不久前，美國輸油管道發(fā)生的嚴重故障引起了全球各界廣泛關注，也再次引發(fā)了大家對于產業(yè)鏈網絡安全、供應鏈安全乃至供應鏈網絡安全的激烈討論。供應鏈安全的影響之所以嚴重，就是因為它關系到經濟損失、名譽損失甚至國家安全。

供應鏈安全有哪些案例？

2021年5月7日，美國大型輸油管道遭受黑客攻擊，被竊取重要數據文件，管道運輸管理系統(tǒng)也遭到“劫持“，致使美國東部沿海各州的關鍵供油管道被迫關閉，盡管在幾天后重新投入使用，但此次事件對于企業(yè)的經濟、燃料的供應、國民的安全以及國家的穩(wěn)定性都造成了惡劣影響。該事件表面上是一起典型的勒索病毒攻擊事件，但實際上影響的是美國東海岸能源供應鏈的安全，進而影響產業(yè)鏈安全和國家安全。

2019年9月，杭州公安報道了一起重大安全事件，外號“村長“的馬某利用后門程序在兩年間控制了67萬余電腦，據其供述，早在2016年就入侵PhpStudy軟件官網后在其軟件安裝包植入了后門，進而再攻擊該軟件使用者，而PhpStudy則是大量業(yè)務系統(tǒng)和應用所包含的程序集成包。該事件是一起典型的軟件供應鏈攻擊事件，當前，大部分行業(yè)單位還不具備完整的軟件供應鏈安全防護體系。

2019年3月，美國一家可再生能源電力生產商sPower遭受網絡攻擊，攻擊者利用Cisco防火墻中的已知漏洞，對受害者系統(tǒng)發(fā)起DoS攻擊導致它們重新啟動，進而使得該組織的控制中心和其各個站點的現場設備之間的通信中斷，持續(xù)了10到12個小時，造成了持續(xù)的生產干擾影響。該事件則是一起典型的供應鏈網絡攻擊事件，用戶所用的主機設備、網絡設備甚至安全設備自身存在的漏洞等風險，是黑客常利用的供應鏈風險。

供應鏈的安全問題之所以復雜，就是因為它牽扯到硬件供應商、軟件開發(fā)商、產品制造商、運維服務方、用戶單位方等多方實體。

供應鏈攻擊有哪些常見類型？

1、材料供應鏈安全。攻擊材料供應商，如能源生產、材料制造等資源供應商，通過網絡攻擊可以造成直接的生產和經濟損失，并間接破壞產業(yè)鏈安全，進而影響到廣大用戶的供應鏈安全；

2、軟件供應鏈安全。攻擊軟件供應方，如攻擊軟件或開源組件提供者，通過植入后門等方式，攻擊其用戶和使用單位，造成大范圍信息泄露或利益損失；

3、產品供應鏈安全。攻擊最終用戶，如用戶所用應用軟件、網絡設備或安全設備等，利用其存在的漏洞或弱口令等脆弱性風險，繞過邊界防護進入內網實施破壞，造成用戶利益損失。

由此可見，針對供應鏈的攻擊，可以從各個環(huán)節(jié)展開，并且影響都是鏈條式的、以點及面的。因此，針對供應鏈攻擊的防護需要從生產開發(fā)階段、交付使用階段和日常運維階段來分別展開。

每個階段的防護要點有哪些？

1、生產開發(fā)階段，需要保證硬件可靠和軟件安全。硬件層面，需要保證原材料供應可靠，還需要掌握核心技術的開發(fā)資源；軟件層面，需要進行代碼安全開發(fā)，并需要保證其所用開源組件的安全使用；網絡層面，需要清楚接入資產屬性，強化分區(qū)分域控制；

2、交付使用階段，需要加強備案審核和安全檢查。制度層面，需要建立嚴格的紅線要求和審核機制，確保采購產品資質可靠、信息準確；技術層面，需要進行全面的配置核查和漏洞檢查，確保采購產品上線時處于安全狀態(tài)；

3、日常運維階段，需要做到持續(xù)監(jiān)控和應急處置。監(jiān)控方面，既要反復對所用的系統(tǒng)、應用、產品進行漏洞掃描、口令檢查，尤其需要關注熱點漏洞、0day漏洞，及時修補加固；又要持續(xù)對暴露面進行風險監(jiān)控，及時發(fā)現并清理泄露的采購信息、代碼信息和人員信息，以及對外開放的端口服務和通道路徑；還要清晰的梳理網絡資產臺賬，及時發(fā)現未知資產、違規(guī)資產和問題資產；處置方面，既要建立應急預案，做好安全制度；又要做到協(xié)同聯動，實現快速處置；還要定期開展模擬演練，提升全員安全意識，強化人員實戰(zhàn)水平。

針對不同的防護要點采用對應的技術手段，能夠有效提升供應鏈安全。

各單位可以選擇的防護手段有哪些？

1、生產制造工廠。可以采用資產探測技術來識別網絡內的通用系統(tǒng)、專用系統(tǒng)、工控設備和各種物聯網設備等資產，及時發(fā)現新增資產或問題資產，并通過與工控防火墻、工業(yè)安全網關等設備的聯動實現對資產的接入管控和安全隔離；

2、系統(tǒng)開發(fā)單位。不論是軟件供應商或者最終用戶方，在系統(tǒng)開發(fā)過程中可以采用合適的DevSecOps解決方案，在保證開發(fā)迭代效率的同時將安全防護設計貫穿始終，建立安全的自動化開發(fā)體系，保證系統(tǒng)開發(fā)的過程安全可靠；

3、最終用戶單位。首先可以采用互聯網敏感信息監(jiān)測技術，對互聯網當中各種渠道平臺可能暴露的供應商信息、人員信息、系統(tǒng)和網絡信息等敏感數據進行監(jiān)測，及時清理或脫敏，防止被攻擊者利用；其次利用網絡安全單兵偵測技術，充分枚舉風險路徑，及時補充熱點供應鏈漏洞，徹底驗證可利用程度，對互聯網入口、區(qū)域邊界、自身系統(tǒng)和終端，以及所使用的各類網絡設備、安全設備等進行自動化的滲透測試，進而指導問題修復與防護構建；最后利用網絡資產安全治理技術，將各類資產的梳理、管控、監(jiān)測與處置結合起來，實現平臺化與流程化，達到閉環(huán)。

供應鏈安全問題錯綜復雜，形勢日益嚴峻，需要引起更多的重視。歡迎大家后臺留言，分享觀點，共同探討，與我們共建安全的網絡空間。