下一代供應(yīng)鏈攻擊需要新的安全策略

隨著數(shù)字化轉(zhuǎn)型及第三方應(yīng)用程序的激增，網(wǎng)絡(luò)安全問(wèn)題需要新的策略來(lái)應(yīng)對(duì)。

今年早些時(shí)候，根據(jù)Gartner預(yù)測(cè)，到2025年全球45%的組織將遭受軟件供應(yīng)鏈攻擊，比2021年增加三倍。這些攻擊不僅在增加，而且它們滲透系統(tǒng)的水平和攻擊者使用的技術(shù)也在不斷更新。攻擊者現(xiàn)在正在利用授予第三方云服務(wù)的訪問(wèn)權(quán)限作為進(jìn)入公司最敏感核心系統(tǒng)的后門，正如最近對(duì)Mailchimp，GitHub和Microsoft的攻擊。新一代供應(yīng)鏈攻擊正在出現(xiàn)。

應(yīng)用集成的興起

隨著絕大多數(shù)勞動(dòng)力已經(jīng)數(shù)字化，企業(yè)的核心系統(tǒng)已經(jīng)轉(zhuǎn)移到云端。這種加速采用云計(jì)算的方式成倍地增加了第三方應(yīng)用程序的使用以及系統(tǒng)和服務(wù)之間的連接，從而帶來(lái)全新的網(wǎng)絡(luò)安全挑戰(zhàn)。

有三個(gè)主要因素導(dǎo)致應(yīng)用到應(yīng)用連接性的增加：

產(chǎn)品主導(dǎo)的增長(zhǎng)(PLG)：在PLG和自下而上的軟件采用的時(shí)代，軟件即服務(wù)(SaaS)的使用;

DevOps：開發(fā)團(tuán)隊(duì)可以自由生成和嵌入API密鑰

超自動(dòng)化：超自動(dòng)化和低代碼/無(wú)代碼平臺(tái)的興起意味著“開發(fā)人員”只需撥動(dòng)開關(guān)即可集成和自動(dòng)化流程。

現(xiàn)在，任何類型的團(tuán)隊(duì)都可以輕松訪問(wèn)廣泛的集成，這意味著節(jié)省時(shí)間并提高生產(chǎn)力。然而，雖然這使組織的工作更容易，但它模糊了對(duì)潛在易受攻擊的應(yīng)用程序連接的可見性，使組織IT和安全領(lǐng)導(dǎo)者很難深入了解其環(huán)境中部署的所有集成，從而擴(kuò)展了組織的數(shù)字供應(yīng)鏈。

第三方問(wèn)題

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)最近更新了其網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理指南。這些新指令考慮到，隨著企業(yè)采用越來(lái)越多的軟件來(lái)幫助運(yùn)營(yíng)業(yè)務(wù)，為了提高效率和生產(chǎn)力，越來(lái)越多的第三方代碼集成到軟件產(chǎn)品中。雖然這種方式很便捷，但還有另一個(gè)完整的供應(yīng)鏈依賴生態(tài)系統(tǒng)，與核心系統(tǒng)與第三方應(yīng)用程序的大量集成有關(guān)，這一點(diǎn)常常被忽視。

對(duì)于那些內(nèi)部進(jìn)程具有不可逆的公司來(lái)說(shuō)，攻擊者只需發(fā)現(xiàn)連接的應(yīng)用程序或服務(wù)中最薄弱的環(huán)節(jié)，就能破壞整個(gè)系統(tǒng)。

企業(yè)需要確定如何更好地管理這種情況。比如這些應(yīng)用程序訪問(wèn)了什么級(jí)別的數(shù)據(jù)?這個(gè)應(yīng)用程序有什么樣的權(quán)限?應(yīng)用是否正在使用，正在進(jìn)行哪些活動(dòng)?

了解這些集成操作的層次可以幫助安全團(tuán)隊(duì)確定潛在的攻擊區(qū)域。在以產(chǎn)品為主導(dǎo)的增長(zhǎng)和自下而上的軟件采用的時(shí)代，很難了解組織云應(yīng)用程序之間的所有集成，因?yàn)槠髽I(yè)平均使用1，400 種云服務(wù)。

減少安全漏洞

數(shù)字供應(yīng)鏈攻擊的風(fēng)險(xiǎn)不再局限于核心業(yè)務(wù)應(yīng)用程序或工程平臺(tái)，這些漏洞現(xiàn)在已經(jīng)隨著互連第三方應(yīng)用程序、集成和服務(wù)的網(wǎng)絡(luò)激增而擴(kuò)大。只有新的治理和安全戰(zhàn)略才能縮小這一日益擴(kuò)大的安全差距。

在進(jìn)行新的安全防御戰(zhàn)略時(shí)，需要解決以下這些問(wèn)題：

檢查所有應(yīng)用程序連接的可見性：安全團(tuán)隊(duì)不僅需要清晰了解到連接敏感信息的系統(tǒng)，同時(shí)對(duì)系統(tǒng)內(nèi)部情況也需要了解。

軟件安全漏洞：應(yīng)用程序安全也是不可忽視的一部分，隨著敏捷開發(fā)的盛行，在開發(fā)期間通過(guò)靜態(tài)測(cè)試，動(dòng)態(tài)測(cè)試等方式來(lái)及時(shí)發(fā)現(xiàn)并修復(fù)安全缺陷，是減少應(yīng)用安全漏洞的有效方式之一。

威脅檢測(cè)：每個(gè)集成的部分(不僅僅是獨(dú)立應(yīng)用程序)都需要評(píng)估風(fēng)險(xiǎn)級(jí)別和暴露(例如，冗余訪問(wèn)、權(quán)限過(guò)多)。

補(bǔ)救策略：威脅防御策略不能是一刀切的事情。安全專業(yè)人員需要認(rèn)識(shí)到構(gòu)成攻擊表面的復(fù)雜的相互關(guān)聯(lián)的應(yīng)用程序范圍的上下文緩解措施。

自動(dòng)、零信任實(shí)施：安全團(tuán)隊(duì)必須能夠圍繞應(yīng)用層訪問(wèn)(例如，權(quán)限級(jí)別、身份驗(yàn)證協(xié)議)設(shè)置和實(shí)施策略護(hù)欄。

數(shù)字世界只會(huì)變得更加高度互聯(lián)，與此同時(shí)，我們需要進(jìn)一步了解供應(yīng)鏈中的這些潛在威脅，以免它們演變成更多嚴(yán)重的網(wǎng)絡(luò)攻擊。

來(lái)源：

https://www.darkreading.com/attacks-breaches/the-next-generation-of-supply-chain-attacks-is-here-to-stay