在《供應(yīng)鏈中的網(wǎng)絡(luò)安全》系列文章中,Seongkyoon Jeong探討了與供應(yīng)鏈管理者相關(guān)的網(wǎng)絡(luò)安全問題和策略。Jeong是田納西大學(xué)Haslam商學(xué)院的助理教授,專注于數(shù)字供應(yīng)鏈的研究,擁有豐富的檢測軟件系統(tǒng)漏洞和評(píng)估網(wǎng)絡(luò)攻擊經(jīng)濟(jì)影響的經(jīng)驗(yàn)。在他之前的文章中,Jeong探討了為什么網(wǎng)絡(luò)安全已成為供應(yīng)鏈領(lǐng)域的主要風(fēng)險(xiǎn),并介紹了行業(yè)領(lǐng)導(dǎo)者和政府為減輕風(fēng)險(xiǎn)所采取的措施。
本文的部分內(nèi)容于2024年9月發(fā)布在田納西大學(xué)全球供應(yīng)鏈研究所的博客上,供應(yīng)鏈專業(yè)人士可以在這里找到領(lǐng)先研究人員和學(xué)者關(guān)于全球供應(yīng)鏈管理最新趨勢和話題的重要閱讀材料。
在上一篇文章中,我分析了供應(yīng)鏈網(wǎng)絡(luò)安全日益重要的原因,指出了它為何成為行業(yè)中的關(guān)鍵問題,并概述了行業(yè)領(lǐng)導(dǎo)者和政府為降低風(fēng)險(xiǎn)所采取的措施。今天,我將更深入地介紹影響供應(yīng)鏈的三種常見網(wǎng)絡(luò)攻擊類型。我將提供案例分析,探討這些攻擊發(fā)生的原因,分析其影響,并提出企業(yè)可以采取的一些預(yù)防措施。
類型1:虛假的供應(yīng)鏈
網(wǎng)絡(luò)犯罪分子常用的一種長期戰(zhàn)術(shù)是社會(huì)工程攻擊。在這種網(wǎng)絡(luò)攻擊中,黑客冒充合法的利益相關(guān)者,如供應(yīng)鏈合作伙伴、CEO,甚至政府官員,以操縱毫無戒心的受害者,促使他們做出危害安全的行為。這些攻擊通常試圖讓受害者泄露敏感信息或轉(zhuǎn)移資金。
在供應(yīng)鏈背景下,由于大量依賴數(shù)字通信,尤其是電子郵件作為運(yùn)營協(xié)調(diào)的標(biāo)準(zhǔn),這種方法仍然非常有效。黑客通常采用兩種策略:“散彈槍式”和更為精準(zhǔn)的“狙擊手式”策略。
在“散彈槍式”攻擊中,攻擊者通過發(fā)送泛泛的釣魚郵件,廣泛撒網(wǎng),期望至少有部分潛在受害者會(huì)上鉤。例如,在新冠疫情期間,網(wǎng)絡(luò)犯罪分子冒充FedEx、DHL和UPS等知名物流公司,發(fā)送假冒的關(guān)于送貨問題的通知,誘騙毫無戒心的受害者。同樣,黑客也可能冒充熱門物品的供應(yīng)商。疫情期間,隨著全球?qū)谡值男枨蠹ぴ?,黑客利用個(gè)人防護(hù)設(shè)備的突發(fā)需求滲透到包括醫(yī)療設(shè)施和零售商店在內(nèi)的各種供應(yīng)鏈中。
而在“狙擊手式”攻擊中,黑客從社交媒體或商業(yè)網(wǎng)站等公開渠道收集目標(biāo)的具體信息,通過制作高度定制化的釣魚信息來提高攻擊成功率。例如,一個(gè)廣為人知的案例中,欺詐者冒充一位合同供應(yīng)商,從佛羅里達(dá)州Ocala市盜取了74.2萬美元。在另一例中,黑客入侵了中介機(jī)構(gòu)(如電子郵件服務(wù)提供商),劫持了合法方之間的通信。
雖然這些攻擊方法看似過時(shí),但在當(dāng)今數(shù)字化互聯(lián)的世界中仍然非常有效。為了防御此類攻擊,建議企業(yè)在做出關(guān)鍵決策(如付款)之前,采用多步驟驗(yàn)證流程。此外,即便是與經(jīng)過認(rèn)證的供應(yīng)商合作,實(shí)施“零信任”政策也有助于確保在采取行動(dòng)之前對(duì)所有通信進(jìn)行驗(yàn)證。
類型2:針對(duì)供應(yīng)商管理資源的網(wǎng)絡(luò)攻擊
另一種常見的供應(yīng)鏈網(wǎng)絡(luò)攻擊形式是針對(duì)第三方供應(yīng)商管理的資源,而不是直接攻擊企業(yè)本身,這些資源可能包括敏感數(shù)據(jù)、IT基礎(chǔ)設(shè)施和數(shù)字接入點(diǎn),這使得供應(yīng)商成為網(wǎng)絡(luò)犯罪分子的理想目標(biāo),這類攻擊往往產(chǎn)生連鎖反應(yīng),導(dǎo)致供應(yīng)商客戶的運(yùn)營受損,并造成聲譽(yù)損害。
數(shù)據(jù)泄露是最常見的問題之一。供應(yīng)商經(jīng)常代表其客戶處理敏感數(shù)據(jù),如個(gè)人身份信息或?qū)S械纳虡I(yè)信息。一旦這些數(shù)據(jù)被泄露,供應(yīng)商的客戶及其客戶的客戶都會(huì)遭受嚴(yán)重后果。一個(gè)典型的例子是萬豪國際(Marriott International)的數(shù)據(jù)泄露事件,通過供應(yīng)商的漏洞,黑客曝光了社會(huì)安全號(hào)碼等敏感數(shù)據(jù)。
除了數(shù)據(jù),供應(yīng)商提供的IT基礎(chǔ)設(shè)施也是一個(gè)常見的攻擊目標(biāo),尤其是在企業(yè)越來越依賴云計(jì)算和其他數(shù)字系統(tǒng)的情況下,然而,許多企業(yè)并不完全理解如何保護(hù)這些基礎(chǔ)設(shè)施,從而使自己容易受到配置錯(cuò)誤的影響。很多基于云的網(wǎng)絡(luò)攻擊正是由于用戶公司設(shè)置不當(dāng)?shù)陌踩渲脤?dǎo)致數(shù)據(jù)暴露在攻擊者面前。例如,一些企業(yè)僅因簡單的云配置疏忽而遭遇數(shù)據(jù)泄露。
此外,由于網(wǎng)絡(luò)攻擊導(dǎo)致供應(yīng)商運(yùn)營中斷,可能會(huì)使整個(gè)供應(yīng)鏈陷入停頓。以域名系統(tǒng)(DNS)攻擊為例,黑客控制了供應(yīng)商的DNS服務(wù)器,從而癱瘓了所有依賴該服務(wù)的在線運(yùn)營。盡管企業(yè)通常試圖通過建立二級(jí)渠道來緩解這些風(fēng)險(xiǎn),但很多公司未能充分整合這些備份系統(tǒng)。CrowdStrike案例顯示,許多企業(yè)的應(yīng)急供應(yīng)鏈計(jì)劃設(shè)計(jì)不完善,尤其是在IT系統(tǒng)方面。
為防范此類攻擊,企業(yè)必須超越基本的盡職調(diào)查,積極將網(wǎng)絡(luò)安全評(píng)估納入供應(yīng)商選擇過程中。就像可持續(xù)性逐漸成為供應(yīng)商評(píng)估的關(guān)鍵因素一樣,網(wǎng)絡(luò)安全也應(yīng)該是首要考慮事項(xiàng)。企業(yè)應(yīng)評(píng)估供應(yīng)商應(yīng)對(duì)網(wǎng)絡(luò)威脅的響應(yīng)能力,確保供應(yīng)商在解決漏洞方面保持積極主動(dòng),尤其是在攻擊者和防御者不斷演變的動(dòng)態(tài)競爭關(guān)系中。
類型3:通過供應(yīng)商訪問客戶系統(tǒng)的網(wǎng)絡(luò)攻擊
第三種也是最復(fù)雜的供應(yīng)鏈網(wǎng)絡(luò)攻擊類型涉及黑客利用供應(yīng)商對(duì)企業(yè)系統(tǒng)的訪問權(quán)限。在這種情況下,攻擊者入侵供應(yīng)商系統(tǒng),并利用其作為渠道,破壞公司的安全措施,這可能涉及被攻陷的軟件、硬件或二者兼有。由于繞過了傳統(tǒng)的安全協(xié)議,這類攻擊尤其具有破壞性,因?yàn)樗ǔ0l(fā)生在公司信任的基礎(chǔ)設(shè)施內(nèi)部。
一個(gè)著名的例子是Magecart攻擊,該攻擊針對(duì)在線零售商竊取客戶的信用卡信息。由于許多公司使用第三方應(yīng)用程序來管理其電子商務(wù)系統(tǒng),這使得它們?nèi)菀资艿竭@些外部應(yīng)用程序中的安全漏洞的攻擊。一旦惡意代碼被注入,黑客就可以在不被察覺的情況下竊取敏感的客戶數(shù)據(jù)。
另一個(gè)臭名昭著的案例是SolarWinds事件。黑客攻破了受信任的IT管理公司SolarWinds,并利用其軟件更新作為攻擊載體,滲透了包括美國政府機(jī)構(gòu)在內(nèi)的眾多高調(diào)企業(yè)。
基于硬件的攻擊同樣令人擔(dān)憂。2013年Target的數(shù)據(jù)泄露事件就是一個(gè)典型案例,黑客通過最初從被攻陷的供應(yīng)商處投放的惡意軟件,入侵了Target的銷售終端(POS)系統(tǒng)。在這個(gè)案例中,漏洞來自Fazio Mechanical,這是一家位于賓夕法尼亞州的小型暖通空調(diào)(HVAC)公司,與Target有業(yè)務(wù)往來。黑客通過竊取Fazio技術(shù)人員的VPN憑證,獲得了Target的網(wǎng)絡(luò)訪問權(quán)限,展示了供應(yīng)商漏洞可能帶來的廣泛影響。
關(guān)鍵教訓(xùn)是,企業(yè)往往將其軟件和硬件系統(tǒng)視為“黑箱”——這些系統(tǒng)在沒有對(duì)內(nèi)部運(yùn)行機(jī)制完全可見的情況下運(yùn)作,這種缺乏透明度使得企業(yè)難以評(píng)估初始的和持續(xù)的安全風(fēng)險(xiǎn)。正如供應(yīng)鏈專業(yè)人員在質(zhì)量管理中強(qiáng)調(diào)“持續(xù)改進(jìn)”一樣,網(wǎng)絡(luò)安全必須被視為一個(gè)需要持續(xù)監(jiān)控、更新和漏洞評(píng)估的過程。
企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,旗下運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。旗下運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。