16% 的公司購買了被做過手腳的 IT 設(shè)備。

90% 的公司 “沒有做好準備” 應(yīng)對供應(yīng)鏈網(wǎng)絡(luò)攻擊。

[[312885]]

您如何知道服務(wù)器和設(shè)備內(nèi)部的關(guān)鍵部件是否有 “貓膩”?是否隨時可能發(fā)生故障或者隱藏著惡意軟件，悄悄從事鍵盤記錄，數(shù)據(jù)盜竊或破壞活動?

如今，大多數(shù)企業(yè)和供應(yīng)商都沒有做好應(yīng)對供應(yīng)鏈風險的準備，沒有檢測或者防范供應(yīng)鏈風險的有效方法和能力。

兵已入城

兩年前，信息安全論壇 (ISF) 董事總經(jīng)理史蒂夫·德賓 (Steve Durbin) 曾警告：

ESG 的研究發(fā)現(xiàn)，16% 的公司購買了被做過手腳的 IT 設(shè)備。

從那以后，情況變得越來越糟。CrowdStrike 最近對 1300 家公司進行的全球調(diào)查發(fā)現(xiàn)，有 90% 的公司 “沒有做好準備” 應(yīng)對供應(yīng)鏈網(wǎng)絡(luò)攻擊。

風聲鶴唳

2018 年末，彭博社的一篇失實報道聲稱中國在運往美國大公司的服務(wù)器上隱藏了間諜芯片。結(jié)果報道一出，引發(fā)了全球 IT 市場和金融市場大震動：報道中涉及的超微公司當天股價暴跌近 50%;蘋果股價跌幅近 2%;亞馬遜股價跌幅超 2%。

雖然這篇報道被美國相關(guān)企業(yè)、政府機構(gòu)和專家多方辟謠，但是此事件引發(fā)的恐慌表明供應(yīng)鏈安全已經(jīng)成為一種全球性的深度焦慮。當然，這個焦慮的根源其實來自斯諾登事件對美國情報機構(gòu)供應(yīng)鏈攻擊技術(shù)的披露。

在過去的幾年中，供應(yīng)鏈已經(jīng)已成為網(wǎng)絡(luò)安全的新戰(zhàn)場。一個很明顯的跡象：在 BlackHat 和 Defcon 上有關(guān)黑客入侵供應(yīng)鏈的演講開始增多。

新的一年已經(jīng)不知所措地到來，無論您是供應(yīng)鏈上的技術(shù)買家、賣家、制造商、投資者還是安全專家，供應(yīng)鏈網(wǎng)絡(luò)安全都應(yīng)當在你的行動清單中占據(jù)醒目位置，原因有以下五點：

1. 黑客扎堆供應(yīng)鏈

專家說，威脅不僅在飛速增長而且被低估。根據(jù)行業(yè)估計，供應(yīng)鏈攻擊現(xiàn)在占所有網(wǎng)絡(luò)攻擊的50%，去年同比激增了 78%。多達三分之二的公司經(jīng)歷了至少一次供應(yīng)鏈攻擊事件，平均成本：110萬美元。Ponemon Institute 于 2018 年進行的一項研究發(fā)現(xiàn)，有 56% 的組織由于其供應(yīng)商而出現(xiàn)違規(guī)。美國聯(lián)邦監(jiān)管機構(gòu)報告說，國防部供應(yīng)鏈中的 IC 和其他電子零件普遍被假冒。

幾股力量正在助長供應(yīng)鏈威脅。供應(yīng)鏈的云化、物聯(lián)網(wǎng)、全球化以及向龐大互聯(lián)的數(shù)字生態(tài)系統(tǒng)的轉(zhuǎn)型是主要因素;其他因素還包括地緣政治，以及有組織犯罪也渴望利用薄弱的供應(yīng)鏈聯(lián)系。

2. 每個人都在尋找解決方案

公共和私營部門正在發(fā)出警報。例如，埃森哲和 BSI 的最新報告都將供應(yīng)鏈網(wǎng)絡(luò)安全視為最大的挑戰(zhàn)。一個重要的公私合作聯(lián)盟最近呼吁在這個問題上進行迅速和嚴格的合作。這些伙伴關(guān)系中最具影響力的是 ICT 供應(yīng)鏈風險管理工作組，一個由美國國土安全部領(lǐng)導的 50 多個政府機構(gòu)和企業(yè)構(gòu)成的組織。

美國國家標準技術(shù)研究院 (NIST) 發(fā)布了有關(guān)供應(yīng)鏈風險管理的新指南，而美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 則啟動了 “全國供應(yīng)鏈完整性月”，并在 9 月發(fā)布的機構(gòu)工作組報告中概述了主要威脅情景、建議和基準。

3. 突破一點，傷及一片

供應(yīng)鏈攻擊實際上是兩種威脅。第一種嘗試擾亂或削弱物理的供應(yīng)鏈，例如國家黑客對關(guān)鍵基礎(chǔ)設(shè)施或能源系統(tǒng)的襲擊。

第二種是攻擊者則將供應(yīng)鏈作為攻擊數(shù)十、數(shù)百甚至數(shù)千個鏈上合作伙伴的渠道。

研究人員 Cybereason 表示，供應(yīng)鏈攻擊的最大特點是 “突破一點，傷及一片”，是低成本高回報的 “一本萬利” 的黑客商業(yè)模式。

通過查找和利用供應(yīng)鏈薄弱環(huán)節(jié)，攻擊者可以在供應(yīng)鏈實體之間跳來跳去，竊取數(shù)據(jù)，并監(jiān)視或銷毀它們。供應(yīng)鏈攻擊的這種由點到面的巨大破壞性吸引了大量黑客。

4. 硬件是新目標

Kingslayer、CloudHopper、CCleaner、ShadowPad、ShadowHammer、Black Ghost Knifefish、Heriplor，以上這些最近發(fā)生的供應(yīng)鏈攻擊都使用軟件或者將軟件(包括固件)作為目標。但是現(xiàn)在，黑客已經(jīng)加大了賭注。受到不斷增強的軟件安全保護的阻礙，黑客們開始將目光投向了硬件。在任何環(huán)境中，惡意入侵硬件堆棧(包括固件、BIOS和UEFI)都是一個巨大的威脅。而這種威脅在供應(yīng)鏈中被放大了許多倍。

5. 破壞性堪比“團滅”

供應(yīng)鏈違規(guī)造成的危害是長期隱患，因為這讓人們對產(chǎn)品的可靠性和安全性產(chǎn)生了懷疑。如下圖所示，制造過程中存在一系列潛在的危害，最高端是供應(yīng)鏈攻擊。

資料來源：英特爾

CISA 警告每個階段都存在供應(yīng)鏈風險：設(shè)計、開發(fā)和生產(chǎn)、分配、購置和部署、維護和處置。

同樣，違規(guī)會給企業(yè)造成一系列的傷害，包括聲譽受損和業(yè)務(wù)損失。

資料來源：德勤

科技和電子產(chǎn)品是國防、金融服務(wù)和能源領(lǐng)域最喜歡的目標，但沒有哪個行業(yè)能幸免?！?2019年全球威脅報告》發(fā)現(xiàn)，現(xiàn)在有超過一半的網(wǎng)絡(luò)攻擊利用了所謂的 “跳島攻擊”，這意味著攻擊者不僅針對一個組織。

攻擊者不只是要搶劫您和您整個供應(yīng)鏈中的人員。他們想要 ‘擁有’ 您的整個系統(tǒng)。

金融、制造和零售是供應(yīng)鏈攻擊重災(zāi)區(qū)

資料來源：《全球威脅報告》

生態(tài)系統(tǒng)保護的重要性

所有這些事實為我們勾畫出一個骨感的現(xiàn)實：供應(yīng)鏈威脅是嚴重的，而且會繼續(xù)惡化。

業(yè)界已經(jīng)達成了廣泛的共識：企業(yè)和組織必須積極發(fā)展信息驅(qū)動的供應(yīng)鏈網(wǎng)絡(luò)防御。但是，最有效的方法是什么?

普華永道 (PwC) 國家網(wǎng)絡(luò)威脅研究中心主管 Chadd Carr 建議說：

埃森哲提出了類似的建議：

本文涉及報告：

• BSI 2019年供應(yīng)鏈風險分析報告：https://www.bsigroup.com/globalassets/supplychain/localfiles/us/reports/bsi-screen-supply-chain-risk-insights-for-2019.pdf
• 埃森哲2019網(wǎng)絡(luò)威脅報告：https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50
• Carbon Black 2019全球事件響應(yīng)威脅報告：https://cdn.www.carbonblack.com/wp-content/uploads/2019/04/carbon-black-quarterly-incident-response-threat-report-april-2019.pdf

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文