趋势观察:供应链安全将是未来的重要挑战

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2023-02-13
根据国外媒体报道,在过去的一个月内,位于英国的两家专业材料制造商摩根先进材料公司(Morgan Advanced Materials)和维苏威有限公司(Vesuvius Plc)分别向伦敦证券交易所提交了网络安全事件通知,披露了他们检测到的网络上未经授权的访问,两起网络安全事件的公开披露时间分别是2023年1月10日和2月6日。



这两家公司均为伦敦证券交易所上市的350家最具价值的企业之一,且均为工业组件制造企业,比如他们都能向钢铁冶炼行业提供先进的工艺陶瓷耐热材料。在公开披露遭遇网络安全事件之后,为上述两家公司带来的最直接影响就是股价分别遭到了不同程度的下滑,但分析背后影响则不会那么简单。
 
限于公开披露信息并不足以判定安全事件本质,但媒体指出已公开的事件影响描述基本符合勒索软件攻击,但如果把两起事件联系到一起,在短短一个月时间内两家具有一定相同属性的制造业企业先后遭到网络攻击,不免让人将视角更多的转到供应链安全之上。
 
从全球安全角度来讲,其仅限于字面意义上的供应链安全,比如过去几年疫情对全球供应链安全带来的挑战,而针对制造业下游企业的攻击,可能会对上游生产企业造成影响。从网络安全角度来看,针对定向企业的渗透攻击,也往往会从供应链角度作为主要切入点,其最大特点就是波及面可影响更多目标实体。
 
供应链安全将是未来的重要挑战
 
世界经济论坛最近发布的《2023年全球网络安全展望》就指出了这一点,供应链安全将是未来的重要挑战,从网络安全角度去思考的话,可以明显看到当前的商业组织似乎更多的关注自身网络安全建设,但日防夜防、“家贼”难防,任何一个薄弱的供应链都可能成为这个难防的“家贼”。
 
在今年年初由国内身份安全厂商中安网星主办的以实战攻防为主题的ADconf安全大会上,就有演讲嘉宾分享了实战化的供应链突破战术和战法,从更加薄弱的供应链入手,逐渐成为安全攻防演练活动中的主流选项。
 
在具体的行动中,无外乎是一些信息情报的收集,以及对象企业业务特性的洞悉与了解,从而选择最薄弱的关键目标。任何一个行业生态都不可能独立运行,攻击者可以选择从产品供应商、集统集成商、服务提供商作为切入方向,对于真实的攻击者而言,虽然从供应链角度实施攻击可能更加耗时,但无感知收益也更具诱惑力。
 
而过去的一些安全事件表明,一些典型的供应链攻击案例对于企业的IT服务带来的影响具有不可预测风险,企业现在需要准备更多,才能一定程度地避免供应链安全的复杂挑战。
 
这对大型生产制造业尤为重要,比如企业将IT运维承包给第三方机构,还有涉及庞大供应链当中的任何一环。安全专家在这方面的建议是除了建立供应链安全审查机制,更要以安全合约为抓手,建立安全责任制,强化外部的安全风险管理。当然,根据不同企业的规模,工作量方面本身也是一项挑战,甚至要面临不同地区的法律约束。
 
这方面的影响对于中小企业在今后的商业发展上要求更是苛刻的,他们必须向其商业链上游保证其安全性,绝对不能成为那个“家贼”,不然可能会被淘汰。
 
软件供应链攻击连年激增
 
因为疫情的原因,对于生产企业而言,供应链的可见性问题得到了更高的重视,行业也涌现出了大量地采用先进技术的供应链可见性解决方案。而从网络安全角度来讲,那个急需解决的,当属软件供应链的安全问题。
 
极具代表性的Log4j漏洞事件对软件供应链安全敲响了警钟,让开源组件集成率大幅放缓,但行业报告显示,2022年针对开源存储库的已知攻击仍然增长了633%。这也是时代所趋,数字时代下新场景新技术的应用比以往任何时期都要迅猛,为保障更快的业务上线,开源软件应用仍然在飞速增长,这也给攻击者提供了充足的攻击土壤。
 
国内安全厂商默安科技在出席2022首届全球数字生态大会上引用了一组自身观察的数据生动地展现了软件供应链的核心挑战,他们此前在对某一直辖市百万级日活的政务应用进行技术排查时发现,真正由软件开发供应商自己写的代码仅占5%。
 
悬镜安全此前发布的《2022 DevSecOps行业洞察报告》中也提出,2022下半年,开源软件供应链安全热度将只增不减。报告指出,作为业务应用程序的重要组成部分,开源软件已成为网络空间的重要基础设施。开源软件的大量使用导致软件供应链越来越复杂化和多样化,开源软件已成为影响软件供应链安全的关键因素之一。
 
软件供应链安全越发受到重视的大背景下,网络安全厂商也希望从软件开发安全角度来解决软件供应链安全问题,开发安全也因此成为重要的热门网安赛道之一,根据安全419过去两年以来的持续观察,软件开发安全领域市场体量不断增大,新的技术方法也不断涌现。
 
当然,以ChatGPT能够实现的简单的代码纠错不同,开发安全还需要全行业的持续关注与持续落地,安全不能独善其身,供应链安全更是如此。