|
|
51CTO旗下网站
|
|
移步端
创造专栏

2020年供应链安全的五大新挑战

现行,绝大多数企业和承包商都没有做好应对供应链风险的准备,没有检测或者防范供应链风险的得力措施和力量。

笔者:安全牛| 2020-01-14 14:25

16% 的合作社购买了把做过手脚的 IT 装备。

90% 的合作社 “没有做好准备” 应对供应链网络攻击。

您如何理解服务器和装置内部的严重性部件是否有 “猫腻”?只是随时可能发生故障或者隐藏着恶意软件,悄悄从事键盘记录,数量盗窃或破坏活动?

现行,绝大多数企业和承包商都没有做好应对供应链风险的准备,没有检测或者防范供应链风险的得力措施和力量。

兵器已入城

两年前,信息安全论坛 (ISF) 董事总经理史蒂夫·德宾 (Steve Durbin) 曾告诫:

顶我寻找可能缺乏信息安全保护的严重性领域时,先后一个想到的就是供应链。

ESG 的研讨发现,16% 的合作社购买了把做过手脚的 IT 装备。

副那以后,气象变得越来越糟。CrowdStrike 近些年对 1300 专家商厦展开的天下调查发现,有 90% 的合作社 “没有做好准备” 应对供应链网络攻击。

风声鹤唳

2018 年终,彭博社的一篇失实报道声称中国在运往美国大商厦的蒸发器上隐藏了间谍芯片。结果报道一出,引发了世界 IT 市场和国民经济市场大震动:报道中涉及的超微公司当天出口值下跌近 50%;苹果股价跌幅近 2%;亚马逊股价跌幅超 2%。

虽然这篇报道被印度相关企业、政府机关和大家多方辟谣,但是此事件引发的恐慌表明供应链安全已经化为一种全球性的吃水焦虑。当然,其一焦虑的滥觞其实来自斯诺登事件对德国情报机构供应链攻击技术之披露。

在过去的几年中,供应链已经已变成网络安全的新战场。一度很显然的迹象:在 BlackHat 和 Defcon 上有关黑客入侵供应链的讲演开始增多。

新的一年已经不知所措地赶来,不论是您是供应链上的技艺买家、卖家、发展商、证券商还是安全专家,供应链网络安全都应该在你的步履清单中占据醒目位置,原因有以下五线:

1. 黑客扎堆供应链

家说,威胁不仅在快速增长而且把低估。根据行业估计,供应链攻击现在占全部网络攻击的50%,去年同比骤增了 78%。多达三分之二之合作社经历了至少一次供应链攻击事件,平均成本:110万港币。Ponemon Institute 于 2018 年开展的一项研究发现,有 56% 的团队由于他供应商而出现违纪。尼日尔联邦监管机构报告说,电子部供应链中的 IC 和任何电子零件普遍被仿冒。

几股力量正在助长供应链威胁。供应链的云化、物联网、全球化以及向庞大团结的数字生态体系之切换是首要要素;其它因素还包括地缘政治,以及有集体犯罪也渴望利用薄弱的供应链联系。

2. 每个人都在摸索解决方案

集体和私营部门正在发射警报。例如,埃森哲和 BSI 的流行报告都将供应链网络安全视为最大的挑战。一度重要的公物合作联盟最近呼吁在这个题目上开展迅速和严酷的协作。该署伙伴关系中最具感染力的是 ICT 供应链风险管理工作组,一度由墨西哥国土安全部领导之 50 多个政府机关和企业组成的团队。

尼日尔国家标准技术研究院 (NIST) 通告了有关供应链风险管理的新指南,而日本网络安全与基础设施安全局 (CISA) 则启动了 “全国供应链完整性月”,并在 9 月公布之部门工作组报告中概述了第一威胁情景、提议和标准。

3. 打破一点,伤及一片

供应链攻击实际上是两种威胁。着重种尝试扰乱或削弱物理的供应链,例如国家黑客对重大基础设施或电源系统之侵袭。

其次种是攻击者则将供应链作为攻击数十、数百甚至数千个链上合作伙伴的渠道。

研讨人员 Cybereason 表示,供应链攻击的最大特点是 “打破一点,伤及一片”,是低成本高回报的 “一本万利” 的黑客商业模式。

穿过查找和采取供应链薄弱环节,攻击者可以在供应链实体之间跳来跳去,窃取数据,并监视或销毁它们。供应链攻击的这种由点到面的光辉破坏性吸引了大量黑客。

4. 硬件是新目标

Kingslayer、CloudHopper、CCleaner、ShadowPad、ShadowHammer、Black Ghost Knifefish、Heriplor,上述这些最近发生之供应链攻击都使用软件或者将软件(包括固件)表现目标。但是现在,黑客已经加大了赌注。受到不断加强的硬件安全保障的阻挠,黑客们开始将眼光投向了硬件。在其他环境中,恶意入侵硬件堆栈(包括固件、BIOS和UEFI)都是一番巨大的威慑。而这种威胁在供应链中把放大了很多倍。

5. 破坏性堪比“球灭”

供应链违规造成的危害是长远隐患,因为这让人们对产品的可靠性和多样性产生了疑虑。如下图所示,制造过程中生存一系列潜在的危害,高高的端是供应链攻击。

资料来源:英特尔

CISA 警告每个阶段都存在供应链风险:计划、付出和生产、分配、购买和布局、保护和惩罚。

同样,违规会给企业造成一系列的伤害,包括声誉受损和工作损失。

资料来源:德勤

科技和电子产品是国防、国民经济服务和自然资源领域最喜欢的对象,但没有谁行业能幸免。《 必发娱乐手机版全球威胁报告》意识,如今有超过半数之网络攻击利用了所谓的 “跳岛攻击”,这意味着攻击者不仅针对一个组织。

攻击者不只是中心抢劫您和您整个供应链中的人员。她们想要 ‘获得’ 您的总体系统。

国民经济、制造和零售是供应链攻击重灾区

资料来源:《大地威胁报告》

生态体系维护的重大

整整这些事实为我们描绘出一番骨感的实际:供应链威胁是惨重的,而且会持续恶化。

侨界已经达成了周边的共识:集团和团体必须积极发展信息驱动的供应链网络防御。但是,最有效的主意是什么?

普华永道 (PwC) 江山网络威胁研究中心主管 Chadd Carr 提议说:

商店应考虑定义合理的平安级别和相关控制措施,渴求分包商、证券商和重大供应链合作伙伴达到或超过这些标准,表现既定业务协议的组成部分。

埃森哲提起了类似之提议:

集团应当对他威胁状况和供应链脆弱点进行宏观了解。名将网络威胁情报整合到并购和任何具有战略性意义之步履中,名将供应商和工厂安全测试纳入其流程中,并实行以行业为骨干的法律,来品尝改进现代世界业务运营中固有的网络安全风险的流程和风险评估标准。

本文涉及报告:

  • BSI 必发娱乐手机版供应链风险分析报告:https://www.bsigroup.com/globalassets/supplychain/localfiles/us/reports/bsi-screen-supply-chain-risk-insights-for-2019.pdf
  • 埃森哲2019网络威胁报告:https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50
  • Carbon Black 2019大地事件响应威胁报告:https://cdn.www.carbonblack.com/wp-content/uploads/2019/04/carbon-black-quarterly-incident-response-threat-report-april-2019.pdf
  • 【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

    戳这里,瞧该作者更多好文 

    【编纂推荐】

    1. 网络攻击成本仅一顿饭钱
    【义务编辑: 赵宁宁 TEL:(010)68476606】

    点赞 0
  • 供应链安全  网络攻击
  • 分享:
    大家都在看
    猜你喜欢

  • <cite id="d0261e4b"></cite>
          
    1.