供应链安全实践:基于风险的“供应链攻击面”梳理和分析

admin 2023年2月27日01:34:17评论236 views字数 2493阅读8分18秒阅读模式

1  概  述  

供应链环节非常复杂、流程和链条很长,暴露给攻击者的攻击面越来越多,供应链的各个环节的薄弱点都有可能成为攻击者的攻击入口。同时供应链既有传统意义上供应商到消费者之间供应链条中信息流的问题,也有系统和业务漏洞、非后门植入、软件预装,甚至是更高级的供应链预制问题。
供应链安全实践:基于风险的“供应链攻击面”梳理和分析
供应链攻击面涉及供应商、人员、产品和服务等因素,上述因素相关的可被利用的风险总和可视为供应链攻击面。为了降低数字供应链的风险,需要基于风险对第三方和供应链进行攻击面梳理和分析,将供应商和第三方的数字资产纳入全面的、基于真实风险的攻击面评估体系中,建立完整的供应链安全风险管理流程,尽可能地缩小供应链攻击面
2  供应链安全风险列表  
类别
风险说明
供应链失陷
被攻陷的软件、硬件,即供应商提供的产品可能已经被攻击者控制。
供应链后门
系统存在预置的后门、默认缺陷(默认配置、默认口令)、或者预留的调试接口等。
供应链漏洞
供应商提供的软、硬件产品本身存在安全漏洞
供应链污染
供应商提供的软、硬件产品被植入了后门、木马等恶意代码
供应链数据安全
包括第三方数据聚合或数据泄露,供应商存储的客户数据泄露或供应商通过数据分析获取客户机密/秘密。
供应链社工
人始终是最大的漏洞,介入人员角色越多、攻击面越大,利用管理的薄弱点进行攻击是最难防范的风险之一。
供应商安全性
供应商内部安全管理和安全实践,避免供应商自己人员或系统被攻击,造成供应链环节的安全问题。

3 供 应 链 攻 击 面 详 述

针对供应链的七类风险供应链失陷、供应链后门、供应链漏洞、供应链污染、供应链数据安全、供应链社工、供应商安全性等,我们分别从攻击入口、攻击面、梳理分析方法逐一进行说明。

供应链安全实践:基于风险的“供应链攻击面”梳理和分析

3.1供应链数据安全

攻击入口
攻击面
梳理分析方法
Ø供应商存储的客户数据泄露
Ø供应商通过数据聚合分析获取客户机密/秘密。
Ø泄露用户互联网资产信息、账号信息、网络拓扑和运维等关键重要信息。
Ø泄露用户的源代码、文档等敏感信息。
Ø泄露用户的生产类数据。
Ø泄露的用户相关数据。
 
以攻击队视角,聚焦于监控互联网/暗网/深网等网络中客户敏感信息泄露的监测,监控范围覆盖互联网的各种信息泄露渠道,包括搜索引擎类、代码托管平台类、漏洞平台类、网盘类、文库类、社交平台类、社工信息类、业务相关类、资产信息类等平台。覆盖暗网上的与组织相关的敏感数据泄露、违法黑产交易、黑产舆情等情报监控,监测范围包括隐匿暗网平台、黑客论坛、勒索团伙站点、匿名社交软件等。

3.2供应链失陷

攻击入口
攻击面
梳理分析方法
利用已经失陷的系统,获取用户数据或实施破坏
Ø黑客已经获取到系统的密码。
Ø系统已经被攻击者植入后门木马。
Ø已经被做为隐蔽控制信道、数据回传隧道等。
Ø系统已经被控制的相关线索。
Ø数字风险监测:采用一体化挂马检测技术,高效、准确的识别页面中的恶意代码,可有效发现webshell、挖矿、挂马、后门、暗链等,同时针对系统出现的页面篡改、页面内容异常、特征异常等进行监测和告警。
Ø威胁情报关联:基于风险DNSURLIP 等海量威胁情报数据,实现暴露资产的失陷监控,包括木马后门、隐蔽控制通道等失陷线索。

3.3供应链后门

攻击入口

攻击面

梳理分析方法

利用系统的后门,获取用户数据或实施破坏

 

供应商预留的,但是也可能别攻击者所发现并利用,主要包括:

Ø系统存在预置的后门

Ø系统的默认缺陷(默认配置、默认口令)

Ø系统预留的调试接口等。

Ø数字风险监测:采用主动探测的方式,及时发现系统默认配置、默认端口等开放情况。

Ø结合供应链情报,进行预置后门发现

Ø威胁情报关联:及时发现被利用的线索,及时进行溯源取证。


3.4供应链污染

攻击入口

攻击面

梳理分析方法

软件开发商、开源软件、第三方机构、软件供应商等

ØIDE开发工具污染攻击

Ø直接源码污染攻击

Ø软件存储替换和篡改攻击

Ø传输劫持和捆绑下载攻击

Ø升级劫持污染攻击

Ø软件分发环节

Ø .....

Ø结合供应链情报,及时的发现被污染的情况

Ø威胁情报关联:及时发现被利用的线索,及时进行溯源取证。


3.5供应链漏洞

攻击入口

攻击面

梳理分析方法

软件开发商、开源软件、第三方机构、软件供应商、产品提供商

软件、硬件各个层面的安全漏洞

摸排供应链产品清单

Ø梳理供应链产品安全隐患及漏洞清单

Ø供应链漏洞情报预警:获取最新的漏洞情报和威胁情报,结合系统指纹,定位数字资产的安全漏洞。

Ø供应链漏洞验证:针对特定的漏洞,通过POC进行漏洞验证。


3.6供应链社工

攻击入口

攻击面

梳理分析方法

供应商驻场人员

供应商远程支持人员供应商关键岗位人员

个人违规操作带来的风险:

Ø非法外连、非法外传数据文档等

Ø私自使用跳板

Ø私自私搭的服务

Ø私自开放相关的端口和系统

通过主动探测的方式,对用户网络暴露面上存活的资产进行发现,并利用丰富的资产指纹信

息对其进行识别与画像分析,再利用资产脆弱性检测能力对暴露资产的敏感端口、风险服务以及弱口令、漏洞等风险进行摸排,最终找到暴露面的未知资产、违规在运资产、过期未退运的资产、高危资产以及非必要开放的服务等风险

个人终端被钓鱼等社工方式控制的风险:

Ø个人终端中保存着账号密码

Ø个人终端中保存着"机密""绝密"文件

Ø个人终端存放了大量业务或生产数据

Ø个人终端内存在曾被植入的病毒或木马

把供应商相关“人员”风险纳入到攻击面管理体系中,进行安全培训或社会工程攻击演练,协助用户处置最容易忽略且难以快速规避的人员风险。


3.7 供应商安全性

攻击入口

攻击面

梳理分析方法

攻击者可以选择从产品供应商、系统集成商、服务提供商作为切入方向

 

供应商的系统被攻、人员被社工,造成供应链环节的安全问题。

Ø梳理供应链企业清单

Ø梳理供应链企业安全隐患

Ø梳理供应链企业风险清单

Ø梳理供应链企业攻击面

4  总 结 
锦岳智慧在业界率先为企业提供供应链攻击面检测产品和服务。通过和专业的扩展威胁情报(XTI)提供商零零信安深度合作,基于扩展威胁情报结合业务场景的关联分析,提供基于风险视角的“供应链攻击面”管理。
供应链安全实践:基于风险的“供应链攻击面”梳理和分析


END

供应链安全实践:基于风险的“供应链攻击面”梳理和分析
供应链安全实践:基于风险的“供应链攻击面”梳理和分析

watcherlab

做数字经济时代的安全守望者

长按扫码可关注




原文始发于微信公众号(守望者实验室):供应链安全实践:基于风险的“供应链攻击面”梳理和分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月27日01:34:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   供应链安全实践:基于风险的“供应链攻击面”梳理和分析https://cn-sec.com/archives/1576669.html

发表评论

匿名网友 填写信息