16% 的公司购买了被做过手脚的 IT 设备。
90% 的公司 “没有做好准备” 应对供应链网络攻击。
您如何知道服务器和设备内部的关键部件是否有 “猫腻”?是否随时可能发生故障或者隐藏着恶意软件,悄悄从事键盘记录,数据盗窃或破坏活动?
如今,大多数企业和供应商都没有做好应对供应链风险的准备,没有检测或者防范供应链风险的有效方法和能力。
兵已入城
两年前,信息安全论坛 (ISF) 董事总经理史蒂夫·德宾 (Steve Durbin) 曾警告:
当我寻找可能缺乏信息安全保护的关键领域时,第一个想到的就是供应链。 |
ESG 的研究发现,16% 的公司购买了被做过手脚的 IT 设备。
从那以后,情况变得越来越糟。CrowdStrike 最近对 1300 家公司进行的全球调查发现,有 90% 的公司 “没有做好准备” 应对供应链网络攻击。
风声鹤唳
2018 年末,彭博社的一篇失实报道声称中国在运往美国大公司的服务器上隐藏了间谍芯片。结果报道一出,引发了全球 IT 市场和金融市场大震动:报道中涉及的超微公司当天股价暴跌近 50%;苹果股价跌幅近 2%;亚马逊股价跌幅超 2%。
虽然这篇报道被美国相关企业、政府机构和专家多方辟谣,但是此事件引发的恐慌表明供应链安全已经成为一种全球性的深度焦虑。当然,这个焦虑的根源其实来自斯诺登事件对美国情报机构供应链攻击技术的披露。
在过去的几年中,供应链已经已成为网络安全的新战场。一个很明显的迹象:在 BlackHat 和 Defcon 上有关黑客入侵供应链的演讲开始增多。
新的一年已经不知所措地到来,无论您是供应链上的技术买家、卖家、制造商、投资者还是安全专家,供应链网络安全都应当在你的行动清单中占据醒目位置,原因有以下五点:
1. 黑客扎堆供应链
专家说,威胁不仅在飞速增长而且被低估。根据行业估计,供应链攻击现在占所有网络攻击的50%,去年同比激增了 78%。多达三分之二的公司经历了至少一次供应链攻击事件,平均成本:110万美元。Ponemon Institute 于 2018 年进行的一项研究发现,有 56% 的组织由于其供应商而出现违规。美国联邦监管机构报告说,国防部供应链中的 IC 和其他电子零件普遍被假冒。
几股力量正在助长供应链威胁。供应链的云化、物联网、全球化以及向庞大互联的数字生态系统的转型是主要因素;其他因素还包括地缘政治,以及有组织犯罪也渴望利用薄弱的供应链联系。
2. 每个人都在寻找解决方案
公共和私营部门正在发出警报。例如,埃森哲和 BSI 的最新报告都将供应链网络安全视为最大的挑战。一个重要的公私合作联盟最近呼吁在这个问题上进行迅速和严格的合作。这些伙伴关系中最具影响力的是 ICT 供应链风险管理工作组,一个由美国国土安全部领导的 50 多个政府机构和企业构成的组织。
美国国家标准技术研究院 (NIST) 发布了有关供应链风险管理的新指南,而美国网络安全与基础设施安全局 (CISA) 则启动了 “全国供应链完整性月”,并在 9 月发布的机构工作组报告中概述了主要威胁情景、建议和基准。
3. 突破一点,伤及一片
供应链攻击实际上是两种威胁。第一种尝试扰乱或削弱物理的供应链,例如国家黑客对关键基础设施或能源系统的袭击。
第二种是攻击者则将供应链作为攻击数十、数百甚至数千个链上合作伙伴的渠道。
研究人员 Cybereason 表示,供应链攻击的最大特点是 “突破一点,伤及一片”,是低成本高回报的 “一本万利” 的黑客商业模式。
通过查找和利用供应链薄弱环节,攻击者可以在供应链实体之间跳来跳去,窃取数据,并监视或销毁它们。供应链攻击的这种由点到面的巨大破坏性吸引了大量黑客。
4. 硬件是新目标
Kingslayer、CloudHopper、CCleaner、ShadowPad、ShadowHammer、Black Ghost Knifefish、Heriplor,以上这些最近发生的供应链攻击都使用软件或者将软件(包括固件)作为目标。但是现在,黑客已经加大了赌注。受到不断增强的软件安全保护的阻碍,黑客们开始将目光投向了硬件。在任何环境中,恶意入侵硬件堆栈(包括固件、BIOS和UEFI)都是一个巨大的威胁。而这种威胁在供应链中被放大了许多倍。
5. 破坏性堪比“团灭”
供应链违规造成的危害是长期隐患,因为这让人们对产品的可靠性和安全性产生了怀疑。如下图所示,制造过程中存在一系列潜在的危害,最高端是供应链攻击。
资料来源:英特尔
CISA 警告每个阶段都存在供应链风险:设计、开发和生产、分配、购置和部署、维护和处置。
同样,违规会给企业造成一系列的伤害,包括声誉受损和业务损失。
资料来源:德勤
科技和电子产品是国防、金融服务和能源领域最喜欢的目标,但没有哪个行业能幸免。《 2019年全球威胁报告》发现,现在有超过一半的网络攻击利用了所谓的 “跳岛攻击”,这意味着攻击者不仅针对一个组织。
攻击者不只是要抢劫您和您整个供应链中的人员。他们想要 ‘拥有’ 您的整个系统。
金融、制造和零售是供应链攻击重灾区
资料来源:《全球威胁报告》
生态系统保护的重要性
所有这些事实为我们勾画出一个骨感的现实:供应链威胁是严重的,而且会继续恶化。
业界已经达成了广泛的共识:企业和组织必须积极发展信息驱动的供应链网络防御。但是,最有效的方法是什么?
普华永道 (PwC) 国家网络威胁研究中心主管 Chadd Carr 建议说:
公司应考虑定义合理的安全级别和相关控制措施,要求分包商、供应商和关键供应链合作伙伴达到或超过这些标准,作为既定业务协议的一部分。 |
埃森哲提出了类似的建议:
企业应当对其威胁状况和供应链脆弱点进行全面了解。将网络威胁情报整合到并购和其他具有战略意义的行动中,将供应商和工厂安全测试纳入其流程中,并实施以行业为中心的法规,来尝试改进现代全球业务运营中固有的网络安全风险的流程和风险评估标准。 |
本文涉及报告:
- BSI 2019年供应链风险分析报告:https://www.bsigroup.com/globalassets/supplychain/localfiles/us/reports/bsi-screen-supply-chain-risk-insights-for-2019.pdf
- 埃森哲2019网络威胁报告:https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50
- Carbon Black 2019全球事件响应威胁报告:https://cdn.www.carbonblack.com/wp-content/uploads/2019/04/carbon-black-quarterly-incident-response-threat-report-april-2019.pdf
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】