攻击面是未经授权即能访问和利用企业数字资产的所有潜在入口的总和。攻击面可以进一步细分为数字攻击面、物理攻击面、社会工程攻击面、供应链攻击面、国产化资产攻击面等。
供应链攻击是作为攻击目标的一种“曲线攻击”路径,即通过对目标相关的供应商攻击作为达到最终目标的方法。供应链和第三方已经成为了攻击方的重要突破口。一家组织的安全度取决于其供应链合作伙伴网络中的最弱一环,供应链任一节点被打破后,攻击者就能通过这层信任链路,利用多种攻击手段渗透到组织内部,窃取核心数据。
供应链攻击难以检测的原因主要有3个方面。
(1)供应商涉及面广,涉及组件庞大,难以有效全面识别。
(2)供应商系统安全防护能力相对较弱。
(3)供应商开发人员、服务人员基于交付为主,总体安全意识较低。
2 供 应 链 攻 击 面
-
供应链污染的安全风险;
-
供应商软硬件产品的安全隐患或漏洞;
-
供应商造成的用户敏感数据泄露;
-
供应商驻场人员及关键岗位人员被社工风险。
2.1 供应商软硬件产品的安全隐患或漏洞
风险说明:供应商提供的软件、操作系统(OS)或硬件存在漏洞,黑客和网络犯罪分子可以利用第三方应用程序、操作系统和其他软件或固件中的漏洞来渗透网络,进行未授权访问或植入恶意软件。
应对措施:建立供应链产品清单和资产台账,加强对使用的第三方组件和开源组件的识别,加强对供应链产品的安全测试。
2.2 供应商造成的用户敏感数据泄露的风险
风险说明:主要指用户的业务数据、内部文件、项目信息、财务数据、核心图纸、软件代码、业务系统配置等等,有可能因为供应商人员的工作习惯(例如将文件上传到某些互联网服务器或者网盘上),也有可能因为供应商开发人员的误操作(例如Github权限设置不当),或者被恶意窃取(例如黑客通过技术手段获得、或者某些未授权人员通过其他违规手段获得)等传播在互联网上,导致内部机密外泄,或者导致黑客利用获取的代码和配置文件获知业务系统漏洞等。
应对措施:制定供应链安全管理制度,对供应商提出明确的安全要求,定期检查软件开发商代码文档管理情况。
2.3 供应商驻场人员及关键岗位人员被社工风险
风险说明:供应商人员的被社工攻击不容忽视,包括被钓鱼攻击、水坑攻击造成的系统被控或者数据外泄等。另外非法外连、数据外传、私自开放相关服务等违规的行为,也会给系统带来安全风险。
应对措施:加强供应商人员的安全管理要求以及安全意识的培训,甚至展开供应商特定岗位的演练,规避人员被利用的风险。
2.4 供应链污染的安全风险。
风险说明:供应商的自身系统存在漏洞,攻击者会进入到供应商系统中,对供应链进行污染,在开发工具、源代码、安装包下载、升级客户端时、厂商预留后门、物流链等环节上,攻击者进行侵入并植入恶意程序,通过上下游环节实现对用户系统的控制或破坏。
应对措施:对供应商提出明确的安全要求,定期对相关系统进行安全测试、安全检查,降低由于供应商系统失陷造成的供应链污染的风险。
供应商列表是基础,供应商的分类一般包括:核心供应商、关键供应商、重要供应商、一般供应商。也可以分为软件开放商、硬件供应商、产品提供商、服务提供商等。供应商信息列表是供应链攻击面管理的基础。
为了降低数字供应链的风险,需要基于风险对第三方和供应链进行攻击面梳理和分析,将供应商和第三方的数字资产纳入全面的、基于真实风险的攻击面评估体系中,建立完整的供应链安全风险管理流程,尽可能地缩小攻击面。
叠加赋能、共建生态,打造精细化高效率分析引擎!
道长且阻、行则将至,做数字经济时代安全守望者!
watcherlab
做数字经济时代的安全守望者
长按扫码可关注
原文始发于微信公众号(守望者实验室):基于情报的“攻击面管理”之(2):供应链攻击面
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论