保護供應鏈攻擊中的薄弱環節

供應鏈攻擊是一種網路攻擊,惡意者利用有權存取受害者的系統或第三方合作夥伴,以破壞受害者的系統,通常在此供應鏈上網路安全最弱的企業會成為攻擊目標。Anchore的一項調查發現,由於業務遍布全球以及所使用的不同技術,60%的公司在 2021 年遭受了供應鏈攻擊。

2020年末,SolarWinds為許多美國政府機構和私營公司提供的IT軟體遭遇供應鏈攻擊,其 IT 庫存管理產品被植入惡意軟體,導致至少 18,000 名客戶受到威脅。不到六個月後,美國大型石油公司Colonial Pipeline遭遇勒索軟體的網路攻擊,駭客破壞員工的虛擬私人網路(VPN),進而存取公司的網路,並要求給付數百萬比特幣來恢復被入侵的系統,導致公司緊急關閉整個管道系統,因而減少供應,加劇燃料數量的短缺。2021年10月,美國最大的奶油奶酪製造商Schreiber Foods 也遭到勒索軟體攻擊,對零售和餐飲服務行業產生了更深遠的影響。

如上述案例所示,攻擊中常見的是惡意軟體和勒索軟體造成的破壞。研究發現,網路釣魚和相關的惡意軟體攻擊最常見於受到損害或劫持的合法域名、惡意註冊和混淆相似的域名,或通過電子郵件欺騙,讓受害者在不經意間點擊一個連結,無意中安裝了惡意軟體或勒索軟體。通過採用域名安全控制來防止濫用域名和域名系統(DNS),可以降低此類違規的風險。

防止供應鏈攻擊的方法:

  • 須充分了解供應商:審核供應鏈上的供應商,並只使用那些具有強大安全實踐和策略的供應商。
  • 控制存取:追蹤並限制對關鍵第三方的存取,並儘可能限制對第三方的網路存取,充分了解第三方供應商可能引入第四方風險的分包商。
  • 遵循政府的建議:最近事件的規模和嚴重性,促使許多政府機構和安全公司,發布框架和最佳實踐來防禦此類攻擊,建議企業遵循相關指引並確保供應商也同步遵循。
  • 培訓員工:根據網路安全和基礎設施安全局 (Cybersecurity and Infrastructure Security Agency,CISA),大多數網路攻擊包括勒索軟體和商務電子郵件入侵(Business Email Compromise,BEC),都始於網路釣魚。因此對員工進行安全意識培訓,以降低這種風險。
  • 增強網域安全:使用深度防禦方法的網域安全清單來增強安全

相關連結:

Vic DeBari(2022). Securing Weak Links in Supply Chain Attacks. CircleID

檢自:

https://circleid.com/posts/20220513-securing-weak-links-in-supply-chain-attacks (May. 23, 2022)

回到頂端