人们应该知道的供应链安全漏洞

安全 漏洞
不仅是许多软件解决方案和物联网设备在公司的供应链上发挥作用。也有许多雇员和承包商参与其中。通常,出于后勤需要,这些员工被允许访问公司的部分网络或计算系统。

 由于地缘政治紧张,全球供应链正在遭受打击,更不用说全球持续蔓延的新冠疫情了。但供应链上还有一个问题仍然存在,它将比企业目前面临的两次中断更持久:供应链安全问题。

英国标准组织BSI一项为期10年的研究表明,全球供应链每周发生3.1起安全攻击事件。这种风险大部分来自IT安全问题。

威胁检测平台BlueHexagon公司首席技术官SaumitraDas表示:“供应链是IT安全的薄弱环节,因为企业不能总是控制供应链合作伙伴采取的安全措施。”

供应链在很多方面都很脆弱;供应链操作的复杂性扩展到供应链可能受到数字攻击的各种方式。但对于当今的全球企业来说,有几个领域尤其脆弱。

API的祝福和诅咒

全球商业的推动者之一是供应链上各种计算系统之间的互连。从历史上看,由于世界各地使用的各种系统、流程和标准,这一直是一个棘手而不完整的集成。

云计算特别是应用程序编程接口(API),极大地改善了这种情况,帮助企业通过API共享数据,而不必将其系统完全连接到更大的生态系统。

API是一个诱人的攻击目标,然而,API编码和方法中的缺陷可能会暴露数据。

Das指出,“许多供应链供应商都有通过API连接到组织的系统。”根据Gartner公司的预测,到2022年,API滥用将成为导致数据泄露的最常见的Web应用程序攻击类型。

利基托管服务提供商:供应链中的薄弱环节

许多拥有全球供应链的行业都有托管服务提供商,这些托管服务提供商提供的技术服务对他们所服务的行业来说是利基的。虽然这些托管服务提供商通过提供数字工具和服务为所服务的行业发挥着宝贵的作用,但他们通常是规模较小的组织,没有深入安全实践的资源。

与许多小型企业一样,这些行业托管服务提供商的安全性通常比它们所服务的大型组织要弱。问题在于,在全球供应链中,这些托管服务提供商成为了薄弱环节。

企业安全机构FireEyeMendiant公司的咨询经理ChrisLinklater表示:“许多此类提供商都是小企业,没有适当保护客户数据的资源或经验。“最近有几个托管服务提供商成为勒索软件的受害者的例子,这使他们客户的业务运营陷入瘫痪。”

工业软件:专业化是有代价的

同样的问题也会影响到供应链中经常使用的较小的第三方软件。大型企业软件供应商,如SAP和Oracle,在安全技术和最佳实践方面投入了大量资金,一般来说,他们和市场上的任何软件一样安全。不过,小型供应商的行业软件没有提供相同级别的安全。

由于全球企业在整个供应链上都依赖合作伙伴,使用小型第三方供应商开发的不太安全的软件的情况甚至不会立即显现出来。但它仍对企业及其运营构成风险。

Linklater说:“虽然大型软件供应商有资源来确保他们的产品经过严格的安全测试,但许多小型软件供应商没有这种奢侈。有许多中小型软件产品存在未修补的漏洞,或被威胁行为者利用向受害组织传递恶意代码的例子。”

物联网设备:一个等待发生的安全问题

互联网设备的使用,统称为物联网(IoT),近年来呈爆炸式增长。根据高德纳的研究,2019年,企业对物联网的采用增长了21.5%,该领域的物联网设备总数达到48亿台。

然而,物联网安全目前是一个巨大的问题。根据网络安全公司帕洛阿尔托网络威胁情报团队Unit42的研究,目前该领域大约57%的物联网设备容易受到中等或高严重程度的攻击。

Linklater指出:“这些物联网设备的挑战在于,它们的设计以成本和可靠性为优先考虑,而安全性往往被忽视。”“这些物联网设备存在风险,因为在部署过程中通常很难实施安全控制。”

虽然企业可以采取措施将物联网的风险降至最低,但企业无法在供应链的所有环节实施适当的物联网安全预防措施。这使得物联网成为一个巨大的风险。

第三方系统访问:不可避免且不受监控

不仅是许多软件解决方案和物联网设备在公司的供应链上发挥作用。也有许多雇员和承包商参与其中。通常,出于后勤需要,这些员工被允许访问公司的部分网络或计算系统。

虽然可能需要第三方访问系统,但这也是一个与物联网设备安全相同或更大的巨大安全风险。人类通常是安全链中最薄弱的一环,参与供应链但不受公司直接监控的工人是始终存在的安全隐患。

Das警告说:“有第三方访问组织网络的供应商可能会在不经意间受到损害,并进行渗透。其中一个最大的例子是Target攻击,攻击者设法通过暖通空调供应商渗透到Target的销售点(PoS)机器。”

企业从全球贸易及其日益复杂的供应链中受益匪浅。但正如上述风险因素所示,供应链也带来了相当多的额外安全风险。

责任编辑:武晓燕 来源: Harris编译
相关推荐

2023-02-23 07:52:20

2017-11-08 09:39:11

供应链消费升级CIO

2022-03-10 08:16:14

Kubernetes软件供应链

2021-02-05 14:11:13

物联网工业物联网安全

2021-05-11 11:11:00

漏洞网络安全网络攻击

2021-10-14 13:14:12

安全供应链漏洞威胁

2021-06-18 14:36:39

Google软件供应链安全框架

2016-09-08 19:01:07

Docker内网安全软件供应链

2020-04-14 08:56:43

网络勒索数据泄露网络攻击

2017-01-23 11:18:16

戴尔

2018-02-07 05:06:41

2011-11-04 14:23:05

2022-10-19 13:55:55

2015-12-09 14:47:13

2018-05-29 15:24:00

2018-11-09 15:46:34

ICT供应链漏洞

2022-04-26 10:47:15

智能供应链供应链

2021-06-04 10:05:59

供应链安全

2020-10-10 07:00:00

软件供应链软件开发

2012-11-29 10:25:16

IT供应链信息安全
点赞
收藏

51CTO技术栈公众号