网站渗透

黑客攻防,ddos攻击,中国红客联盟,攻击服务器,黑产,拿站

2022年04月01日 15:15:00

攻击比例持续骤增?不容忽视的供应链安全!原创 作者:Blue 2022-03-04 15:57:26 安全 数据安全 2021 年全球供应链攻击同比增长了 650%。 如今,大数据、云计算、人工智能等新兴科技产业的快速发展和广泛应用,对传统业态产生了强烈的冲击,全球产业供应链系统面临着前所未有的变革,供应链安全成为网络安全体系面临的重要挑战。虽然供应链攻击由来已久,但近年来,其规模、复杂性及频率都在急剧增加。欧盟网络安全局 (ENISA) 于2021年7月发布的《供应链攻击威胁局势报告》中也强

如今,大数据、云计算、人工智能等新兴技术产业的快速发展和广泛应用对传统形式产生了强烈的影响。全球工业供应链系统正面临着前所未有的变化,供应链安全已成为网络安全系统面临的重要挑战。

虽然供应链攻击历史悠久,但其规模、复杂性和频率近年来急剧增加。欧盟网络安全局 (ENISA) 在2021年7月发布的《供应链攻击威胁局势报告》中也强调了这一点。

此外,在中国工业互联网发展联盟最近发布的《2022年工业互联网安全十大趋势》的指导下,还强调供应链安全风险由隐性转变为显性。Check Point 的《2022 年度安全报告》显示,2021 年全球供应链攻击同比增长了 650%。

什么是供应链攻击?

供应链是设计、制造和分销产品所需的资源生态系统的组合。在网络安全方面,供应链包括硬件和软件、云或本地存储和分销机制。

供应链攻击是对软件开发人员和供应商的新兴威胁,旨在通过感染合法应用进行分发恶意软件来访问源代码、构建过程或更新机制。

供应链攻击由对一个或多个供应商的攻击和对最终目标(即客户)的攻击组成。这种攻击可能很长一段时间都没有被发现,需要几个月才能成功。高级持久性威胁(APT)类似的攻击,供应链攻击通常是有目标的。此外,供应链攻击也将与APT结合攻击和勒索攻击,攻击者的最终目标是加密企业设备、系统或数据,从而勒索企业牟取暴利。

Imperva五种典型的攻击方法:

  • 注入供应商的产品(典型的例子)SolarWinds事件)
  • 使用第三方应用程序(如邮件/浏览器漏洞)
  • 利用开源代码库中包含的漏洞
  • 混淆依赖关系
  • 恶意接管(作为社区项目维护者,注入恶意代码)

在上述五种供应链攻击方法中,一些攻击企业可以提前预防,而另一些攻击企业则束手无策。通过正确配置产品库,可以阻止依赖关系的混淆。通过及时升级或使用安全公司提供的补丁,可以通过使用第三方应用程序和开源代码库中包含的漏洞来缓解,但目前还没有有效的供应商产品注入和恶意接管通用方案。

重大供应链攻击事件频频发生

· 2020年12月,FireEye发布的关于SolarWinds根据供应链攻击通知,SolarWinds该产品于2020年3月左右被攻击者植入后门,遭到严重供应链攻击。供应链攻击影响很大,包括政府部门、关键基础设施和世界500强企业。

· 2021年3月,通信和通信占全球航空份额的90%IT制造商,国际航空电信公司SITA受供应链攻击,攻击者窃取了该公司存储在美国服务器上的乘客数据,影响了世界各地许多航空公司的业务,甚至大量数据泄露,直接导致了航空业的大地震。

· 2021年7月,勒索组织REvil利用IT软件供应商Kaseya发起供应链攻击,数千家公司被招募。REvil攻击了Kaseya基于云的MSP破坏平台(管理服务提供商)VSA然后是基础设施VSA内部服务器推送恶意更新,在企业网络上部署勒索软件Kaseya供应链攻击客户。REvil声称锁定了100多万个系统,并愿意就通用解密器进行谈判,起价为7000万美元,这是迄今为止最高的赎金。

· 2021年12月,Log4j2漏洞的爆发也引发了供应链安全危机,影响广泛,危害极大。Log4j2无数开源 作为与标准库相当的基本日志库Java 组件直接或间接依赖于Log4j2。作为软件供应链中的核心原始组件,Log4j2整个软件供应链的件供应链的影响最直接、最秘密、最深远。

供应链安全上升到国家战略水平

随着供应链安全形势的日益严峻,越来越多的国家开始关注国家产业供应链战略,不断推进维护国家产业供应链安全的建设。许多国家根据自己的国情制定了自己的全球产业供应链战略发展措施。

早在2012年欧洲网络和信息安全局(ENISA)发布了《供应链完整性报告》(2015年更新),确定了供应链安全威胁的性质,并审查了可能的应对策略。

最近,美国国家标准与技术研究所(NIST)为响应政府旨在加强国家网络安全的行政令,发布了关于确保软件供应链安全的最新指导。据悉,美国还建立了跨部门产业供应链安全组织保障体系,多维度建立了国家产业供应链安全战略体系,加强了产业供应链安全立法体系建设,重点研究了国家产业供应链安全政策,加强了产业供应链风险评估和安全审查。

随着现代信息技术在越来越多国家的广泛应用,德国政府在信息通信技术的基础上,积极推动国内产业供应链向智能化、信息化方向发展CPS 系统构建智能工厂,构建智能制造供应链网络,不断提高制造业竞争力。

中国的宏观层面高度重视促进产业供应链的发展。微观层面不断赋能促进产业供应链的发展,企业不断拓展产业供应链发展的全球布局。

多年来,我国出台了国家供应链安全管理标准信息安全技术 ICT 供应链安全风险管理指南(GB/T 36637-2018)、发布了《信息技术产品供应链安全要求》草案,拟研究制定《信息安全技术软件供应链安全要求》

为实现供应链的完整性、保密性、可用性和可控安全目标,规定信息技术产品供应商和需求方应满足的基本供应链安全要求,提高国内软件供应链各环节的标准化和安全保障能力。

此外,对于我国供应链安全管理体系的完善,相关专家认为,我们可以从战略规划、制度建设、安全机制、配套政策和标准体系五个方面努力:

  • 尽快提高供应链安全在制造业长期发展规划中的战略地位,形成国家战略共识。
  • 完善供应链安全体系建设。
  • 完善供应链风险防范保障机制。
  • 制定供应链安全战略部署政策体系。
  • 加快研究制定供应链安全管理相关国家标准,促进国家标准与国际标准的联系。

近年来,由于疫情的持续蔓延,对全球供应链安全也产生了重大影响。确保供应链安全将成为一场持久战。各国要共同维护全球供应链安全,充分发挥各自优势,推进全球供应链安全治理。

   

标签:供应链安全 网络安全 

作者:访客 , 分类:中国红客联盟 , 浏览:887 , 评论:5

  • 评论列表:
  •  莣萳做啡
     发布于 2022-06-10 00:24:59  回复该评论
  • 也将与APT结合攻击和勒索攻击,攻击者的最终目标是加密企业设备、系统或数据,从而勒索企业牟取暴利。Imperva五种典型的攻击方法:注入供应商的产品(典型的例子)SolarWinds事件)使用第三方应用程序(如邮件/浏览器漏洞)利用开源代码库中包含的漏洞混
  •  纵遇俗野
     发布于 2022-06-09 22:28:49  回复该评论
  • 右被攻击者植入后门,遭到严重供应链攻击。供应链攻击影响很大,包括政府部门、关键基础设施和世界500强企业。· 2021年3月,通信和通信占全球航空份额的90%IT制造商,国际航空电信公司SITA受
  •  泪灼本萝
     发布于 2022-06-09 19:46:31  回复该评论
  • 整性报告》(2015年更新),确定了供应链安全威胁的性质,并审查了可能的应对策略。最近,美国国家标准与技术研究所(NIST)为响应政府旨在加强国家网络安全的行政令,发布了关于确保
  •  余安渊鱼
     发布于 2022-06-10 03:21:06  回复该评论
  • g4j2无数开源 作为与标准库相当的基本日志库Java 组件直接或间接依赖于Log4j2。作为软件供应链中的核心原始组件,Log4j2整个软件供应链的件供应链的影响最直接、最秘密、最深远。供应链安全
  •  鹿岛萌懂
     发布于 2022-06-09 21:13:49  回复该评论
  • 客户)的攻击组成。这种攻击可能很长一段时间都没有被发现,需要几个月才能成功。高级持久性威胁(APT)类似的攻击,供应链攻击通常是有目标的。此外,供应链攻击也将与APT结合攻击

发表评论:

«    2023年7月    »
12
3456789
10111213141516
17181920212223
24252627282930
31
标签列表
文章归档

Powered By

Copyright Your WebSite.Some Rights Reserved.