企业可以通过采用主动的网络安全策略,将其纳入供应商评估,并将其视为持续改进的过程,来更好地保护自己。
在《供应链中的网络安全》系列文章中,Seongkyoon Jeong探讨了与供应链管理者相关的网络安全问题和策略。Jeong是田纳西大学Haslam商学院的助理教授,专注于数字供应链的研究,拥有丰富的检测软件系统漏洞和评估网络攻击经济影响的经验。在他之前的文章中,Jeong探讨了为什么网络安全已成为供应链领域的主要风险,并介绍了行业领导者和政府为减轻风险所采取的措施。
本文的部分内容于2024年9月发布在田纳西大学全球供应链研究所的博客上,供应链专业人士可以在这里找到领先研究人员和学者关于全球供应链管理最新趋势和话题的重要阅读材料。
在上一篇文章中,我分析了供应链网络安全日益重要的原因,指出了它为何成为行业中的关键问题,并概述了行业领导者和政府为降低风险所采取的措施。今天,我将更深入地介绍影响供应链的三种常见网络攻击类型。我将提供案例分析,探讨这些攻击发生的原因,分析其影响,并提出企业可以采取的一些预防措施。
类型1:虚假的供应链
网络犯罪分子常用的一种长期战术是社会工程攻击。在这种网络攻击中,黑客冒充合法的利益相关者,如供应链合作伙伴、CEO,甚至政府官员,以操纵毫无戒心的受害者,促使他们做出危害安全的行为。这些攻击通常试图让受害者泄露敏感信息或转移资金。
在供应链背景下,由于大量依赖数字通信,尤其是电子邮件作为运营协调的标准,这种方法仍然非常有效。黑客通常采用两种策略:“散弹枪式”和更为精准的“狙击手式”策略。
在“散弹枪式”攻击中,攻击者通过发送泛泛的钓鱼邮件,广泛撒网,期望至少有部分潜在受害者会上钩。例如,在新冠疫情期间,网络犯罪分子冒充FedEx、DHL和UPS等知名物流公司,发送假冒的关于送货问题的通知,诱骗毫无戒心的受害者。同样,黑客也可能冒充热门物品的供应商。疫情期间,随着全球对口罩的需求激增,黑客利用个人防护设备的突发需求渗透到包括医疗设施和零售商店在内的各种供应链中。
而在“狙击手式”攻击中,黑客从社交媒体或商业网站等公开渠道收集目标的具体信息,通过制作高度定制化的钓鱼信息来提高攻击成功率。例如,一个广为人知的案例中,欺诈者冒充一位合同供应商,从佛罗里达州Ocala市盗取了74.2万美元。在另一例中,黑客入侵了中介机构(如电子邮件服务提供商),劫持了合法方之间的通信。
虽然这些攻击方法看似过时,但在当今数字化互联的世界中仍然非常有效。为了防御此类攻击,建议企业在做出关键决策(如付款)之前,采用多步骤验证流程。此外,即便是与经过认证的供应商合作,实施“零信任”政策也有助于确保在采取行动之前对所有通信进行验证。
类型2:针对供应商管理资源的网络攻击
另一种常见的供应链网络攻击形式是针对第三方供应商管理的资源,而不是直接攻击企业本身,这些资源可能包括敏感数据、IT基础设施和数字接入点,这使得供应商成为网络犯罪分子的理想目标,这类攻击往往产生连锁反应,导致供应商客户的运营受损,并造成声誉损害。
数据泄露是最常见的问题之一。供应商经常代表其客户处理敏感数据,如个人身份信息或专有的商业信息。一旦这些数据被泄露,供应商的客户及其客户的客户都会遭受严重后果。一个典型的例子是万豪国际(Marriott International)的数据泄露事件,通过供应商的漏洞,黑客曝光了社会安全号码等敏感数据。
除了数据,供应商提供的IT基础设施也是一个常见的攻击目标,尤其是在企业越来越依赖云计算和其他数字系统的情况下,然而,许多企业并不完全理解如何保护这些基础设施,从而使自己容易受到配置错误的影响。很多基于云的网络攻击正是由于用户公司设置不当的安全配置导致数据暴露在攻击者面前。例如,一些企业仅因简单的云配置疏忽而遭遇数据泄露。
此外,由于网络攻击导致供应商运营中断,可能会使整个供应链陷入停顿。以域名系统(DNS)攻击为例,黑客控制了供应商的DNS服务器,从而瘫痪了所有依赖该服务的在线运营。尽管企业通常试图通过建立二级渠道来缓解这些风险,但很多公司未能充分整合这些备份系统。CrowdStrike案例显示,许多企业的应急供应链计划设计不完善,尤其是在IT系统方面。
为防范此类攻击,企业必须超越基本的尽职调查,积极将网络安全评估纳入供应商选择过程中。就像可持续性逐渐成为供应商评估的关键因素一样,网络安全也应该是首要考虑事项。企业应评估供应商应对网络威胁的响应能力,确保供应商在解决漏洞方面保持积极主动,尤其是在攻击者和防御者不断演变的动态竞争关系中。
类型3:通过供应商访问客户系统的网络攻击
第三种也是最复杂的供应链网络攻击类型涉及黑客利用供应商对企业系统的访问权限。在这种情况下,攻击者入侵供应商系统,并利用其作为渠道,破坏公司的安全措施,这可能涉及被攻陷的软件、硬件或二者兼有。由于绕过了传统的安全协议,这类攻击尤其具有破坏性,因为它通常发生在公司信任的基础设施内部。
一个著名的例子是Magecart攻击,该攻击针对在线零售商窃取客户的信用卡信息。由于许多公司使用第三方应用程序来管理其电子商务系统,这使得它们容易受到这些外部应用程序中的安全漏洞的攻击。一旦恶意代码被注入,黑客就可以在不被察觉的情况下窃取敏感的客户数据。
另一个臭名昭著的案例是SolarWinds事件。黑客攻破了受信任的IT管理公司SolarWinds,并利用其软件更新作为攻击载体,渗透了包括美国政府机构在内的众多高调企业。
基于硬件的攻击同样令人担忧。2013年Target的数据泄露事件就是一个典型案例,黑客通过最初从被攻陷的供应商处投放的恶意软件,入侵了Target的销售终端(POS)系统。在这个案例中,漏洞来自Fazio Mechanical,这是一家位于宾夕法尼亚州的小型暖通空调(HVAC)公司,与Target有业务往来。黑客通过窃取Fazio技术人员的VPN凭证,获得了Target的网络访问权限,展示了供应商漏洞可能带来的广泛影响。
关键教训是,企业往往将其软件和硬件系统视为“黑箱”——这些系统在没有对内部运行机制完全可见的情况下运作,这种缺乏透明度使得企业难以评估初始的和持续的安全风险。正如供应链专业人员在质量管理中强调“持续改进”一样,网络安全必须被视为一个需要持续监控、更新和漏洞评估的过程。
