供應(yīng)鏈攻擊呈上升趨勢的5個原因

隨著供應(yīng)鏈攻擊成為一種越來越常見的網(wǎng)絡(luò)攻擊類型，網(wǎng)絡(luò)安全專業(yè)人員需要提出新的、更強(qiáng)大的解決方案來應(yīng)對這種對全球個人和組織的持續(xù)威脅。供應(yīng)鏈攻擊呈上升趨勢有哪些原因?

什么是供應(yīng)鏈攻擊?

供應(yīng)鏈攻擊是一種通過尋找企業(yè)供應(yīng)鏈中的薄弱環(huán)節(jié)(如第三方軟件漏洞、硬件和服務(wù))來攻擊企業(yè)的網(wǎng)絡(luò)攻擊方式。即使一個組織本身具備強(qiáng)大的網(wǎng)絡(luò)安全，通常也可以因?yàn)椴话踩能浖?yīng)商或第三方被用作繞過組織安全系統(tǒng)的后門。

簡而言之，攻擊者會找到一個容易的目標(biāo)，并利用供應(yīng)鏈中各方之間的信任關(guān)系。通常，他們用惡意軟件感染供應(yīng)商的軟件，以獲得未經(jīng)授權(quán)的供應(yīng)鏈訪問，然后在網(wǎng)絡(luò)上傳播惡意軟件，甚至導(dǎo)致大規(guī)模的數(shù)據(jù)泄露。

為什么供應(yīng)鏈攻擊正在增加

供應(yīng)鏈攻擊危險的地方在于，即使是最輕微的安全漏洞或很小的變化也可能造成嚴(yán)重后果。例如，如果一段代碼被泄露，整個供應(yīng)鏈都可能受到影響。即使是受信任的軟件也無法免受這些類型的攻擊。

供應(yīng)鏈攻擊呈上升趨勢的一些主要原因：

1. 開源軟件中的漏洞

雖然開源軟件給開發(fā)團(tuán)隊(duì)帶來了便利，不但增加了開發(fā)的靈活性，而且還能在一定程度上削減成本。但其漏洞給應(yīng)用程序的安全帶來了嚴(yán)重的風(fēng)險。由于任何人都可以檢查、改進(jìn)或以其他方式修改開源軟件，這使得其容易受到供應(yīng)鏈攻擊。

網(wǎng)絡(luò)犯罪分子可以輕易利用其漏洞，未經(jīng)授權(quán)訪問組織的系統(tǒng)，從而竊取敏感數(shù)據(jù)或破壞軟件甚至整個系統(tǒng)。

2. 供應(yīng)商提供的軟件

依賴第三方應(yīng)用程序會增加網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)級安全威脅的風(fēng)險。如果第三方應(yīng)用程序被黑客入侵，網(wǎng)絡(luò)犯罪分子可能會從所有正在使用該應(yīng)用程序的用戶那里獲取敏感數(shù)據(jù)。

此外，該應(yīng)用程序可能沒有與使用的組織有相同的隱私保護(hù)，這意味著用戶數(shù)據(jù)可能會在未經(jīng)用戶同意的情況下與第三方共享。

3. 更復(fù)雜的惡意軟件

無論我們談?wù)摰氖抢账鬈浖㈤g諜軟件還是控制和命令攻擊，惡意軟件正變得越來越復(fù)雜，甚至ChatGPT也可以被用于創(chuàng)建惡意軟件。

隨著惡意軟件的發(fā)展，在供應(yīng)鏈中檢測它變得越來越困難，因?yàn)樗梢詡窝b成安全應(yīng)用程序或合法的軟件更新。

4. 內(nèi)部威脅或人為錯誤

對于供應(yīng)鏈攻擊，內(nèi)部威脅不僅限于組織的員工，還包括組織與之合作的所有第三方。為了對抗這種類型的威脅，應(yīng)用嚴(yán)格的訪問控制和用戶活動監(jiān)視至關(guān)重要。

人為錯誤因素不能完全消除，但可以通過適當(dāng)?shù)陌踩珜?shí)踐將其最小化，例如提高對供應(yīng)鏈問題的認(rèn)識并為員工提供培訓(xùn)。

5. 不存在的加密

為了保證組織內(nèi)敏感數(shù)據(jù)的安全，端到端加密是必不可少的。有了強(qiáng)大的加密功能，網(wǎng)絡(luò)犯罪分子在供應(yīng)鏈攻擊期間將難以建立數(shù)據(jù)泄露的后門。簡而言之所有私人數(shù)據(jù)都將保持私密。

我們能降低供應(yīng)鏈安全風(fēng)險嗎?

盡管做到供應(yīng)鏈安全并不簡單，但我們可以采取充分的防御將網(wǎng)絡(luò)攻擊風(fēng)險降至較低的水平。

減少系統(tǒng)之間的信任

減少內(nèi)部系統(tǒng)之間的信任數(shù)量對于阻止攻擊者利用供應(yīng)鏈攻擊深入組織至關(guān)重要。

端點(diǎn)上的訪問級別應(yīng)該使用最小權(quán)限原則來定義，這樣用戶僅具有完成其工作所需的訪問權(quán)限。同時即便是攻擊者竊取憑據(jù)，也會限制其訪問其他系統(tǒng)和資源的能力，從而降低影響。

識別漏洞

組織還可以通過測試其IT環(huán)境和安全流程來降低風(fēng)險。漏洞管理解決方案可以通過識別可能成為攻擊載體的安全缺陷，來防止企業(yè)遭到軟件供應(yīng)鏈攻擊。

檢測代碼中的漏洞和缺陷可以在軟件開發(fā)期間提高應(yīng)用軟件的安全性，如靜態(tài)應(yīng)用程序安全測試，動態(tài)應(yīng)用安全測試等。開源組件分析用來查找企業(yè)引用的第三方開源組件安全性。滲透測試可以評估組織是否給與過多的信任，以及對網(wǎng)絡(luò)攻擊的警惕程度。

來源：

https://www.makeuseof.com/reasons-why-supply-chain-attacks-are-on-the-rise/