供应链攻击多年来一直是网络安全专家关注的一个问题,因为针对单一供应商的一次攻击引发的连锁反应可能危及整个供应商网络。有分析数据显示,62%的供应链攻击都是通过恶意软件方式实施的。ENISA的报告称,当攻击者已经将注意力转移到供应商上时,强大的安全保护对组织来说已经不够了。显然,供应链攻击的影响越来越大,如系统停机、金钱损失和声誉损害等等,这些影响都在已发生的同类攻击中不断地被证明了的。与去年相比,预计2021年供应链攻击将增加4倍。这种新趋势就是为什么迫切需要采取新的保护措施,以预防和应对未来可能发生的供应链攻击,同时减轻其影响。
供应链攻击集中在供应商的代码上
在报告的事件中,约66%的攻击者为了攻击目标客户,将注意力集中在供应商的产品代码上。这表明组织应该在使用第三方代码和软件之前集中精力验证它们,以确保它们没有被篡改或操纵。
在分析的约58%的供应链攻击中,目标客户资产主要是客户数据,包括个人身份信息数据和知识产权。
在分析的66%的供应链攻击中,供应商不知道或没有报告他们是如何受到损害的,然而,仍有不到9%的因供应链攻击而受害的客户不知道攻击是如何发生的,这凸显了供应商和终端用户在网络安全事件报告方面的成熟度差距。
该报告为客户管理供应链网络安全风险和管理与供应商的关系提出了一些建议:
对客户的建议
识别和记录供应商和服务供应商
为不同类型的供应商和服务定义风险标准,如供应商和客户依赖关系,关键软件依赖关系等。
监控供应链的风险和威胁
在产品或服务的整个生命周期内管理供应商,包括处理报废产品或组件的流程
对与供应商共享或可访问的资产和信息进行分类,并定义访问和处理这些资产和信息的相关程序。
该报告还建议采取可能的行动,以确保产品和服务的开发符合安全实践。例如,建议供应商实施漏洞和补丁管理的良好做法。
对供应商的建议
确保用于设计、开发、制造和交付产品、组件和服务的基础设施遵循网络安全实践
监控由内部和外部来源(包括使用的第三方组件)报告的安全漏洞
维护包含补丁相关信息的资产清单。