文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

攻击比例持续骤增?不容忽视的供应链安全!

2024-12-02 06:03

关注

虽然供应链攻击由来已久,但近年来,其规模、复杂性及频率都在急剧增加。欧盟网络安全局 (ENISA) 于2021年7月发布的《供应链攻击威胁局势报告》中也强调了这一点。

此外,在近期中国产业互联网发展联盟指导下发布的《2022产业互联网安全十大趋势》中也强调,供应链安全风险从隐性变为显性。据Check Point 的《2022 年安全报告》显示,2021 年全球供应链攻击同比增长了 650%。

什么是供应链攻击?

供应链是设计、制造和分销产品所需的资源生态系统的组合。在网络安全方面,供应链包括硬件和软件、云或本地存储和分发机制。

供应链攻击是一种面向软件开发人员和供应商的新兴威胁,目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。

供应链攻击由对一个或多个供应商的攻击和随后对最终目标(即客户)的攻击组成,这种攻击可能在很长一段时间内不被察觉,需要数月才能成功。与高级持久性威胁(APT)攻击类似,供应链攻击通常是有目标的。另外,供应链攻击也会和APT攻击、勒索攻击结合在一起,攻击者最终的目的是加密企业设备、系统或数据,以此勒索企业牟取暴利。

Imperva曾分享的五种典型的攻击方法:

在以上五种供应链攻击方法中,有的攻击企业可以提前预防,但是有的攻击企业则束手无策。依赖关系混淆可以通过正确配置制品库进行阻止。利用第三方应用程序和利用开放源代码库中包含的漏洞,可以通过及时升级或者利用安全公司提供的补丁进行缓解,但是针对供应商产品注入和恶意接管方面目前并没有比较有效的通用方案。

重大供应链攻击事件频发

· 2020年12月,FireEye发布的关于SolarWinds供应链攻击的通告中表示,SolarWinds产品于2020年3月左右被攻击者植入后门,受到了严重的供应链攻击。本次供应链攻击事件波及范围极大,包括政府部门、关键基础设施以及多家全球500强企业,造成了重大影响。

· 2021年3月,占据全球90%航空份额的通信和IT厂商,国际航空电信公司SITA受到供应链攻击,攻击者窃取了该公司存储在美国服务器上的乘客数据,全球众多航空公司业务受到影响,甚至出现了大范围的数据泄露,直接造成了航空业“大地震”。

· 2021年7月,勒索组织REvil利用IT软件供应商Kaseya发起供应链攻击,有数千家公司中招。REvil攻击了Kaseya基于云的MSP平台(管理服务提供商),破坏其VSA基础设施,然后向VSA内部服务器推送恶意更新,在企业网络上部署勒索软件,导致Kaseya的客户遭供应链攻击。REvil宣称锁定了超过一百万个系统,并愿意就通用解密器进行谈判,起价为7000万美元,这是迄今为止开价最高的赎金。

· 2021年12月,Log4j2漏洞的爆发也引发了一场供应链安全危机,其影响范围极为广泛,同时也伴随着巨大的危害性。Log4j2作为一个堪比标准库的基础日志库,无数开源 Java 组件都直接或间接依赖于Log4j2。作为软件供应链中的核心原始组件,Log4j2的自身漏洞带给整个软件供应链的影响最为直接、隐秘,影响也最为深远。

供应链安全上升至国家战略层面

随着供应链安全形势的愈加严峻,越来越多的国家开始关注国家产业供应链战略,不断努力推动维护本国产业供应链安全的建设。很多国家都根据自己的国情制定了各自的全球产业供应链战略发展措施。

早在2012年欧洲网络和信息安全局(ENISA)就发布了《供应链完整性报告》(2015年更新),报告确定了供应链安全威胁的性质,并审查了可能的应对策略。

近日,美国国家标准与技术研究所(NIST)发布了关于确保软件供应链安全的最新指导,以响应政府旨在加强国家网络安全的行政令。据悉美国还建立跨部门产业供应链安全组织保障体系,多维度建立国家产业供应链安全战略体系,强化产业供应链安全立法体系建设,注重国家产业供应链安全政策研究,并强化产业供应链风险评估和安全审查。

随着越来越多的国家广泛应用现代信息技术,德国政府从政策层面上积极推动本国产业供应链向智能化、信息化方向发展,在信息通信技术基础之上的 CPS 系统构建智能工厂,构建智能制造供应链网络,不断提高制造业竞争力。

我国宏观层面对推动产业供应链发展给予了高度重视,微观层面为推动产业供应链发展不断赋能,企业不断拓展产业供应链发展的全球布局。

多年来,我国相继出台了供应链安全管理国家标准《信息安全技术 ICT 供应链安全风险管理指南》(GB/T 36637-2018)、发布了《信息技术产品供应链安全要求》征求意见稿、拟研究制定《信息安全技术软件供应链安全要求》,

以实现供应链的完整性、保密性、可用性和可控性安全目标,规定信息技术产品供应方和需求方应满足的供应链基本安全要求,并提升国内软件供应链各个环节的规范性和安全保障能力。

另外,对于我国供应链安全管理体系的完善,相关专家认为可以从战略规划、制度建设、保障机制、配套政策、标准体系五方面发力:

近年来由于疫情的持续蔓延,对全球供应链安全也产生了重大影响,保障供应链安全将成为一场持久战,各国应携手共同维护全球供应链安全,并发挥各自优势推动全球供应链安全治理。

来源:51CTO内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯