基于情报的“攻击面管理”之(2)：供应链攻击面

供应链攻击是作为攻击目标的一种“曲线攻击”路径，即通过对目标相关的供应商攻击作为达到最终目标的方法。供应链和第三方已经成为了攻击方的重要突破口。一家组织的安全度取决于其供应链合作伙伴网络中的最弱一环，供应链任一节点被打破后，攻击者就能通过这层信任链路，利用多种攻击手段渗透到组织内部，窃取核心数据。

供应链攻击难以检测的原因主要有3个方面。
（1）供应商涉及面广，涉及组件庞大，难以有效全面识别。
（2）供应商系统安全防护能力相对较弱。
（3）供应商开发人员、服务人员基于交付为主，总体安全意识较低。

2     供 应 链 攻 击 面          

• 供应链污染的安全风险；

• 供应商软硬件产品的安全隐患或漏洞；

• 供应商造成的用户敏感数据泄露；

• 供应商驻场人员及关键岗位人员被社工风险。
  

2.1 供应商软硬件产品的安全隐患或漏洞

风险说明：供应商提供的软件、操作系统(OS)或硬件存在漏洞，黑客和网络犯罪分子可以利用第三方应用程序、操作系统和其他软件或固件中的漏洞来渗透网络，进行未授权访问或植入恶意软件。

应对措施：建立供应链产品清单和资产台账，加强对使用的第三方组件和开源组件的识别，加强对供应链产品的安全测试。

2.2 供应商造成的用户敏感数据泄露的风险

风险说明：主要指用户的业务数据、内部文件、项目信息、财务数据、核心图纸、软件代码、业务系统配置等等，有可能因为供应商人员的工作习惯（例如将文件上传到某些互联网服务器或者网盘上），也有可能因为供应商开发人员的误操作（例如Github权限设置不当），或者被恶意窃取（例如黑客通过技术手段获得、或者某些未授权人员通过其他违规手段获得）等传播在互联网上，导致内部机密外泄，或者导致黑客利用获取的代码和配置文件获知业务系统漏洞等。

应对措施：制定供应链安全管理制度，对供应商提出明确的安全要求，定期检查软件开发商代码文档管理情况。

2.3 供应商驻场人员及关键岗位人员被社工风险

风险说明：供应商人员的被社工攻击不容忽视，包括被钓鱼攻击、水坑攻击造成的系统被控或者数据外泄等。另外非法外连、数据外传、私自开放相关服务等违规的行为，也会给系统带来安全风险。

应对措施：加强供应商人员的安全管理要求以及安全意识的培训，甚至展开供应商特定岗位的演练，规避人员被利用的风险。

2.4 供应链污染的安全风险。

风险说明：供应商的自身系统存在漏洞，攻击者会进入到供应商系统中，对供应链进行污染，在开发工具、源代码、安装包下载、升级客户端时、厂商预留后门、物流链等环节上，攻击者进行侵入并植入恶意程序，通过上下游环节实现对用户系统的控制或破坏。

应对措施：对供应商提出明确的安全要求，定期对相关系统进行安全测试、安全检查，降低由于供应商系统失陷造成的供应链污染的风险。

供应商列表是基础，供应商的分类一般包括：核心供应商、关键供应商、重要供应商、一般供应商。也可以分为软件开放商、硬件供应商、产品提供商、服务提供商等。供应商信息列表是供应链攻击面管理的基础。

为了降低数字供应链的风险，需要基于风险对第三方和供应链进行攻击面梳理和分析，将供应商和第三方的数字资产纳入全面的、基于真实风险的攻击面评估体系中，建立完整的供应链安全风险管理流程，尽可能地缩小攻击面。

叠加赋能、共建生态，打造精细化高效率分析引擎！
道长且阻、行则将至，做数字经济时代安全守望者！

END

watcherlab

做数字经济时代的安全守望者

长按扫码可关注

原文始发于微信公众号（守望者实验室）：基于情报的“攻击面管理”之(2)：供应链攻击面