攻击比例持续骤增?不容忽视的供应链安全!

如今,大数据、云计算、人工智能等新兴科技产业的快速发展和广泛应用,对传统业态产生了强烈的冲击,全球产业供应链系统面临着前所未有的变革,供应链安全成为网络安全体系面临的重要挑战。

虽然供应链攻击由来已久,但近年来,其规模、复杂性及频率都在急剧增加。欧盟网络安全局 (ENISA) 于2021年7月发布的《供应链攻击威胁局势报告》中也强调了这一点。

此外,在近期中国产业互联网发展联盟指导下发布的《2022产业互联网安全十大趋势》中也强调,供应链安全风险从隐性变为显性。据Check Point 的《2022 年安全报告》显示,2021 年全球供应链攻击同比增长了 650%。

什么是供应链攻击?

供应链是设计、制造和分销产品所需的资源生态系统的组合。在网络安全方面,供应链包括硬件和软件、云或本地存储和分发机制。

供应链攻击是一种面向软件开发人员和供应商的新兴威胁,目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。

供应链攻击由对一个或多个供应商的攻击和随后对最终目标(即客户)的攻击组成,这种攻击可能在很长一段时间内不被察觉,需要数月才能成功。与高级持久性威胁(APT)攻击类似,供应链攻击通常是有目标的。另外,供应链攻击也会和APT攻击、勒索攻击结合在一起,攻击者最终的目的是加密企业设备、系统或数据,以此勒索企业牟取暴利。

Imperva曾分享的五种典型的攻击方法:

  • 利用供应商的产品进行注入(典型的如SolarWinds事件)
  • 利用第三方应用程序(如邮件/浏览器漏洞)
  • 利用开放源代码库中包含的漏洞
  • 依赖关系混淆
  • 恶意接管(担任社区项目维护者,注入恶意代码)

在以上五种供应链攻击方法中,有的攻击企业可以提前预防,但是有的攻击企业则束手无策。依赖关系混淆可以通过正确配置制品库进行阻止。利用第三方应用程序和利用开放源代码库中包含的漏洞,可以通过及时升级或者利用安全公司提供的补丁进行缓解,但是针对供应商产品注入和恶意接管方面目前并没有比较有效的通用方案。

重大供应链攻击事件频发

· 2020年12月,FireEye发布的关于SolarWinds供应链攻击的通告中表示,SolarWinds产品于2020年3月左右被攻击者植入后门,受到了严重的供应链攻击。本次供应链攻击事件波及范围极大,包括政府部门、关键基础设施以及多家全球500强企业,造成了重大影响。

· 2021年3月,占据全球90%航空份额的通信和IT厂商,国际航空电信公司SITA受到供应链攻击,攻击者窃取了该公司存储在美国服务器上的乘客数据,全球众多航空公司业务受到影响,甚至出现了大范围的数据泄露,直接造成了航空业“大地震”。

· 2021年7月,勒索组织REvil利用IT软件供应商Kaseya发起供应链攻击,有数千家公司中招。REvil攻击了Kaseya基于云的MSP平台(管理服务提供商),破坏其VSA基础设施,然后向VSA内部服务器推送恶意更新,在企业网络上部署勒索软件,导致Kaseya的客户遭供应链攻击。REvil宣称锁定了超过一百万个系统,并愿意就通用解密器进行谈判,起价为7000万美元,这是迄今为止开价最高的赎金。

· 2021年12月,Log4j2漏洞的爆发也引发了一场供应链安全危机,其影响范围极为广泛,同时也伴随着巨大的危害性。Log4j2作为一个堪比标准库的基础日志库,无数开源 Java 组件都直接或间接依赖于Log4j2。作为软件供应链中的核心原始组件,Log4j2的自身漏洞带给整个软件供应链的影响最为直接、隐秘,影响也最为深远。

供应链安全上升至国家战略层面

随着供应链安全形势的愈加严峻,越来越多的国家开始关注国家产业供应链战略,不断努力推动维护本国产业供应链安全的建设。很多国家都根据自己的国情制定了各自的全球产业供应链战略发展措施。

早在2012年欧洲网络和信息安全局(ENISA)就发布了《供应链完整性报告》(2015年更新),报告确定了供应链安全威胁的性质,并审查了可能的应对策略。

近日,美国国家标准与技术研究所(NIST)发布了关于确保软件供应链安全的最新指导,以响应政府旨在加强国家网络安全的行政令。据悉美国还建立跨部门产业供应链安全组织保障体系,多维度建立国家产业供应链安全战略体系,强化产业供应链安全立法体系建设,注重国家产业供应链安全政策研究,并强化产业供应链风险评估和安全审查。

随着越来越多的国家广泛应用现代信息技术,德国政府从政策层面上积极推动本国产业供应链向智能化、信息化方向发展,在信息通信技术基础之上的 CPS 系统构建智能工厂,构建智能制造供应链网络,不断提高制造业竞争力。

我国宏观层面对推动产业供应链发展给予了高度重视,微观层面为推动产业供应链发展不断赋能,企业不断拓展产业供应链发展的全球布局。

多年来,我国相继出台了供应链安全管理国家标准《信息安全技术 ICT 供应链安全风险管理指南》(GB/T 36637-2018)、发布了《信息技术产品供应链安全要求》征求意见稿、拟研究制定《信息安全技术软件供应链安全要求》,

以实现供应链的完整性、保密性、可用性和可控性安全目标,规定信息技术产品供应方和需求方应满足的供应链基本安全要求,并提升国内软件供应链各个环节的规范性和安全保障能力。

另外,对于我国供应链安全管理体系的完善,相关专家认为可以从战略规划、制度建设、保障机制、配套政策、标准体系五方面发力:

  • 尽快提高供应链安全在制造业长期发展规划中的战略地位,形成国家层面的战略共识。
  • 完善供应链安全的制度建设。
  • 完善供应链风险防范保障机制。
  • 制定供应链安全战略部署的政策体系。
  • 加快供应链安全管理相关国家标准的研究制定,并促进国家标准与国际标准对接。

近年来由于疫情的持续蔓延,对全球供应链安全也产生了重大影响,保障供应链安全将成为一场持久战,各国应携手共同维护全球供应链安全,并发挥各自优势推动全球供应链安全治理。

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/152243.html<

(0)
管理的头像管理
上一篇2025-03-13 22:13
下一篇 2025-03-13 22:14

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注