信息化觀察網(wǎng)

16％ 的公司購買了被做過手腳的 IT 設(shè)備。

90％ 的公司 “沒有做好準(zhǔn)備” 應(yīng)對(duì)供應(yīng)鏈網(wǎng)絡(luò)攻擊。

您如何知道服務(wù)器和設(shè)備內(nèi)部的關(guān)鍵部件是否有 “貓膩”？是否隨時(shí)可能發(fā)生故障或者隱藏著惡意軟件，悄悄從事鍵盤記錄，數(shù)據(jù)盜竊或破壞活動(dòng)？

如今，大多數(shù)企業(yè)和供應(yīng)商都沒有做好應(yīng)對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的準(zhǔn)備，沒有檢測或者防范供應(yīng)鏈風(fēng)險(xiǎn)的有效方法和能力。

兵已入城

兩年前，信息安全論壇 (ISF) 董事總經(jīng)理史蒂夫·德賓 (Steve Durbin) 曾警告：

當(dāng)我尋找可能缺乏信息安全保護(hù)的關(guān)鍵領(lǐng)域時(shí)，第一個(gè)想到的就是供應(yīng)鏈。

ESG 的研究發(fā)現(xiàn)，16％ 的公司購買了被做過手腳的 IT 設(shè)備。

從那以后，情況變得越來越糟。CrowdStrike 最近對(duì) 1300 家公司進(jìn)行的全球調(diào)查發(fā)現(xiàn)，有 90％ 的公司 “沒有做好準(zhǔn)備” 應(yīng)對(duì)供應(yīng)鏈網(wǎng)絡(luò)攻擊。

風(fēng)聲鶴唳

2018 年末，彭博社的一篇失實(shí)報(bào)道聲稱中國在運(yùn)往美國大公司的服務(wù)器上隱藏了間諜芯片。結(jié)果報(bào)道一出，引發(fā)了全球 IT 市場和金融市場大震動(dòng)：報(bào)道中涉及的超微公司當(dāng)天股價(jià)暴跌近 50%；蘋果股價(jià)跌幅近 2%；亞馬遜股價(jià)跌幅超 2%。

雖然這篇報(bào)道被美國相關(guān)企業(yè)、政府機(jī)構(gòu)和專家多方辟謠，但是此事件引發(fā)的恐慌表明供應(yīng)鏈安全已經(jīng)成為一種全球性的深度焦慮。當(dāng)然，這個(gè)焦慮的根源其實(shí)來自斯諾登事件對(duì)美國情報(bào)機(jī)構(gòu)供應(yīng)鏈攻擊技術(shù)的披露。

在過去的幾年中，供應(yīng)鏈已經(jīng)已成為網(wǎng)絡(luò)安全的新戰(zhàn)場。一個(gè)很明顯的跡象：在 BlackHat 和 Defcon 上有關(guān)黑客入侵供應(yīng)鏈的演講開始增多。

新的一年已經(jīng)不知所措地到來，無論您是供應(yīng)鏈上的技術(shù)買家、賣家、制造商、投資者還是安全專家，供應(yīng)鏈網(wǎng)絡(luò)安全都應(yīng)當(dāng)在你的行動(dòng)清單中占據(jù)醒目位置，原因有以下五點(diǎn)：

1、黑客扎堆供應(yīng)鏈

專家說，威脅不僅在飛速增長而且被低估。根據(jù)行業(yè)估計(jì)，供應(yīng)鏈攻擊現(xiàn)在占所有網(wǎng)絡(luò)攻擊的50％，去年同比激增了 78％。多達(dá)三分之二的公司經(jīng)歷了至少一次供應(yīng)鏈攻擊事件，平均成本：110萬美元。Ponemon Institute 于 2018 年進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，有 56％ 的組織由于其供應(yīng)商而出現(xiàn)違規(guī)。美國聯(lián)邦監(jiān)管機(jī)構(gòu)報(bào)告說，國防部供應(yīng)鏈中的 IC 和其他電子零件普遍被假冒。

幾股力量正在助長供應(yīng)鏈威脅。供應(yīng)鏈的云化、物聯(lián)網(wǎng)、全球化以及向龐大互聯(lián)的數(shù)字生態(tài)系統(tǒng)的轉(zhuǎn)型是主要因素；其他因素還包括地緣政治，以及有組織犯罪也渴望利用薄弱的供應(yīng)鏈聯(lián)系。

2、每個(gè)人都在尋找解決方案

公共和私營部門正在發(fā)出警報(bào)。例如，埃森哲和 BSI 的最新報(bào)告都將供應(yīng)鏈網(wǎng)絡(luò)安全視為最大的挑戰(zhàn)。一個(gè)重要的公私合作聯(lián)盟最近呼吁在這個(gè)問題上進(jìn)行迅速和嚴(yán)格的合作。這些伙伴關(guān)系中最具影響力的是 ICT 供應(yīng)鏈風(fēng)險(xiǎn)管理工作組，一個(gè)由美國國土安全部領(lǐng)導(dǎo)的 50 多個(gè)政府機(jī)構(gòu)和企業(yè)構(gòu)成的組織。

美國國家標(biāo)準(zhǔn)技術(shù)研究院 (NIST) 發(fā)布了有關(guān)供應(yīng)鏈風(fēng)險(xiǎn)管理的新指南，而美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 則啟動(dòng)了 “全國供應(yīng)鏈完整性月”，并在 9 月發(fā)布的機(jī)構(gòu)工作組報(bào)告中概述了主要威脅情景、建議和基準(zhǔn)。

3、突破一點(diǎn)，傷及一片

供應(yīng)鏈攻擊實(shí)際上是兩種威脅。第一種嘗試擾亂或削弱物理的供應(yīng)鏈，例如國家黑客對(duì)關(guān)鍵基礎(chǔ)設(shè)施或能源系統(tǒng)的襲擊。

第二種是攻擊者則將供應(yīng)鏈作為攻擊數(shù)十、數(shù)百甚至數(shù)千個(gè)鏈上合作伙伴的渠道。

研究人員 Cybereason 表示，供應(yīng)鏈攻擊的最大特點(diǎn)是 “突破一點(diǎn)，傷及一片”，是低成本高回報(bào)的 “一本萬利” 的黑客商業(yè)模式。

通過查找和利用供應(yīng)鏈薄弱環(huán)節(jié)，攻擊者可以在供應(yīng)鏈實(shí)體之間跳來跳去，竊取數(shù)據(jù)，并監(jiān)視或銷毀它們。供應(yīng)鏈攻擊的這種由點(diǎn)到面的巨大破壞性吸引了大量黑客。

4、硬件是新目標(biāo)

Kingslayer、CloudHopper、CCleaner、ShadowPad、ShadowHammer、Black Ghost Knifefish、Heriplor，以上這些最近發(fā)生的供應(yīng)鏈攻擊都使用軟件或者將軟件（包括固件）作為目標(biāo)。但是現(xiàn)在，黑客已經(jīng)加大了賭注。受到不斷增強(qiáng)的軟件安全保護(hù)的阻礙，黑客們開始將目光投向了硬件。在任何環(huán)境中，惡意入侵硬件堆棧（包括固件、BIOS和UEFI）都是一個(gè)巨大的威脅。而這種威脅在供應(yīng)鏈中被放大了許多倍。

5、破壞性堪比“團(tuán)滅”

供應(yīng)鏈違規(guī)造成的危害是長期隱患，因?yàn)檫@讓人們對(duì)產(chǎn)品的可靠性和安全性產(chǎn)生了懷疑。如下圖所示，制造過程中存在一系列潛在的危害，最高端是供應(yīng)鏈攻擊。

資料來源：英特爾

CISA 警告每個(gè)階段都存在供應(yīng)鏈風(fēng)險(xiǎn)：設(shè)計(jì)、開發(fā)和生產(chǎn)、分配、購置和部署、維護(hù)和處置。

同樣，違規(guī)會(huì)給企業(yè)造成一系列的傷害，包括聲譽(yù)受損和業(yè)務(wù)損失。

資料來源：德勤

科技和電子產(chǎn)品是國防、金融服務(wù)和能源領(lǐng)域最喜歡的目標(biāo)，但沒有哪個(gè)行業(yè)能幸免?！?2019年全球威脅報(bào)告》發(fā)現(xiàn)，現(xiàn)在有超過一半的網(wǎng)絡(luò)攻擊利用了所謂的 “跳島攻擊”，這意味著攻擊者不僅針對(duì)一個(gè)組織。

攻擊者不只是要搶劫您和您整個(gè)供應(yīng)鏈中的人員。他們想要 ‘擁有’ 您的整個(gè)系統(tǒng)。

金融、制造和零售是供應(yīng)鏈攻擊重災(zāi)區(qū) 資料來源：《全球威脅報(bào)告》

生態(tài)系統(tǒng)保護(hù)的重要性

所有這些事實(shí)為我們勾畫出一個(gè)骨感的現(xiàn)實(shí)：供應(yīng)鏈威脅是嚴(yán)重的，而且會(huì)繼續(xù)惡化。

業(yè)界已經(jīng)達(dá)成了廣泛的共識(shí)：企業(yè)和組織必須積極發(fā)展信息驅(qū)動(dòng)的供應(yīng)鏈網(wǎng)絡(luò)防御。但是，最有效的方法是什么？

普華永道 (PwC) 國家網(wǎng)絡(luò)威脅研究中心主管 Chadd Carr 建議說：

公司應(yīng)考慮定義合理的安全級(jí)別和相關(guān)控制措施，要求分包商、供應(yīng)商和關(guān)鍵供應(yīng)鏈合作伙伴達(dá)到或超過這些標(biāo)準(zhǔn)，作為既定業(yè)務(wù)協(xié)議的一部分。

埃森哲提出了類似的建議：

企業(yè)應(yīng)當(dāng)對(duì)其威脅狀況和供應(yīng)鏈脆弱點(diǎn)進(jìn)行全面了解。將網(wǎng)絡(luò)威脅情報(bào)整合到并購和其他具有戰(zhàn)略意義的行動(dòng)中，將供應(yīng)商和工廠安全測試納入其流程中，并實(shí)施以行業(yè)為中心的法規(guī)，來嘗試改進(jìn)現(xiàn)代全球業(yè)務(wù)運(yùn)營中固有的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的流程和風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。