今年3.15晚會(huì)爆光的“土坑酸菜”事件一夜之間沖上熱搜，除了加工生產(chǎn)廠商被查封之外，幾家與之相關(guān)的食品企業(yè)也紛紛致歉，引起普遍關(guān)注。這是供應(yīng)鏈安全在食品加工行業(yè)的一個(gè)典型案例。

在網(wǎng)絡(luò)安全領(lǐng)域，供應(yīng)鏈安全也是近年來(lái)備受關(guān)注的熱門(mén)話題。RSAC2021創(chuàng)新沙盒冠軍得主便是一家以解決供應(yīng)鏈安全問(wèn)題為創(chuàng)新點(diǎn)的公司；今年“兩會(huì)”期間，相關(guān)專家也提到，供應(yīng)鏈朝著越來(lái)越數(shù)字化、平臺(tái)化、智能化的方向發(fā)展，從網(wǎng)絡(luò)安全和數(shù)據(jù)安全角度，保障其安全性和可靠性尤為關(guān)鍵。

該話題之所以受到高度關(guān)注的另一個(gè)原因是近兩年全球范圍內(nèi)的供應(yīng)鏈安全事件頻發(fā)，尤其是涉及到金融、能源、交通、政府等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，供應(yīng)鏈安全問(wèn)題造成的后果十分嚴(yán)重，甚至可能會(huì)威脅到國(guó)家安全。

供應(yīng)鏈攻擊事件頻發(fā)

2022年3月

據(jù)日媒報(bào)道，豐田汽車(chē)主要供應(yīng)商日本電裝株式會(huì)社（Denso）遭遇疑似勒索軟件攻擊，大量?jī)?nèi)部資料被黑客獲取并要求支付贖金。

2021年12月

Log4j2漏洞的爆發(fā)也引發(fā)了一場(chǎng)供應(yīng)鏈安全危機(jī)。作為一個(gè)堪比標(biāo)準(zhǔn)庫(kù)的基礎(chǔ)日志庫(kù)，無(wú)數(shù)開(kāi)源 Java 組件都直接或間接依賴于Log4j2；作為軟件供應(yīng)鏈中的核心原始組件，Log4j2的自身漏洞帶給整個(gè)軟件供應(yīng)鏈的影響較為直接、隱秘，影響也十分深遠(yuǎn)。

2021年3月

為全球90%的航空公司提供通信和IT服務(wù)的SITA公司遭到網(wǎng)絡(luò)攻擊，存儲(chǔ)在該公司美國(guó)服務(wù)器上的數(shù)百萬(wàn)乘客數(shù)據(jù)遭到泄露，全球眾多航空公司業(yè)務(wù)受到影響，造成了航空業(yè)“大地震”。

供應(yīng)鏈攻擊的特點(diǎn)

供應(yīng)鏈攻擊可以繞開(kāi)層層封堵的安全防護(hù)措施，直接從內(nèi)網(wǎng)進(jìn)行破壞，甚至能夠在上下游單位間來(lái)回滲透。例如全球爆發(fā)的log4j2遠(yuǎn)程執(zhí)行漏洞涉及6910個(gè)組件，幾乎覆蓋全球所有的java應(yīng)用；完整的供應(yīng)鏈覆蓋了從開(kāi)發(fā)設(shè)計(jì)到交付實(shí)施再到用戶使用的各個(gè)環(huán)節(jié)，包含了整個(gè)過(guò)程中涉及的人員、系統(tǒng)和各項(xiàng)制度規(guī)范等，牽扯到用戶和各級(jí)供應(yīng)商，每一個(gè)環(huán)節(jié)的信息泄露都可能成為網(wǎng)絡(luò)攻擊的突破口。

總之，供應(yīng)鏈攻擊具備突破口多、破壞力強(qiáng)和波及面廣等特點(diǎn)，一次成功的攻擊通常會(huì)威脅到多方面的網(wǎng)絡(luò)安全，而管理缺失、資產(chǎn)不清、非法接入、地址濫用、弱口令或無(wú)鑒權(quán)等各種問(wèn)題則是造成這些風(fēng)險(xiǎn)的主要原因。

供應(yīng)鏈攻擊的常用手法

◆ 供應(yīng)鏈漏洞：利用0day、Nday漏洞突破邊界，進(jìn)行直接、有效的攻擊；

◆ 供應(yīng)鏈后門(mén)：利用預(yù)留調(diào)試用后門(mén)、內(nèi)置口令等方式進(jìn)行入侵；

◆ 供應(yīng)鏈污染：通過(guò)植入木馬等方式，對(duì)所有用戶進(jìn)行無(wú)差別攻擊；

◆ 供應(yīng)鏈社工：人始終是最大的漏洞，介入人員角色越多、攻擊面越大，利用管理的薄弱點(diǎn)進(jìn)行攻擊是較難防范的風(fēng)險(xiǎn)之一。

針對(duì)不同階段的防護(hù)策略與局限

針對(duì)供應(yīng)鏈安全風(fēng)險(xiǎn)，當(dāng)前已有一些解決方案可以在不同階段來(lái)發(fā)揮作用，但也存在一些局限。

【開(kāi)發(fā)階段】

現(xiàn)在主流的方法例如DevSecOps，強(qiáng)調(diào)將安全貫穿到從開(kāi)放到運(yùn)營(yíng)過(guò)程中的每個(gè)環(huán)節(jié)，這種方法能夠解決安全開(kāi)發(fā)的問(wèn)題，但難點(diǎn)在于周期長(zhǎng)、難度大，效果也因人而異；

【交付階段】

在制度方面，需要建立嚴(yán)格的紅線要求和審核機(jī)制，確保采購(gòu)產(chǎn)品資質(zhì)可靠、信息準(zhǔn)確；在技術(shù)層面，需要進(jìn)行全面的配置核查和漏洞檢查，確保采購(gòu)產(chǎn)品上線時(shí)處于安全狀態(tài)；目前，雖然有相關(guān)的入網(wǎng)檢測(cè)評(píng)估體系和評(píng)測(cè)機(jī)構(gòu)，但覆蓋面仍然不足，支持檢測(cè)的廠商有限；

【使用階段】

在監(jiān)控方面，既要反復(fù)對(duì)所用的系統(tǒng)、應(yīng)用、產(chǎn)品進(jìn)行漏洞掃描、口令檢查，尤其需要關(guān)注熱點(diǎn)漏洞、0day漏洞，及時(shí)對(duì)其進(jìn)行修補(bǔ)和加固；要持續(xù)對(duì)暴露面進(jìn)行風(fēng)險(xiǎn)監(jiān)控，及時(shí)發(fā)現(xiàn)并清理泄露的采購(gòu)信息、代碼信息和人員信息以及對(duì)外開(kāi)放的端口服務(wù)和通道路徑等敏感信息；還要清晰梳理資產(chǎn)臺(tái)賬，及時(shí)發(fā)現(xiàn)未知資產(chǎn)、違規(guī)資產(chǎn)和問(wèn)題資產(chǎn)；

在應(yīng)急處置方面，既要建立應(yīng)急預(yù)案，做好安全制度；又要做到協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)快速處置；還要定期開(kāi)展模擬演練，提升全員安全意識(shí)，強(qiáng)化人員實(shí)戰(zhàn)水平。

目前，盡管已經(jīng)有豐富的威脅防御和態(tài)勢(shì)感知體系，但持續(xù)性的安全運(yùn)營(yíng)需要不斷投入，無(wú)法確保有效。

對(duì)于用戶而言，很難做到完全避免供應(yīng)鏈安全風(fēng)險(xiǎn)，更實(shí)際的做法是合理控制風(fēng)險(xiǎn)，確保供應(yīng)鏈管理安全可靠，風(fēng)險(xiǎn)可控，保證供應(yīng)鏈暴露面的網(wǎng)絡(luò)安全。

三步走丨建立可回溯的資產(chǎn)運(yùn)營(yíng)體系

【步驟一：供應(yīng)鏈及供應(yīng)鏈敏感信息識(shí)別】

從供應(yīng)鏈安全的角度，首先要梳理清楚供應(yīng)商和供應(yīng)鏈的敏感信息要點(diǎn)：
◆ 摸清供應(yīng)商；

◆ 摸清外網(wǎng)泄露的文檔、拓?fù)?、組織架構(gòu)、代碼；

◆ 摸清供應(yīng)商招聘信息，實(shí)時(shí)監(jiān)測(cè)和對(duì)比供應(yīng)商商品安全狀況；

◆ 摸清單位及其供應(yīng)商泄露的電話、郵箱賬號(hào)、短信和郵件釣魚(yú)事件；

◆ 摸清源代碼、VPN、OA等關(guān)鍵系統(tǒng)的泄露信息和漏洞信息。

【步驟二：供應(yīng)鏈IT資產(chǎn)管理】

資產(chǎn)管理通過(guò)主動(dòng)探測(cè)的方式，結(jié)合敏感信息監(jiān)測(cè)收集到IT信息，一方面對(duì)供應(yīng)商網(wǎng)絡(luò)暴露面上存活的資產(chǎn)進(jìn)行發(fā)現(xiàn)，并利用豐富的資產(chǎn)指紋信息對(duì)供應(yīng)商涉及到的IT資產(chǎn)進(jìn)行識(shí)別與畫(huà)像分析；另一方面從行業(yè)維度、地域維度和運(yùn)營(yíng)維度對(duì)其組織結(jié)構(gòu)進(jìn)行梳理，構(gòu)建完整的供應(yīng)鏈畫(huà)像，進(jìn)一步完善供應(yīng)鏈的資產(chǎn)信息；最后再利用供應(yīng)鏈的資產(chǎn)脆弱性檢測(cè)能力對(duì)暴露資產(chǎn)的敏感端口、風(fēng)險(xiǎn)服務(wù)以及弱口令、漏洞等風(fēng)險(xiǎn)進(jìn)行摸排，找到供應(yīng)鏈上的未知資產(chǎn)、違規(guī)在運(yùn)資產(chǎn)、過(guò)期未退運(yùn)的資產(chǎn)、高危資產(chǎn)以及非必要開(kāi)放的服務(wù)等風(fēng)險(xiǎn)，并及時(shí)進(jìn)行整改或下線等處置。

【步驟三：可回溯的資產(chǎn)運(yùn)營(yíng)體系】

針對(duì)供應(yīng)鏈攻擊過(guò)程涉及的內(nèi)外部關(guān)鍵環(huán)節(jié)，一方面加強(qiáng)對(duì)外網(wǎng)當(dāng)中供應(yīng)鏈敏感信息泄露的監(jiān)測(cè)與清理，另一方面加強(qiáng)對(duì)供應(yīng)商互聯(lián)網(wǎng)邊界暴露面網(wǎng)絡(luò)資產(chǎn)的探測(cè)與監(jiān)控；在內(nèi)部，針對(duì)內(nèi)網(wǎng)各網(wǎng)絡(luò)設(shè)備、安全設(shè)備和業(yè)務(wù)系統(tǒng)，進(jìn)行自動(dòng)化的滲透測(cè)試與綜合防護(hù)，強(qiáng)化對(duì)高危風(fēng)險(xiǎn)的精準(zhǔn)發(fā)現(xiàn)和對(duì)未知威脅的主動(dòng)防御。

除了安全技術(shù)的加強(qiáng)之外，在管理上也進(jìn)行配套的制度和規(guī)范設(shè)計(jì)，針對(duì)供應(yīng)鏈環(huán)節(jié)、網(wǎng)絡(luò)管理和系統(tǒng)管理等層面，設(shè)定相應(yīng)的安全審核制度與安全配置基線，確保技術(shù)與管理并行強(qiáng)化。同時(shí)再通過(guò)引入多維度的安全服務(wù)能力，提升常態(tài)化的風(fēng)險(xiǎn)管理能力與實(shí)戰(zhàn)化的安全保障能力。

在當(dāng)前的局勢(shì)下，供應(yīng)鏈安全問(wèn)題錯(cuò)綜復(fù)雜，形勢(shì)依然十分嚴(yán)峻，需要引起更多的重視。盛邦安全將持續(xù)關(guān)注供應(yīng)鏈安全技術(shù)研究，為廣大用戶解決供應(yīng)鏈安全問(wèn)題提供更多新的思路。