為了最大化損害和利潤(rùn),黑客擴(kuò)大了他們的目標(biāo)群體。他們將目光投向了 B2B(企業(yè)對(duì)企業(yè))公司,而不是僅僅關(guān)注最終用戶。不誠(chéng)實(shí)的行為者希望讓大企業(yè)措手不及,并利用公司關(guān)系保護(hù)傘下的所有數(shù)據(jù)。?雖然每個(gè)人都應(yīng)該警惕網(wǎng)絡(luò)犯罪分子,但企業(yè)面臨著大幅提升網(wǎng)絡(luò)安全游戲的壓力。
這些威脅,恰如其分地命名為軟件供應(yīng)鏈攻擊,可以出人意料地讓公司一舉陷入困境。作為托管 IT 服務(wù)提供商,我們意識(shí)到供應(yīng)鏈攻擊的危險(xiǎn)及其對(duì)我們客戶的可能影響。您需要準(zhǔn)備好保護(hù)您的企業(yè)免受此類攻擊,并且應(yīng)該知道您是否處于危險(xiǎn)之中——無(wú)論您是蓬勃發(fā)展的零售商還是狂熱的客戶。
所以,我們將討論:??
- 什么是軟件供應(yīng)鏈攻擊???
- 什么樣的企業(yè)容易受到它的影響???
- 供應(yīng)鏈攻擊如何影響您???
- 如何保護(hù)自己免受供應(yīng)鏈攻擊??
完整閱讀后,您應(yīng)該能夠確定保護(hù)公司所需采取的步驟。?
什么是軟件供應(yīng)鏈攻擊??
軟件供應(yīng)鏈攻擊是一種網(wǎng)絡(luò)威脅,黑客通過(guò)感染客戶使用的合法應(yīng)用程序來(lái)破壞客戶的數(shù)據(jù)或系統(tǒng)。攻擊者尋找不安全的網(wǎng)絡(luò)協(xié)議或不受保護(hù)的服務(wù)器基礎(chǔ)設(shè)施來(lái)滲透軟件供應(yīng)商的網(wǎng)絡(luò)。一旦進(jìn)入,他們將通過(guò)更改源代碼并在其構(gòu)建和更新過(guò)程中隱藏惡意軟件來(lái)感染供應(yīng)商的應(yīng)用程序。?
然后,該軟件將充當(dāng)惡意軟件的特洛伊木馬,而供應(yīng)商并未意識(shí)到這一點(diǎn)。由于病毒嵌入在應(yīng)用程序中,因此它將在客戶設(shè)備上運(yùn)行,并具有與它所植根的應(yīng)用程序相同的權(quán)限。黑客獲得了二合一的交易,軟件創(chuàng)建者和客戶在一個(gè)可能需要數(shù)月才能解開(kāi)的網(wǎng)絡(luò)中受到損害。?
哪些企業(yè)受到軟件供應(yīng)鏈攻擊的影響??
他們的一些常見(jiàn)目標(biāo)應(yīng)用程序和業(yè)務(wù)是:??
- 電子郵件服務(wù)器?
- 托管 IT 提供商?
- 數(shù)據(jù)庫(kù)管理軟件?
- 安全軟件提供商?
電子郵件服務(wù)?
所有云服務(wù)——尤其是電子郵件服務(wù)——都是供應(yīng)鏈攻擊的誘人目標(biāo)。如果黑客通過(guò)這些程序獲得訪問(wèn)權(quán)限,他們將可以訪問(wèn)您的幾乎所有信息和數(shù)據(jù)。此外,幾乎所有使用互聯(lián)網(wǎng)進(jìn)行商業(yè)交易的人都擁有電子郵件和云服務(wù),從而導(dǎo)致網(wǎng)絡(luò)犯罪分子的受害者群體擴(kuò)大。??
甚至FBI 也無(wú)法免受供應(yīng)鏈攻擊。去年 11 月,他們的電子郵件服務(wù)器發(fā)出了多封電子郵件,試圖抹黑 Vinny Troia(暗網(wǎng)情報(bào)公司 NightLion 和 Shadowbyte 的安全研究負(fù)責(zé)人)。如果聯(lián)邦調(diào)查局本身是受害者,你也可能是。??
托管 IT 提供商?
在供應(yīng)鏈攻擊中,黑客以托管 IT 服務(wù)提供商(MSP)等上游供應(yīng)商為目標(biāo),以增加受害者人數(shù)。攻擊 MSP 會(huì)使損害沿著供應(yīng)鏈向下傳遞到另一個(gè)供應(yīng)商——這種結(jié)果有時(shí)被稱為“瀑布效應(yīng)”——這會(huì)增加對(duì)許多目標(biāo)的附帶損害。黑客還知道,來(lái)自受信任供應(yīng)商的更新可以讓他們繞過(guò)安全措施并感染所有安裝它們的用戶。例如,REvil 勒索軟件在去年針對(duì)幾個(gè) MSP 后感染了超過(guò) 1000 家公司。所有八個(gè)受影響的 MSP 都在使用 Kaseya VSA。
數(shù)據(jù)庫(kù)管理軟件?
數(shù)據(jù)庫(kù)是信息的金礦,因?yàn)樗鼈兊娜抗δ苁菫槟鎯?chǔ)數(shù)據(jù)。當(dāng)您的數(shù)據(jù)庫(kù)(無(wú)論是本地?cái)?shù)據(jù)庫(kù)還是基于云的數(shù)據(jù)庫(kù))成為供應(yīng)鏈攻擊的受害者時(shí),您必須將其視為泄露數(shù)據(jù)并立即采取行動(dòng)。
安全軟件提供商
有什么比通過(guò)安全軟件潛入攻擊多家公司更好的方法呢?消費(fèi)者和企業(yè)依靠安全軟件并信任第三方來(lái)保證其 IT 系統(tǒng)的安全。通過(guò)將安全軟件用作特洛伊木馬,黑客可以在系統(tǒng)中停留很長(zhǎng)時(shí)間,然后才被發(fā)現(xiàn)。
供應(yīng)鏈攻擊如何影響您????
首先,問(wèn)問(wèn)自己:你在供應(yīng)鏈的哪個(gè)位置?您是最終用戶、B2C(企業(yè)對(duì)客戶)公司還是 B2B(企業(yè)對(duì)企業(yè))供應(yīng)商?根據(jù)您的用戶類型,供應(yīng)鏈攻擊的影響看起來(lái)會(huì)大不相同。??
您是最終用戶(客戶)
如果您的任何軟件遭到入侵,那么您允許該軟件收集的所有數(shù)據(jù)也會(huì)遭到破壞。您需要立即采取措施減輕對(duì)網(wǎng)絡(luò)的損害,并努力從系統(tǒng)中刪除所有受感染軟件的痕跡。?根據(jù)您使用受感染軟件的方式,您可能需要停用密碼、用戶名和電子郵件地址以重新獲得安全網(wǎng)絡(luò)。
您是軟件創(chuàng)建者(公司所有者)?
無(wú)論您的企業(yè)是直接與消費(fèi)者 (B2C) 還是與其他企業(yè) (B2B) 打交道,如果您創(chuàng)建或管理軟件并受到供應(yīng)鏈攻擊的感染 – 您已經(jīng)有效地將您和您客戶的所有數(shù)據(jù)集中到網(wǎng)絡(luò)犯罪分子手中。??
您將迫切需要:??
- 評(píng)估您的網(wǎng)絡(luò)?
- 通知客戶數(shù)據(jù)泄露??
- 發(fā)送修復(fù)問(wèn)題的補(bǔ)丁?
- 重新建立與客戶的信任?
- 支付任何合規(guī)罰款?
如何阻止供應(yīng)鏈攻擊??
那么,您如何才能避免遇到供應(yīng)鏈攻擊帶來(lái)的頭痛呢??無(wú)論作為客戶還是 CEO,您都可以使用以下提示和技巧來(lái)防止軟件供應(yīng)鏈攻擊。
1. 向每個(gè)企業(yè)詢問(wèn)一組安全問(wèn)題?
在去年 2022 年 2 月的 Room安全會(huì)議上,F(xiàn)1 Solutions 總裁兼首席信息安全官 Jennifer VanderWier 列出了您需要向軟件供應(yīng)商詢問(wèn)的十個(gè)安全問(wèn)題,以確保客戶的安全。他們是:?
- 你評(píng)估過(guò)你的工具嗎?按照什么標(biāo)準(zhǔn)??
- 您是否有可以滿足時(shí)間表的補(bǔ)救計(jì)劃??
- 你的產(chǎn)品曾經(jīng)被破壞過(guò)嗎??
- 多因素身份驗(yàn)證 (MFA)是否適合您的工具??
- 您可以訪問(wèn)我們客戶的數(shù)據(jù)嗎?有哪些控制措施?您是否有一個(gè)可以與我分享的共同責(zé)任矩陣??
- 有哪些保護(hù)措施來(lái)保護(hù)您的代碼??
- 你的安全團(tuán)隊(duì)有多少人??
- 你的責(zé)任范圍是多少??
- 我可以通過(guò)哪些方式限制供應(yīng)商對(duì)敏感數(shù)據(jù)的訪問(wèn)??
- 您是否有災(zāi)難恢復(fù)計(jì)劃,何時(shí)進(jìn)行測(cè)試??
作為軟件提供商,您還可以使用此列表來(lái)評(píng)估自己并建立對(duì)安全系統(tǒng)的信心。??
2. 進(jìn)行頻繁的安全意識(shí)培訓(xùn)?
提高員工的安全意識(shí)是阻止攻擊的關(guān)鍵步驟。但是,即使您不經(jīng)營(yíng)企業(yè),您也將從跟上最新的網(wǎng)絡(luò)安全新聞中受益。??
3. 進(jìn)行滲透測(cè)試?
滲透測(cè)試是一種道德黑客行為,用于測(cè)試組織的防御能力。它模擬現(xiàn)實(shí)生活中的網(wǎng)絡(luò)攻擊,以發(fā)現(xiàn)公司防御的弱點(diǎn)。這種方法使您可以識(shí)別防御中的故障并在黑客發(fā)現(xiàn)它們之前對(duì)其進(jìn)行處理。作為客戶,您需要詢問(wèn)您的軟件和安全提供商是否在他們的系統(tǒng)上進(jìn)行此類測(cè)試。?
4. 主動(dòng)系統(tǒng)掃描
主動(dòng)系統(tǒng)掃描可幫助您及早發(fā)現(xiàn)網(wǎng)絡(luò)中的問(wèn)題——無(wú)論是作為客戶還是企業(yè)。問(wèn)題和攻擊可以立即處理并在它們對(duì)您構(gòu)成嚴(yán)重威脅之前得到解決。
5. 安裝軟件更新
零日漏洞在供應(yīng)鏈感染的傳播中起著至關(guān)重要的作用。縮小這些差距將減少對(duì)您的業(yè)務(wù)和 IT 網(wǎng)絡(luò)的潛在損害。此外,它甚至可以在攻擊發(fā)生之前阻止它。
6. 部署多層網(wǎng)絡(luò)安全防御
一些供應(yīng)鏈攻擊通過(guò)搭載軟件更新進(jìn)入您的網(wǎng)絡(luò)。多層網(wǎng)絡(luò)安全可以通過(guò)阻止與已知惡意 IP 地址的通信來(lái)阻止這種情況。??
您準(zhǔn)備好阻止軟件供應(yīng)鏈攻擊了嗎??
軟件供應(yīng)鏈攻擊感染合法應(yīng)用程序以分發(fā)惡意軟件。它滲透到軟件提供商的網(wǎng)絡(luò)并感染其應(yīng)用程序。就像特洛伊木馬一樣,攻擊在應(yīng)用程序安裝到您或您客戶的網(wǎng)絡(luò)或設(shè)備后開(kāi)始。?
軟件供應(yīng)鏈攻擊是毀滅性的,可能會(huì)影響您的信譽(yù)和安全。像這樣的托管 IT 公司依靠客戶對(duì)我們的信任來(lái)保持公司的蓬勃發(fā)展,我們知道防止企業(yè)失去信譽(yù)是多么重要。如果在維護(hù)業(yè)務(wù)的日常功能之上執(zhí)行所有這些提示和技巧似乎令人生畏,您可能希望讓專業(yè)的 IT 管理公司來(lái)處理您的 IT 部門。
