不久前，美國輸油管道發(fā)生的嚴重故障引起了全球各界廣泛關(guān)注，也再次引發(fā)了大家對于產(chǎn)業(yè)鏈網(wǎng)絡(luò)安全、供應(yīng)鏈安全乃至供應(yīng)鏈網(wǎng)絡(luò)安全的激烈討論。供應(yīng)鏈安全的影響之所以嚴重，就是因為它關(guān)系到經(jīng)濟損失、名譽損失甚至國家安全。

供應(yīng)鏈安全有哪些案例？

2021年5月7日，美國大型輸油管道遭受黑客攻擊，被竊取重要數(shù)據(jù)文件，管道運輸管理系統(tǒng)也遭到“劫持“，致使美國東部沿海各州的關(guān)鍵供油管道被迫關(guān)閉，盡管在幾天后重新投入使用，但此次事件對于企業(yè)的經(jīng)濟、燃料的供應(yīng)、國民的安全以及國家的穩(wěn)定性都造成了惡劣影響。該事件表面上是一起典型的勒索病毒攻擊事件，但實際上影響的是美國東海岸能源供應(yīng)鏈的安全，進而影響產(chǎn)業(yè)鏈安全和國家安全。

2019年9月，杭州公安報道了一起重大安全事件，外號“村長“的馬某利用后門程序在兩年間控制了67萬余電腦，據(jù)其供述，早在2016年就入侵PhpStudy軟件官網(wǎng)后在其軟件安裝包植入了后門，進而再攻擊該軟件使用者，而PhpStudy則是大量業(yè)務(wù)系統(tǒng)和應(yīng)用所包含的程序集成包。該事件是一起典型的軟件供應(yīng)鏈攻擊事件，當(dāng)前，大部分行業(yè)單位還不具備完整的軟件供應(yīng)鏈安全防護體系。

2019年3月，美國一家可再生能源電力生產(chǎn)商sPower遭受網(wǎng)絡(luò)攻擊，攻擊者利用Cisco防火墻中的已知漏洞，對受害者系統(tǒng)發(fā)起DoS攻擊導(dǎo)致它們重新啟動，進而使得該組織的控制中心和其各個站點的現(xiàn)場設(shè)備之間的通信中斷，持續(xù)了10到12個小時，造成了持續(xù)的生產(chǎn)干擾影響。該事件則是一起典型的供應(yīng)鏈網(wǎng)絡(luò)攻擊事件，用戶所用的主機設(shè)備、網(wǎng)絡(luò)設(shè)備甚至安全設(shè)備自身存在的漏洞等風(fēng)險，是黑客常利用的供應(yīng)鏈風(fēng)險。

供應(yīng)鏈的安全問題之所以復(fù)雜，就是因為它牽扯到硬件供應(yīng)商、軟件開發(fā)商、產(chǎn)品制造商、運維服務(wù)方、用戶單位方等多方實體。

供應(yīng)鏈攻擊有哪些常見類型？

1、材料供應(yīng)鏈安全。攻擊材料供應(yīng)商，如能源生產(chǎn)、材料制造等資源供應(yīng)商，通過網(wǎng)絡(luò)攻擊可以造成直接的生產(chǎn)和經(jīng)濟損失，并間接破壞產(chǎn)業(yè)鏈安全，進而影響到廣大用戶的供應(yīng)鏈安全；

2、軟件供應(yīng)鏈安全。攻擊軟件供應(yīng)方，如攻擊軟件或開源組件提供者，通過植入后門等方式，攻擊其用戶和使用單位，造成大范圍信息泄露或利益損失；

3、產(chǎn)品供應(yīng)鏈安全。攻擊最終用戶，如用戶所用應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備或安全設(shè)備等，利用其存在的漏洞或弱口令等脆弱性風(fēng)險，繞過邊界防護進入內(nèi)網(wǎng)實施破壞，造成用戶利益損失。

由此可見，針對供應(yīng)鏈的攻擊，可以從各個環(huán)節(jié)展開，并且影響都是鏈條式的、以點及面的。因此，針對供應(yīng)鏈攻擊的防護需要從生產(chǎn)開發(fā)階段、交付使用階段和日常運維階段來分別展開。

每個階段的防護要點有哪些？

1、生產(chǎn)開發(fā)階段，需要保證硬件可靠和軟件安全。硬件層面，需要保證原材料供應(yīng)可靠，還需要掌握核心技術(shù)的開發(fā)資源；軟件層面，需要進行代碼安全開發(fā)，并需要保證其所用開源組件的安全使用；網(wǎng)絡(luò)層面，需要清楚接入資產(chǎn)屬性，強化分區(qū)分域控制；

2、交付使用階段，需要加強備案審核和安全檢查。制度層面，需要建立嚴格的紅線要求和審核機制，確保采購產(chǎn)品資質(zhì)可靠、信息準(zhǔn)確；技術(shù)層面，需要進行全面的配置核查和漏洞檢查，確保采購產(chǎn)品上線時處于安全狀態(tài)；

3、日常運維階段，需要做到持續(xù)監(jiān)控和應(yīng)急處置。監(jiān)控方面，既要反復(fù)對所用的系統(tǒng)、應(yīng)用、產(chǎn)品進行漏洞掃描、口令檢查，尤其需要關(guān)注熱點漏洞、0day漏洞，及時修補加固；又要持續(xù)對暴露面進行風(fēng)險監(jiān)控，及時發(fā)現(xiàn)并清理泄露的采購信息、代碼信息和人員信息，以及對外開放的端口服務(wù)和通道路徑；還要清晰的梳理網(wǎng)絡(luò)資產(chǎn)臺賬，及時發(fā)現(xiàn)未知資產(chǎn)、違規(guī)資產(chǎn)和問題資產(chǎn)；處置方面，既要建立應(yīng)急預(yù)案，做好安全制度；又要做到協(xié)同聯(lián)動，實現(xiàn)快速處置；還要定期開展模擬演練，提升全員安全意識，強化人員實戰(zhàn)水平。

針對不同的防護要點采用對應(yīng)的技術(shù)手段，能夠有效提升供應(yīng)鏈安全。

各單位可以選擇的防護手段有哪些？

1、生產(chǎn)制造工廠?？梢圆捎觅Y產(chǎn)探測技術(shù)來識別網(wǎng)絡(luò)內(nèi)的通用系統(tǒng)、專用系統(tǒng)、工控設(shè)備和各種物聯(lián)網(wǎng)設(shè)備等資產(chǎn)，及時發(fā)現(xiàn)新增資產(chǎn)或問題資產(chǎn)，并通過與工控防火墻、工業(yè)安全網(wǎng)關(guān)等設(shè)備的聯(lián)動實現(xiàn)對資產(chǎn)的接入管控和安全隔離；

2、系統(tǒng)開發(fā)單位。不論是軟件供應(yīng)商或者最終用戶方，在系統(tǒng)開發(fā)過程中可以采用合適的DevSecOps解決方案，在保證開發(fā)迭代效率的同時將安全防護設(shè)計貫穿始終，建立安全的自動化開發(fā)體系，保證系統(tǒng)開發(fā)的過程安全可靠；

3、最終用戶單位。首先可以采用互聯(lián)網(wǎng)敏感信息監(jiān)測技術(shù)，對互聯(lián)網(wǎng)當(dāng)中各種渠道平臺可能暴露的供應(yīng)商信息、人員信息、系統(tǒng)和網(wǎng)絡(luò)信息等敏感數(shù)據(jù)進行監(jiān)測，及時清理或脫敏，防止被攻擊者利用；其次利用網(wǎng)絡(luò)安全單兵偵測技術(shù)，充分枚舉風(fēng)險路徑，及時補充熱點供應(yīng)鏈漏洞，徹底驗證可利用程度，對互聯(lián)網(wǎng)入口、區(qū)域邊界、自身系統(tǒng)和終端，以及所使用的各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進行自動化的滲透測試，進而指導(dǎo)問題修復(fù)與防護構(gòu)建；最后利用網(wǎng)絡(luò)資產(chǎn)安全治理技術(shù)，將各類資產(chǎn)的梳理、管控、監(jiān)測與處置結(jié)合起來，實現(xiàn)平臺化與流程化，達到閉環(huán)。

供應(yīng)鏈安全問題錯綜復(fù)雜，形勢日益嚴峻，需要引起更多的重視。歡迎大家后臺留言，分享觀點，共同探討，與我們共建安全的網(wǎng)絡(luò)空間。