A supply chain attack 是一个组织受到 threat actor 通过该组织的供应链合作伙伴之一获得了访问目标网络的权限. 通过这种方式,威胁参与者不仅可以访问其 network security 他们成功侵入了,但也侵入了所有接入被入侵网络的第三方.
根据网络安全基础设施和安全局(CISA), 供应链攻击——也被称为软件供应链攻击——可能发生“新获得的软件可能从一开始就受到损害, 或者可能通过补丁或热修复等其他方式发生妥协.”
Supply chain attacks work by 攻击者战略性地将恶意代码部署到他们知道要立即离开网络的更新中. 这是因为威胁参与者选择了一个作为另一个组织的供应商的组织作为目标, 他们可能会以补丁等形式向他们提供定期更新 vulnerabilities. CISA确定了攻击者首选的三种常见攻击技术:
Supply chain attacks 是否由于世界上大部分通信和企业信息共享的数字化等因素而呈上升趋势. Attackers, too, 是否越来越有信心通过其供应链合作伙伴破坏目标组织的能力, 例如受信任的供应商或承包商.
最近供应链攻击增加的另一个主要原因是开源软件采购的激增. 一些安全组织甚至不会在短期内定期了解新的开源漏洞——即使在它们被披露之后.
也许一个项目按时交付, 但是恶意代码很久以前就被注入到那些开源组件中,而这些组件正是构建该项目的基础. 如果在项目发布之前发现了恶意代码,那就太好了. 但现在,非但没有继续前进,反而以补救为名.
开源代码可以在开发组织中创造惊人的效率, 但是如果没有检测到漏洞或攻击者签名, 那么,这对该组织和整个企业来说都可能是灾难性的. 由于开放环境,开源软件中的安全性还带来了一些其他独特的挑战. 利用开源软件库的项目倾向于接受——根据利用开源的本质——各种各样的贡献.
Within a project of this type, for example, 新特性的优先级可能不够高,不足以让主要开发人员参与 软件开发生命周期 to dedicate time to it. 但是在开源社区中,任何在项目目标和最佳实践范围内花时间开发特性的人都很可能被接受并合并到项目中.
因此,项目可能突然发现自己成为通过“转换缺陷引入”恶意贡献的不知情目标."
除了上面提到的攻击类型之外, 让我们来看看威胁参与者在通过中介实现主要目标时喜欢利用的一些其他类型的供应链攻击.
根据英国政府国家网络安全中心的说法, 攻击者经常通过以下几种常见媒介到达首选目的地:
我们已经介绍了许多类型的供应链攻击,威胁参与者倾向于将其部署到毫无戒心的供应商/客户关系上, 那么让我们来看看最近一些众所周知的恶意攻击的例子.
There are obviously many tactics a security operations center (SOC) 为了减轻供应链攻击的风险和/或影响,可以采用哪些措施. 但是,让我们看一下创建更安全的供应链的一些更常见的最佳实践.
Every organization 有各种外部应用程序和服务提供者的入口和出口点吗. 当获得新的服务或供应商时, 访问控制列表(acl)被更新以适应新的数据流.
事件的早期阶段往往令人生畏, frustrating, 所有相关方都很困惑, 事故应对中最关键的要素之一就是遏制. 当发现攻击时,许多供应商会立即禁用外部连接, 但是,对于任何安全专业人员来说,依靠外部方为组织的最佳利益行事都是一项具有挑战性的工作.
如果您的组织有一个对受影响的供应商开放的外部连接列表, 创建模板或文件以方便地剪切和粘贴命令以切断连接是计划阶段的一个简单步骤 incident response. 这确保了供应商网络上发生的任何恶意行为都不会传入您的环境.
拥有一个集中的供应商存储库,其中包含与业务关系相关的帐户和服务水平协议(sla)的关键联系人(poc),这在发生业务冲突时是非常宝贵的资产 breach or attack.
该存储库支持与供应商的相关方进行快速通信,从而打开并维护一条清晰的通信线路, 因此,可以及时分享更新,并回答关键问题.
创建用于沟通的模板,以说明您的团队正在做什么来保护环境,并在发生安全事件时回答任何高级问题. For these documents, 最好与法律部门和高层领导合作,以确保披露这些信息的方式是适当的.