在过去十年中,全球发生了200多起供应链攻击事件。其中一些事件影响了大量的供应商网络和数以百万计的客户,例如SolarWinds、Kaseya漏洞攻击和最近的Log4j漏洞攻击。
但是考虑到分布式工作的发展,特别是自从新冠疫情爆发以来,现在还有什么不是供应链的一部分?同样,哪个工作场所不包括在远程工作的各个方面?
对云托管平台、较弱的身份验证解决方案和公共工具的依赖已经变得普遍,而且现在已经没有回头路。人们所处的密集生态系统都在向其他一切渗透,企业之间的联系只会变得更加密切。
当然,在考虑安全性时,企业在业务上最依赖的供应商应该超越其他供应商。但如果供应链是任何可能让企业有机会跳转到另一个目标的事物,那么几乎所有事物都是供应链的一部分。对于网络攻击者来说,供应链中的所有弱点看起来都一样:都是攻击的机会。
提高生产力的成本
虽然网络攻击者的动机是机会,但企业必须处理其模糊的界限,这些界限曾经是网络安全的基础,其原因是生产力。
例如,越来越多的企业使用GitHub作为他们的代码管道。即使有像GitLab这样的内部解决方案也是如此,因为GitHub是开发人员上传和管理代码的更方便的方式。
IT专业人士知道锁定公共工具是可能的,但没有人会认为默认情况下它是安全的。事实上,情况恰恰相反。像GitHub这样的软件为那些攻击者提供了各种机会。
网络攻击者查看GitHub,可能看不到将成为他们实际攻击媒介的服务器,甚至看不到他们找到植入后门方法的服务器。但它是硬编码的开发人员凭据、有关软件包内部工作的重要信息等的关键情报来源。该视图可以让高级威胁参与者深入了解如何构建有效的后门,以及可以将其植入到何处,以便在不被发现的情况下轻松而可靠地访问。
GitHub还向网络攻击者提供有权访问存储库的开发人员列表。一旦在企业网络中站稳了脚跟,这份清单就可以作为一系列完美的目标。现在可能由于一台被侵入的笔记本电脑包含一个GitHub登录名,整个代码存储库以及它的宿主组织都可能遭到破坏。
同样,正式或非正式的“自带设备”政策的激增,以及开发人员从自己的设备登录到易于访问的服务,极大地扩大了企业的攻击面,因为它消除了作为内部服务防御的关键分段。
像攻击者一样思考,然后像企业高管一样思考
由于GitHub、AWS等服务构成了一个复杂的供应链威胁网络,因此很难将这些风险简明地传达给企业中的决策者。这就是在讨论供应链攻击等新闻中经常出现的话题,沟通是关键的原因。当只有几分钟的时间来推销安全信息时,简洁的沟通是至关重要的,而这可能触及问题关键。
安全专业人员通常喜欢谈论他们工作的细节,即使他们的听众不喜欢。其挑战在于建立安全投资的背景和需求,同时将它们与企业的目标联系起来,而不是散布没有人愿意想象的噩梦。
专注于最大的创收组织和最大的创收产品自然会吸引企业高管人员的注意。这为探索这些领域可能面临的威胁以及如何在不牺牲太多生产力的情况下应对这些威胁创造了机会。
了解供应链中的关键是企业控制的元素、瓶颈在哪里,以及可以在哪里引入关键缓解措施以防止小问题发展成为整个领域的危害。让企业高管了解供应链的规模和无定形性也是至关重要的,因为网络攻击者很清楚。
例如,如果企业公司使用Microsoft Teams,那么生产组织结构图中的每个人都可能知道这一点。但是他们可能没有意识到,作为这个无处不在的云服务的宿主,微软公司现在是供应链的一部分。现在,对于在全球大多数国家开展业务的全球规模最大软件公司的任何潜在风险,对企业来说都是潜在风险。
不管是好是坏,都在一起
从网络攻击者的角度考虑安全,尤其是信息安全,将会产生一种殊途同归的感觉。
从那些以攻击企业业务的攻击者的角度来看,可以看到与企业合作的每家公司以及使用的每一种工具都是企业安全中潜在的薄弱环节。因此,企业难以在不影响其上游和下游的每个组织的情况下做出风险决策。但是,这些决策的范围通常会产生巨大的风险,因此企业了解其主要供应商和客户通常是迈向有效供应链安全的最主要的一步。
人们需要认识到生产力的回报伴随着相互依赖的风险,而这是减少网络攻击者的攻击机会的关键一步。