,因为它带来了透明性。
(4)创建开源安全策略
如果像许多公司一样,您希望从应用程序开发项目的开源库和框架中的现成功能中受益,请为开发人员创建开源安全策略。该政策应该概述开源代码的风险,并指导参与开发的任何人如何将这些风险降至最低。
一个重要的实践是,在将所有软件组件和依赖项集成到代码库之前,验证它们的真实性和完整性。此外,确保开发人员使用可靠的软件组件和依赖关系来源,并且只从可信的存储库下载代码。
(5)识别第四方供应商
当涉及到保护供应链时,需要获得更多的信息。如果企业面临勒索软件攻击或安全漏洞的风险,这可能是一个问题。通过了解整个供应商生态系统,可以识别与数据相关的潜在风险。然而,获取这些信息可能很耗时,而且很快就会过时。
为了应对这一挑战,可以考虑使用第三方评估平台来开发全面的供应商概况,其中包括位置、第四方(或者更直白地说,企业的供应商的供应商)和部署的技术等关键信息。这些信息可以与外部供应商周边扫描的数据进行补充,以创建关系图,并降低成为跳岛攻击受害者的风险。
(6)利用外部帮助
对关键安全威胁和最佳实践的认识将有助于在2023年及以后加强供应链安全。供应链安全的另一个困难是,内部安全人员忙于扑灭其他火灾,这些特定的最佳实践很容易被忽视。
通过托管安全服务提供的外部帮助可以为增强供应链的安全性提供许多好处。一个关键的优势是,托管安全服务提供商可以提供专业知识和资源,与高技能的安全专业人员团队一起检测和挫败威胁。外部安全专家凭借其深入的知识和经验,可以评估与供应链不同组件相关的风险,并实施有效的安全措施来防范攻击。
