5月17日，以“因聚而生 有能有為”為主題的“華為中國(guó)生態(tài)大會(huì)2021”在深圳會(huì)展中心召開(kāi)，盛邦安全CEO權(quán)小文應(yīng)邀出席智能制造議題的半導(dǎo)體電子閉門會(huì)議，并發(fā)表題為《半導(dǎo)體行業(yè)的供應(yīng)鏈網(wǎng)絡(luò)安全應(yīng)用探討》的主題演講，與參會(huì)嘉賓分享供應(yīng)鏈安全的相關(guān)技術(shù)觀點(diǎn)與解決方案。

盛邦安全CEO權(quán)小文發(fā)表主題演講

近年來(lái)，供應(yīng)鏈安全問(wèn)題頻繁爆發(fā)，尤其是針對(duì)生產(chǎn)制造商的勒索病毒攻擊和APT攻擊影響更為突出，直接造成大量的經(jīng)濟(jì)損失，甚至危害到國(guó)家安全，而智能制造、智慧工廠等新興模式的建設(shè)也進(jìn)一步增加了供應(yīng)鏈安全的復(fù)雜度。從目的導(dǎo)向來(lái)看，針對(duì)供應(yīng)鏈的攻擊可以分為兩種類：一種是直接攻擊上游廠商，竊取機(jī)密情報(bào)信息，或者單純?yōu)榱四怖缋账鬈浖?、挖礦病毒等；另一種則是通過(guò)攻擊供應(yīng)商來(lái)獲取新型的網(wǎng)絡(luò)武器，例如0day漏洞、原始口令和特權(quán)賬號(hào)等，進(jìn)而再去攻擊能源、電信、金融等關(guān)鍵基礎(chǔ)設(shè)施單位。概括而言，供應(yīng)鏈攻擊具備突破口多、破壞力強(qiáng)和波及面廣等特點(diǎn)，一次成功的攻擊通常會(huì)威脅到多條產(chǎn)業(yè)鏈的網(wǎng)絡(luò)安全。

完整的供應(yīng)鏈覆蓋了從開(kāi)發(fā)設(shè)計(jì)到交付實(shí)施再到用戶側(cè)使用的所有環(huán)節(jié)，包含了整個(gè)過(guò)程中涉及的人員、系統(tǒng)和各項(xiàng)制度規(guī)范等眾多內(nèi)容，牽扯到最終用戶和各級(jí)供應(yīng)商，其中每個(gè)環(huán)節(jié)的信息泄露都有可能成為網(wǎng)絡(luò)攻擊的突破口，而資產(chǎn)不清、非法接入、地址濫用、弱口令或無(wú)鑒權(quán)等各種問(wèn)題則是造成這些風(fēng)險(xiǎn)的主要原因。常見(jiàn)的供應(yīng)鏈攻擊手法有如下幾類：