道高一尺魔高一丈 企业如何应对供应链攻击？

如今，黑客已经从只针对公司变成了针对企业的软件供应链。

2020年年底，全球领先的网络安全公司FireEye疑遭某APT组织的攻击，发布了关于SolarWinds供应链攻击的通告，通告中表明基础网络管理软件供应商SolarWinds旗下的Orion网络监控软件更新服务器遭黑客入侵并植入恶意代码，并将SolarWinds Orion软件更新包中被黑客植入的后门命名为SUNBURST，与之相关的攻击事件被称为UNC2452。

SolarWinds的系统被攻击之后，涉及范围极广，导致了多个美国联邦政府机构（包括政府部门、关键基础设施以及多家全球500强企业）的网络遭受入侵。该事件堪称美国历史上最为严重的安全事件，尽管已经过去了3年多时间，其影响依旧十分深远。

五花八门的供应链攻击

“供应链”这个概念对于不同的行业可以有不同的含义。但这里的概念可以描述为相互链接并实施到组织IT网络的硬件或软件解决方案，目的是实现最高效率。这些不受控制、未定期修补或更新的来源会带来网络攻击的风险，而这些风险本应确保最终生产力的安全。

软件供应链攻击是一种面向软件开发人员和供应商的新兴威胁。在软件供应链的开发、交付、运行三大环节中，APT组织通过找到这些环节中的薄弱点并植入恶意软件，对供应链上下游各企业进行恶意攻击。比如，A企业的软件使用了B企业提供的某个组件，攻击方会先在B企业的组件中找到薄弱点植入后门，从而达到攻击A企业及其他下游企业的目的。所以，软件供应链攻击的攻击面极大，隐秘度极高，常常令企业防不胜防。

SolarWinds攻击事件便是典型的，通过攻陷SolarWinds上游软件的服务器，进而发动大规模网络攻击的“软件供应链攻击事件”。

Akamai亚太地区及日本安全技术和战略总监Reuben Koh

Akamai亚太地区及日本安全技术和战略总监Reuben Koh告诉记者，在当今的互联世界里，供应链在提供产品和服务方面起着至关重要的作用，一旦出现中断，可能会引发一系列问题。SolarWinds事件充分说明了软件供应链攻击的严重性。

其实除了上面常见的软件攻击，针对供应商的网络钓鱼攻击是网络犯罪分子间接入侵企业网络和系统的另一种常见手段。当供应商，特别是IT外包或呼叫中心的供应商，成为网络钓鱼攻击的受害者时，网络犯罪分子会假扮成客户，骗取敏感信息或要求供应商重置密码。由于供应商可能没有像大型企业那样的安全意识和反网络钓鱼解决方案，这些攻击便更容易得手。因此，这些供应商便成了网络犯罪分子入侵大型企业网络的理想突破点。

另外，随着智能互联设备的大规模普及，攻击者对路由器、IoT设备和智能家电（甚至包括智能电视和洗衣机）等硬件设备的固件进行篡改，以植入后门或漏洞。这些被入侵的设备随后会被出售给最终企业，而这些企业在毫不知情的情况下将这些设备投入使用，从而为攻击者提供了一个潜在的入侵点。

总之，在供应链中，环节越多，漏洞出现的可能性越大，从而大大增加了遭受网络攻击的风险。Gartner预测，到2025年，全球将有45%的企业遭受软件供应链攻击。

针对性的防御策略

面对这些花样百出的供应链攻击，企业应该采取针对性的防御策略。

针对软件供应链攻击，企业必须采取主动的措施来应对软件供应链攻击。这包括进行严格的供应商风险管理，评估供应商的安全态势，并针对各类供应商制定独特的安全要求。此外，实施Zero Trust安全模式也有助于企业验证每个传入连接和请求访问的设备是否可信。

为了降低通过供应商实施的网络钓鱼攻击的风险，企业应当注重对供应商进行全面的安全意识培训，并执行严格的安全要求。通过扩大安全实践的范围以将供应商纳入其中并密切监控他们的活动，企业能够尽早发现可疑行为并进行有效应对。

检测硬件供应链攻击是一项极具挑战性的任务，因为这类攻击往往被制造商和供应商所忽视。企业必须依赖严格的质量控制和验证流程，以确保发现被入侵的硬件。尽管硬件供应链攻击发生的频率较低，但其检测难度大，且可能带来严重的后果。为了确保硬件产品的完整性，制造商和供应商必须执行彻底的测试和验证流程，包括对所有发货产品进行二次甚至三次的检查。

由于供应链攻击的有效性和企业间日益加强的相互依赖性，预计2024年供应链攻击数量将出现增长。随着企业不断扩展合作伙伴关系和生态系统，它们将更容易受到供应链攻击的威胁。攻击者通常会选择供应链中的薄弱环节作为目标，如安全措施和安全意识相对较差的小型供应商。

Reuben Koh表示，随着供应链中API数量的激增，企业必须采用专业的API安全防护工具来保护系统免遭与API相关的漏洞威胁。API是有效的数据传输通道。随着API数量的快速增长，传统的安全措施已无法满足需求。因此，在API的开发和发布阶段，都必须采取有效的保护措施。“评估AI赋能的安全解决方案正日益成为一种趋势。我们如何使AI不单单用于提高运营效率，而是能够提升我们的安全性呢？AI可以增强威胁检测和响应能力，并且将在未来一年内在这个领域实现显著的发展。”

供应链中的网络威胁问题为企业带来了重大挑战。企业必须采取积极主动且强有力的安全措施，以保护他们在关键技术领域的工作和投资。此外，企业还需与值得信赖的供应商建立合作关系，持续监控供应链中的风险和漏洞，进行深入的风险评估，并确保定期进行软件更新和修补工作。

尽管供应链网络安全问题错综复杂，但通过与更广泛的供应链生态系统进行合作，并实施这些措施，便可有效抵御和打击这些威胁和漏洞。