今年3.15晚會爆光的“土坑酸菜”事件一夜之間沖上熱搜，除了加工生產(chǎn)廠商被查封之外，幾家與之相關(guān)的食品企業(yè)也紛紛致歉，引起普遍關(guān)注。這是供應(yīng)鏈安全在食品加工行業(yè)的一個典型案例。

在網(wǎng)絡(luò)安全領(lǐng)域，供應(yīng)鏈安全也是近年來備受關(guān)注的熱門話題。RSAC2021創(chuàng)新沙盒冠軍得主便是一家以解決供應(yīng)鏈安全問題為創(chuàng)新點的公司；今年“兩會”期間，相關(guān)專家也提到，供應(yīng)鏈朝著越來越數(shù)字化、平臺化、智能化的方向發(fā)展，從網(wǎng)絡(luò)安全和數(shù)據(jù)安全角度，保障其安全性和可靠性尤為關(guān)鍵。

該話題之所以受到高度關(guān)注的另一個原因是近兩年全球范圍內(nèi)的供應(yīng)鏈安全事件頻發(fā)，尤其是涉及到金融、能源、交通、政府等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，供應(yīng)鏈安全問題造成的后果十分嚴重，甚至可能會威脅到國家安全。

供應(yīng)鏈攻擊事件頻發(fā)

2022年3月

據(jù)日媒報道，豐田汽車主要供應(yīng)商日本電裝株式會社（Denso）遭遇疑似勒索軟件攻擊，大量內(nèi)部資料被黑客獲取并要求支付贖金。

2021年12月

Log4j2漏洞的爆發(fā)也引發(fā)了一場供應(yīng)鏈安全危機。作為一個堪比標準庫的基礎(chǔ)日志庫，無數(shù)開源 Java 組件都直接或間接依賴于Log4j2；作為軟件供應(yīng)鏈中的核心原始組件，Log4j2的自身漏洞帶給整個軟件供應(yīng)鏈的影響較為直接、隱秘，影響也十分深遠。

2021年3月

為全球90%的航空公司提供通信和IT服務(wù)的SITA公司遭到網(wǎng)絡(luò)攻擊，存儲在該公司美國服務(wù)器上的數(shù)百萬乘客數(shù)據(jù)遭到泄露，全球眾多航空公司業(yè)務(wù)受到影響，造成了航空業(yè)“大地震”。

供應(yīng)鏈攻擊的特點

供應(yīng)鏈攻擊可以繞開層層封堵的安全防護措施，直接從內(nèi)網(wǎng)進行破壞，甚至能夠在上下游單位間來回滲透。例如全球爆發(fā)的log4j2遠程執(zhí)行漏洞涉及6910個組件，幾乎覆蓋全球所有的java應(yīng)用；完整的供應(yīng)鏈覆蓋了從開發(fā)設(shè)計到交付實施再到用戶使用的各個環(huán)節(jié)，包含了整個過程中涉及的人員、系統(tǒng)和各項制度規(guī)范等，牽扯到用戶和各級供應(yīng)商，每一個環(huán)節(jié)的信息泄露都可能成為網(wǎng)絡(luò)攻擊的突破口。

總之，供應(yīng)鏈攻擊具備突破口多、破壞力強和波及面廣等特點，一次成功的攻擊通常會威脅到多方面的網(wǎng)絡(luò)安全，而管理缺失、資產(chǎn)不清、非法接入、地址濫用、弱口令或無鑒權(quán)等各種問題則是造成這些風險的主要原因。

供應(yīng)鏈攻擊的常用手法

◆ 供應(yīng)鏈漏洞：利用0day、Nday漏洞突破邊界，進行直接、有效的攻擊；

◆ 供應(yīng)鏈后門：利用預(yù)留調(diào)試用后門、內(nèi)置口令等方式進行入侵；

◆ 供應(yīng)鏈污染：通過植入木馬等方式，對所有用戶進行無差別攻擊；

◆ 供應(yīng)鏈社工：人始終是最大的漏洞，介入人員角色越多、攻擊面越大，利用管理的薄弱點進行攻擊是較難防范的風險之一。

針對不同階段的防護策略與局限

針對供應(yīng)鏈安全風險，當前已有一些解決方案可以在不同階段來發(fā)揮作用，但也存在一些局限。

【開發(fā)階段】

現(xiàn)在主流的方法例如DevSecOps，強調(diào)將安全貫穿到從開放到運營過程中的每個環(huán)節(jié)，這種方法能夠解決安全開發(fā)的問題，但難點在于周期長、難度大，效果也因人而異；

【交付階段】

在制度方面，需要建立嚴格的紅線要求和審核機制，確保采購產(chǎn)品資質(zhì)可靠、信息準確；在技術(shù)層面，需要進行全面的配置核查和漏洞檢查，確保采購產(chǎn)品上線時處于安全狀態(tài)；目前，雖然有相關(guān)的入網(wǎng)檢測評估體系和評測機構(gòu)，但覆蓋面仍然不足，支持檢測的廠商有限；

【使用階段】

在監(jiān)控方面，既要反復(fù)對所用的系統(tǒng)、應(yīng)用、產(chǎn)品進行漏洞掃描、口令檢查，尤其需要關(guān)注熱點漏洞、0day漏洞，及時對其進行修補和加固；要持續(xù)對暴露面進行風險監(jiān)控，及時發(fā)現(xiàn)并清理泄露的采購信息、代碼信息和人員信息以及對外開放的端口服務(wù)和通道路徑等敏感信息；還要清晰梳理資產(chǎn)臺賬，及時發(fā)現(xiàn)未知資產(chǎn)、違規(guī)資產(chǎn)和問題資產(chǎn)；

在應(yīng)急處置方面，既要建立應(yīng)急預(yù)案，做好安全制度；又要做到協(xié)同聯(lián)動，實現(xiàn)快速處置；還要定期開展模擬演練，提升全員安全意識，強化人員實戰(zhàn)水平。

目前，盡管已經(jīng)有豐富的威脅防御和態(tài)勢感知體系，但持續(xù)性的安全運營需要不斷投入，無法確保有效。

對于用戶而言，很難做到完全避免供應(yīng)鏈安全風險，更實際的做法是合理控制風險，確保供應(yīng)鏈管理安全可靠，風險可控，保證供應(yīng)鏈暴露面的網(wǎng)絡(luò)安全。

三步走丨建立可回溯的資產(chǎn)運營體系

【步驟一：供應(yīng)鏈及供應(yīng)鏈敏感信息識別】

從供應(yīng)鏈安全的角度，首先要梳理清楚供應(yīng)商和供應(yīng)鏈的敏感信息要點：
◆ 摸清供應(yīng)商；

◆ 摸清外網(wǎng)泄露的文檔、拓撲、組織架構(gòu)、代碼；

◆ 摸清供應(yīng)商招聘信息，實時監(jiān)測和對比供應(yīng)商商品安全狀況；

◆ 摸清單位及其供應(yīng)商泄露的電話、郵箱賬號、短信和郵件釣魚事件；

◆ 摸清源代碼、VPN、OA等關(guān)鍵系統(tǒng)的泄露信息和漏洞信息。

【步驟二：供應(yīng)鏈IT資產(chǎn)管理】

資產(chǎn)管理通過主動探測的方式，結(jié)合敏感信息監(jiān)測收集到IT信息，一方面對供應(yīng)商網(wǎng)絡(luò)暴露面上存活的資產(chǎn)進行發(fā)現(xiàn)，并利用豐富的資產(chǎn)指紋信息對供應(yīng)商涉及到的IT資產(chǎn)進行識別與畫像分析；另一方面從行業(yè)維度、地域維度和運營維度對其組織結(jié)構(gòu)進行梳理，構(gòu)建完整的供應(yīng)鏈畫像，進一步完善供應(yīng)鏈的資產(chǎn)信息；最后再利用供應(yīng)鏈的資產(chǎn)脆弱性檢測能力對暴露資產(chǎn)的敏感端口、風險服務(wù)以及弱口令、漏洞等風險進行摸排，找到供應(yīng)鏈上的未知資產(chǎn)、違規(guī)在運資產(chǎn)、過期未退運的資產(chǎn)、高危資產(chǎn)以及非必要開放的服務(wù)等風險，并及時進行整改或下線等處置。

【步驟三：可回溯的資產(chǎn)運營體系】

針對供應(yīng)鏈攻擊過程涉及的內(nèi)外部關(guān)鍵環(huán)節(jié)，一方面加強對外網(wǎng)當中供應(yīng)鏈敏感信息泄露的監(jiān)測與清理，另一方面加強對供應(yīng)商互聯(lián)網(wǎng)邊界暴露面網(wǎng)絡(luò)資產(chǎn)的探測與監(jiān)控；在內(nèi)部，針對內(nèi)網(wǎng)各網(wǎng)絡(luò)設(shè)備、安全設(shè)備和業(yè)務(wù)系統(tǒng)，進行自動化的滲透測試與綜合防護，強化對高危風險的精準發(fā)現(xiàn)和對未知威脅的主動防御。

除了安全技術(shù)的加強之外，在管理上也進行配套的制度和規(guī)范設(shè)計，針對供應(yīng)鏈環(huán)節(jié)、網(wǎng)絡(luò)管理和系統(tǒng)管理等層面，設(shè)定相應(yīng)的安全審核制度與安全配置基線，確保技術(shù)與管理并行強化。同時再通過引入多維度的安全服務(wù)能力，提升常態(tài)化的風險管理能力與實戰(zhàn)化的安全保障能力。

在當前的局勢下，供應(yīng)鏈安全問題錯綜復(fù)雜，形勢依然十分嚴峻，需要引起更多的重視。盛邦安全將持續(xù)關(guān)注供應(yīng)鏈安全技術(shù)研究，為廣大用戶解決供應(yīng)鏈安全問題提供更多新的思路。