供应链攻击：你需要知道的一切

了解不同类型的供应链攻击

破坏第三方软件或服务

• 攻击者可能会破坏一个由多个组织使用的第三方软件或服务，使他们能够渗透到所有用户的网络中。
• SolarWinds的攻击就是一个典型的例子，黑客破坏了该公司的软件更新系统，使他们能够向成千上万的客户分发恶意软件。

利用硬件组件中的漏洞

• 攻击者可以利用硬件组件（如芯片或固件）的漏洞，获得对目标系统的未授权访问。
• 例如，在2018年，彭博社报道（尽管该报道后来被质疑），中国间谍据称在主要科技公司和政府机构使用的服务器主板上植入了微小的芯片，可能会损害他们的数据。

瞄准第三方供应商或供货商

• 在某些情况下，攻击者可能会直接针对第三方供应商或供货商，利用他们较弱的安全措施来获得对大型组织网络的访问。
• 2013年塔吉特公司的漏洞就是这种攻击的一个例子，黑客通过一个第三方暖通空调承包商进入塔吉特公司的支付系统。

操纵开放源码库或储存库

• 攻击者可以操纵开源库和存储库，将恶意代码引入依赖它们的软件项目。2021年，Codecov公司的漏洞涉及黑客利用该公司Bash Uploader脚本中的一个漏洞，可能影响到成千上万使用该工具进行代码覆盖率分析的客户。

如何保障你的公司免受供应链攻击？

采取强有力的网络安全措施、做法和协议

• 为你的组织配备防火墙、防病毒软件和入侵检测系统，以防止和识别攻击。
• 遵循密码管理、软件更新和网络安全的最佳实践，以进一步增强你的防御能力。

利用专门的安全团队或聘请有信誉的安全公司

• 内部安全团队或与值得信赖的安全公司合作，可以帮助主动监测你的网络的异常活动或安全事件，允许快速反应，可以大大减少攻击的影响。

密切关注你的供应链中的不寻常活动或安全事件

• 使用入侵检测系统、日志管理和自动威胁取证等工具来监督你的供应链。此外，确保你的员工在识别和报告可疑行为或网络钓鱼企图方面受过良好的培训。

确认软件更新和安全补丁的完整性

• 在实施软件更新和安全补丁之前，要验证其完整性，以避免将恶意代码引入你的供应链。

实施安全编码实践和定期漏洞扫描

• 采用安全的编码方法，如输入验证、输出编码和最小权限原则。
• 此外，使用静态应用安全测试（SAST）、动态应用安全测试（DAST）和交互式应用安全测试（IAST）等工具，定期扫描你的组织的代码库是否有漏洞。这些积极主动的措施可以帮助在攻击者利用这些漏洞之前识别和补救安全缺陷。

对第三方供应商进行风险评估和定期审计

• 对第三方供应商进行持续的风险评估和审计，以确保他们保持强大的网络安全措施，帮助确定你的供应链中的潜在漏洞和需要改进的地方。
• 风险评估应包括评估供应商的安全政策、事件响应计划、员工培训以及对相关法规和行业标准的遵守情况。定期审计应验证供应商安全控制的实施和有效性，以及他们识别和补救安全问题的能力。建立一个供应商风险管理计划可以简化这一过程，并有助于保持评估和管理第三方风险的一致方法。

培养与供应商和合作伙伴的清晰沟通渠道

• 与供应商和合作伙伴培养公开、透明的沟通，以分享有关潜在威胁的信息，并在安全最佳实践方面进行合作，最终加强你的整体供应链安全。

拥抱零信任的网络安全方法

• 为网络安全实施零信任策略，假设网络上的所有用户、设备和应用程序都可能被破坏。这种方法涉及对访问权限的持续验证，并要求所有用户在访问敏感数据或资源之前进行自我认证。

创建和执行事件响应和业务连续性计划

• 通过制定和实施全面的事件响应和业务连续性计划，为潜在的供应链攻击做好准备，概述你的组织应对攻击的步骤，尽量减少干扰，并迅速恢复正常运营。

对您的员工进行供应链安全最佳实践的培训

• 投资于供应链安全最佳实践的员工培训和教育，以建立意识和警惕性，确保所有员工能够识别潜在的威胁，报告可疑的活动，并遵守贵组织的安全协议。
• 员工培训应涵盖诸如识别网络钓鱼邮件、避免社会工程攻击、保护个人设备和识别系统受损的迹象等主题。定期的安全意识培训和模拟的网络钓鱼活动可以强化这些概念，并使安全成为员工的首要考虑。此外，应该为在供应链管理、IT安全或采购中担任特定角色的员工提供专门的培训，因为他们可能更有可能遇到与供应链有关的威胁。