近年来,拉撒路、摩诃草、海莲花等APT组织活动日益活跃,其实这种以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,可以称得上是一种蓄谋已久的“恶意商业间谍威胁”。另外,这种行为往往经过长期的经营与策划,并具备高度的隐蔽性,这其中供应链攻击作为APT攻击中常用的技术手段之一,往往是比较容易被忽视、且难以检测的一类。
特别是近年来,随着数字化时代的高速发展,各项关键基础设施和重要资源对供应链越来越依赖,网络罪犯和黑客也已发现供应链里面充满了可供利用的漏洞,不少国家政府已经表示对供应链的完整性和脆弱性越来越担忧。因此,APT供应链攻击的防护应对分析,对提升国家网络安全具有较大意义。
供应链攻击原理
供应链攻击,主要是由于产业链上游产品或服务作为组件被APT组织攻击侵入,同时,供应商或服务商基于这些组件对产品或服务所形成的潜在信任很难发现被攻击,想要召回或升级这些产品的经济成本巨大,周期漫长。可以说,供应链攻击的特殊性在就在于侵入供应链的覆盖面积和主体的多样性上,而非破坏力上。
目前,根据对已知供应链污染的不同环节进行分析,发现在开发工具、源代码、厂商预留后门、安装包下载、物流链、升级客户端时,攻击者容易通过这些环节或组件进行侵入并植入病毒传播,甚至可导致百万级用户信息数据泄露、流量劫持等重大影响。
供应链检测难点
供应链作为制造业的关键角色,一旦攻击形成甚至可能造成整个目标沦陷,大量设备不可控,促使网络安全风险不断提升。从目前来看,造成供应链攻击难以检测的原因主要有以下三个方面:
一是组件供应商涉及面广。多数大型企业都拥有诸多关键数字资产、数字组件和支持系统,这些资产、组件以及支持系统所包涵的供应商涉及面广,且没有统一的规范标椎进行测试,以至于在检测时难度很大。
二是供应商安全防护能力弱。多数供应链攻击发生在生产、传输过程中,但在传统观念中,这些环节被默认是安全的,终端防护也很少对这些环节进行检测,且供应商安全能力较底,很难检测出攻击。
三是开发人员或供应商安全意识低。由于开发人员或供应商在应对供应链攻击时安全意识低,造成就算出现供应链异常或可疑行为,但依然难以确定造成这些安全漏洞的出现的是疏忽大意还是有意为之。
启示建议
在万物互联的数字经济时代,伴随着云计算、大数据、物联网、5G等新技术的崛起,各行各业都开始进行数字化智能化转型,网络安全也正从传统的物理边界防护向零信任安全转变。现代供应链作为全球物资和服务互相交错组成的复杂而又脆弱的网络,存在着涉及环节众多、地域跨度大、参与主体多样化等特点,非常容易受到内部以及外部环境的安全威胁。因此,我们在革新安全理念、技术手段,建立全新的技术防护体系的同时,也需要从政策、技术、安全意识培养三个方面入手,切实加强我国供应链攻击防护体系。
一方面制定专门的供应链安全框架,明确各方在供应链攻击防护中要承担的责任和义务。覆盖供应链管理上下游,通过与进出口许可管理制度、负面清单、不可靠实体清单等制度配合,尽可能保证供应链安全,帮助制造商评估和缓解其在信息及操作系统所面临的安全风险。
另一方面,将零信任等网络安全新理念列入需要“着力突破的网络安全关键技术”,推动零信任安全技术,打造无边界网络访问安全系统。
同时,持续提升开发人员或供应商的安全意识,为供应链安全态势带来积极影响。通过开展开发人员或供应商安全培训项目,改善供应链中每一个环节的安全状况,提升开发人员和供应商的安全意识。
声明:本文来自网络靖安司,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。