以往2年对供应链导致了重要毁坏。新冠大流行将供应链攻击问题引向了前端,2020 年终断率升高了 67%,伴随着全世界销售市场融入“转型期”经营,问题预期将不断存有。
殊不知,对数据供货解决方法的日益依靠也为供应链攻击的提升确立了基本,预估将来与日俱增。2021年英国多次供应链攻击,也是这一推断的一个重要环节。
下列是公司必须认识的相关供应链威胁的信息内容。查询供应链安全性的当下情况,及其可以采用什么流程来减少整体风险性。
什么叫供应链攻击?
当威胁个人行为者应用外界合作方(例如经销商)有着或应用的联接应用程序或服务项目毁坏企业网络时,便会产生供应链攻击。有时候,权威专家也将这种称之为第三方或顾客价值攻击。
针对威胁参加者而言,供应链攻击的诱惑力取决于信赖。公司采用的应用程序和服务项目通常遭受安全性精英团队的信赖和核查。因而,她们通常可以浏览比较敏感或有價值的内部结构数据信息。假如攻击者可以从联接的供应链应用程序横着挪动到很大的企业网络自身,她们就可以盗取、数据加密或毁坏重要数据信息,并使企业损害数百万美元的检修费用和名誉损害。
伴随着互联网的发展趋势,这个问题更为繁杂。第三方经销商通常应用来源于别的业务流程合作方的手机软件,而这种合作方又有着自身的外界应用程序联接。因而,供应链攻击很有可能会使几个企业从预订总体目标中清除,进而很难被发觉。
取得成功的供应链攻击可能是一个巨大打压。当网络软件经销商 Solar Winds 在 2020 年底遭受侵入时,全世界有超出 18,000 家企业遭受危害。
以往的2021年供应链网络信息安全情况
如上所述,供应链攻击在 2021 年提高了。因为应用程序自然环境多元性的提升:企业必须可以抵御将来终断的灵巧和适应能力强的供应链。终究,扩张联接的应用程序和服務的总数有利于公司能够更好地解决持续变动的市面标准,还为威胁参加者造就了很大的攻击面。假如系统漏洞的确发生,那麼在供应链威胁变成更问题以前,更难发觉和清除他们。
2021 年特别注意的供应链攻击
供应链攻击在 2021 年有一个较好的开始。例如,2021 年 4 月,DevOps 专用工具服务提供商 Codecov 公布,她们的 Bash 脚本制作提交器被故意攻击者侵入。这使攻击者可以在持续信息内容 (CI) 自然环境中捕获 Codecov 顾客存放的信息内容。第三方调研工作人员还发觉,攻击者很有可能可以“盗取附加資源”并得到对客户凭证的访问限制,这相反又很有可能致使更高的系统漏洞。
2021 年 7 月,REvil 犯罪团伙毁坏了手机软件经销商 Kaseya 的网络安全管理包,并应用此软件在 Kaseya 的用户中间散播勒索病毒。据NPR报导,在 Kaseya 被侵入后,超出 200 家美企发觉这些人的互联网因勒索病毒攻击而偏瘫。
特别注意的是欧盟国家互联网安全局的研究发现,66% 的攻击集中化在经销商编码上。这代表着即使是强有力的内部结构防御力也很有可能不能缓解供应链攻击的危害。
普遍的供应链攻击方式
供应链攻击者的总体目标是毁坏受信赖的服务项目。从那边,她们可以得到更有價值的企业資源。一种常用的让步方式是钓鱼攻击。取得成功的钓鱼攻击攻击可以泄漏帐户和登陆密码数据信息,进而使攻击者可以在没有开启互联网防御力的情形下查验源码。恶意程序也常见于渗入互联网和泄漏重要源码,攻击者接着可以更改和再次插进。
一些最多见的供应链威胁媒体包含:
- 第三方软件经销商
- 数据信息存储解决方案
- 开发设计或测试平台
- 网站建设服务。
在各种状况下,这种手机软件处理方案和服務都必须浏览公司基础建设的重要层面。这为故意个人行为者开拓了一条潜在性方式。
供应链安全性出色实践活动
当提到供应链攻击时,攻击者一直在找寻最单薄的阶段。因而,即使是强有力的公司防御力也很有可能不能维护重要财产。终究,这种第三方应用程序的可靠特性代表着他们通常不容易遭受一样的核查。这为攻击者造就了一个机遇:假如她们顺着供应链走得充足远,她们很可能会看到一个可以利用的系统漏洞并逐渐往上运动到重要应用程序。
为了更好地协助减少供应链威胁的风险性,安全性最佳实践尤为重要。这种包含:
1) 评定现阶段发展战略——更强的供应链安全性起源于现阶段发展战略:他们在缓解供应链威胁层面是不是合理?他们是不是合乎合规规定?她们能不能融入持续变动的风险性实际?
2) 检测、测试、再检测——按时网站渗透测试和漏洞扫描系统可以协助鉴别不确定性的供应链安全性缺点。从那边,可以关掉潜在性的攻击方式。
3) 鉴别和数据加密——根据辨别和数据加密其自然环境中的相对高度隐秘数据,公司可以降低的确产生的供应链攻击的范畴。即使故意个人行为者得到访问限制,她们也没法利用受保障的财产。
4) 第三方风险管控——现如今的供应链手机软件布局比之前什么时候都更为繁杂。因而,公司需要对经销商安全性实践活动开展详细分析。她们必须摆脱内部结构经营荒岛,以保证全部单位在维护层面都是在同一页表面。
5) 零信任架构——根据转为“自始至终认证,从来不信赖”架构,公司可以建立多功能性战地防御力。零信任乃至必须了解的应用程序和服务项目在得到互联网访问限制以前根据身份认证查验。
在合理的安全工具也具有减少供应链的发病风险性的功效。在这儿,利用区块链技术开展安全性买卖、利用人工智能技术改善威胁检验和根据云的威胁剖析开展迅速风险评价的解决方法通常最合适公司。
处理供应链攻击
道德底线?这一切都归纳为信赖。
供应链应用程序是公司规模性给予服务项目所必不可少的。殊不知,减少多元性的同样信赖也会提升总风险性。为了更好地缓解供应链攻击的危害,公司务必应用致力于检验出现意外个人行为、发觉恶意程序并拒绝访问潜在性威胁的专用工具和对策来操纵第三方联接。