供应链网络安全解决方案 方案背景 近 年 来 ,供应链网络安全威胁层出不穷,不论是第三方软件有后门,还是出口安全设备被绕过,攻击者将更多的目光盯在了这些供应链资产上,一旦被攻破将直接威胁到整个内网的安全,让用户头疼不已。一方面,供应链攻击可以帮助攻击者绕开层层封堵的安全防护措施,直接从内网进行破坏,甚至能够在上下游单位间来 回渗透;另一方面,由于信息泄露、管控手段覆盖面不足等问题,供应链的安全风险也变得越发复杂且难以控制,成为网络安全管理 的一大 难题。 完 整的供应链覆盖了从开发设计 到交 付 实 施再 到用户使 用的各 个环 节 ,包 含 了整个过程 中涉 及 的人 员 、系 统 和 各 项 制度 规 范 等内容 ,牵 扯 到最 终 用户和 各 级 供应商 ,其 中 每 个环 节的信息泄露都 有可能成为网络攻击的突 破口,概 括 而 言 ,供应链攻击具 备突 破口多、破坏力 强 和 波 及 面广 等特 点 ,一次 成功 的攻击通 常 会 威胁到多方面的网络安全,而 管理 缺 失 、资 产 不 清 、 非 法 接 入 、 地 址 滥 用 、 弱 口 令 或 无 鉴 权 等 各 种 问 题 则 是 造 成 这 些 风 险 的 主 要 原因 。 常 见 的 供 应 链 攻 击 手 法 有 如 下 几 类 : ◆ 供 应 链 漏 洞 ,利用 0day、 Nday 或 其他漏洞突破边界,进行最直接 有 效的 攻 击 ; ◆ 供 应 链 后 门 ,利用 预留调试用 后门、 内置口 令 等 方式进行入 侵; ◆ 供 应 链 污 染 ,通过植入 木马等 方式,对所有 用 户进行无 差别攻 击 ; ◆ 供 应 链 社工,人始终是 最大的 漏洞,介入 人员角色越多、 攻 击 面越大,利用 管理的 薄弱点进行攻 击 是 最难防范的 风 险 之一。 针 对 供 应 链 的 安 全 风 险 ,当前已有一些解决方案可以在不同阶段来发挥作用。在开发阶段,现在主流的 有 DevSecOps 方法,强调将安 全 贯穿到从开放到运营过程中的 每个环节。这种方法能够解决安 全 开发的 问题,但难点在于周期长、难度大,因此效果也因人而异;在交付阶段,目前有相关的 入网检测评估体系和评测机构,但覆盖面仍然不足,支持检测的 厂商有限;而在使用阶段,尽管已经有丰富的 威胁防御和态势感知体系,但持续性的 安 全 运营需要不...
