烽火十八台丨从3.15曝光的食品安全问题看供应链网络安全防护
今年3.15晚会爆光的“土坑酸菜”事件一夜之间冲上热搜,除了加工生产厂商被查封之外,几家与之相关的食品企业也纷纷致歉,引起普遍关注。这是供应链安全在食品加工行业的一个典型案例。
在网络安全领域,供应链安全也是近年来备受关注的热门话题。RSAC2021创新沙盒冠军得主便是一家以解决供应链安全问题为创新点的公司;今年“两会”期间,相关专家也提到,供应链朝着越来越数字化、平台化、智能化的方向发展,从网络安全和数据安全角度,保障其安全性和可靠性尤为关键。
该话题之所以受到高度关注的另一个原因是近两年全球范围内的供应链安全事件频发,尤其是涉及到金融、能源、交通、政府等关键基础设施领域,供应链安全问题造成的后果十分严重,甚至可能会威胁到国家安全。
供应链攻击事件频发
2022年3月
据日媒报道,丰田汽车主要供应商日本电装株式会社(Denso)遭遇疑似勒索软件攻击,大量内部资料被黑客获取并要求支付赎金。
2021年12月
Log4j2漏洞的爆发也引发了一场供应链安全危机。作为一个堪比标准库的基础日志库,无数开源 Java 组件都直接或间接依赖于Log4j2;作为软件供应链中的核心原始组件,Log4j2的自身漏洞带给整个软件供应链的影响最为直接、隐秘,影响也十分深远。
2021年3月
为全球90%的航空公司提供通信和IT服务的SITA公司遭到网络攻击,存储在该公司美国服务器上的数百万乘客数据遭到泄露,全球众多航空公司业务受到影响,造成了航空业“大地震”。
供应链攻击的特点
供应链攻击可以绕开层层封堵的安全防护措施,直接从内网进行破坏,甚至能够在上下游单位间来回渗透。例如全球爆发的log4j2远程执行漏洞涉及6910个组件,几乎覆盖全球所有的java应用;完整的供应链覆盖了从开发设计到交付实施再到用户使用的各个环节,包含了整个过程中涉及的人员、系统和各项制度规范等,牵扯到最终用户和各级供应商,每一个环节的信息泄露都可能成为网络攻击的突破口。
总之,供应链攻击具备突破口多、破坏力强和波及面广等特点,一次成功的攻击通常会威胁到多方面的网络安全,而管理缺失、资产不清、非法接入、地址滥用、弱口令或无鉴权等各种问题则是造成这些风险的主要原因。
供应链攻击的常用手法
供应链漏洞:利用0day、Nday漏洞突破边界,进行直接、有效的攻击;
供应链后门:利用预留调试用后门、内置口令等方式进行入侵;
供应链污染:通过植入木马等方式,对所有用户进行无差别攻击;
供应链社工:人始终是最大的漏洞,介入人员角色越多、攻击面越大,利用管理的薄弱点进行攻击是最难防范的风险之一。
针对不同阶段的防护策略与局限
针对供应链安全风险,当前已有一些解决方案可以在不同阶段来发挥作用,但也存在一些局限。
【开发阶段】
现在主流的方法例如DevSecOps,强调将安全贯穿到从开放到运营过程中的每个环节,这种方法能够解决安全开发的问题,但难点在于周期长、难度大,效果也因人而异;
【交付阶段】
在制度方面,需要建立严格的红线要求和审核机制,确保采购产品资质可靠、信息准确;在技术层面,需要进行全面的配置核查和漏洞检查,确保采购产品上线时处于安全状态;目前,虽然有相关的入网检测评估体系和评测机构,但覆盖面仍然不足,支持检测的厂商有限;
【使用阶段】
在监控方面,既要反复对所用的系统、应用、产品进行漏洞扫描、口令检查,尤其需要关注热点漏洞、0day漏洞,及时对其进行修补和加固;要持续对暴露面进行风险监控,及时发现并清理泄露的采购信息、代码信息和人员信息以及对外开放的端口服务和通道路径等敏感信息;还要清晰梳理资产台账,及时发现未知资产、违规资产和问题资产;
在应急处置方面,既要建立应急预案,做好安全制度;又要做到协同联动,实现快速处置;还要定期开展模拟演练,提升全员安全意识,强化人员实战水平。
目前,尽管已经有丰富的威胁防御和态势感知体系,但持续性的安全运营需要不断投入,无法确保有效。
对于用户而言,很难做到完全避免供应链安全风险,更实际的做法是合理控制风险,确保供应链管理安全可靠,风险可控,保证供应链暴露面的网络安全。
三步走丨建立可回溯的资产运营体系
【步骤一:供应链及供应链敏感信息识别】
从供应链安全的角度,首先要梳理清楚供应商和供应链的敏感信息要点:
◆ 摸清供应商;
◆ 摸清外网泄露的文档、拓扑、组织架构、代码;
◆ 摸清供应商招聘信息,实时监测和对比供应商商品安全状况;
◆ 摸清单位及其供应商泄露的电话、邮箱账号、短信和邮件钓鱼事件;
◆ 摸清源代码、VPN、OA等关键系统的泄露信息和漏洞信息。
【步骤二:供应链IT资产管理】
资产管理通过主动探测的方式,结合敏感信息监测收集到IT信息,一方面对供应商网络暴露面上存活的资产进行发现,并利用丰富的资产指纹信息对供应商涉及到的IT资产进行识别与画像分析;另一方面从行业维度、地域维度和运营维度对其组织结构进行梳理,构建完整的供应链画像,进一步完善供应链的资产信息;最后再利用供应链的资产脆弱性检测能力对暴露资产的敏感端口、风险服务以及弱口令、漏洞等风险进行摸排,最终找到供应链上的未知资产、违规在运资产、过期未退运的资产、高危资产以及非必要开放的服务等风险,并及时进行整改或下线等处置。
【步骤三:可回溯的资产运营体系】
针对供应链攻击过程涉及的内外部关键环节,一方面加强对外网当中供应链敏感信息泄露的监测与清理,另一方面加强对供应商互联网边界暴露面网络资产的探测与监控;在内部,针对内网各网络设备、安全设备和业务系统,进行自动化的渗透测试与综合防护,强化对高危风险的精准发现和对未知威胁的主动防御。
除了安全技术的加强之外,在管理上也进行配套的制度和规范设计,针对供应链环节、网络管理和系统管理等层面,设定相应的安全审核制度与安全配置基线,确保技术与管理并行强化。同时再通过引入多维度的安全服务能力,提升常态化的风险管理能力与实战化的安全保障能力。
在当前的局势下,供应链安全问题错综复杂,形势依然十分严峻,需要引起更多的重视。盛邦安全将持续关注供应链安全技术研究,为广大用户解决供应链安全问题提供更多新的思路。
烽火十八台丨从3.15曝光的食品安全问题看供应链网络安全防护相关推荐
- Java后端面试必问:四十八道面试题及答案最新整理(速看速藏)
在本篇文章里小编给大家整理了一篇关于Java后端面试题最新整理内容,需要的朋友们可以参考下. 我们学习java知识,除了要做基础的程序运行外,不可避免的要在面试中遇到一些理论的考察.有些小伙伴程序做的 ...
- 〔魅惑之都〕电脑操作最忌讳的十八个小动作!!用电脑的请注意看哟~~
1.大力敲击回车键 这个恐怕是人所共有的通病了,因为回车键通常是我们完成一件事情时,最后要敲击的一个键,大概是出于一种胜利的兴奋感,每个人在输入这个回车键时总是那么大力而爽快地敲击.本人的多个键盘就是 ...
- 十八岁就不要进来了,你们看不懂这个贴
十八岁以下{禁}{禁}{禁}!你们不适合看这个贴 回想起童年...又感受到那份童真,童趣!!!或许,那才是我永恒的财富~ 这些图片感觉好亲切 出生于75-85年最全的怀旧东东 如果触动了你心中的回忆, ...
- hangfire 过期记录_韩剧丨顶楼、空洞、再次十八岁、僵尸侦探、青春记录
顶楼 更新至01集 主演: 李智雅 / 柳真 / 严基俊 / 奉太奎 Tae-gyu Bong 剧情:该剧讲述为了跻身上流社会而堵上人生.奋力奔走的女主的欲望和母性,以及置业暴富的成功故事. 空洞 更 ...
- 实验十八 IEEE 802.15.4和ZBR协议仿真
无线网络技术教程第四版实验十八 IEEE 802.15.4和ZBR协议仿真 目录 无线网络技术教程第四版实验十八 IEEE 802.15.4和ZBR协议仿真 1 实验要求和目的 2 实验原理和背景 3 ...
- 咖说丨非对称加密:十八岁给我一千个姑娘
本期好友:村头二旧 本文转自"加密二锅头". 你十八岁的时候在干什么? 是坐在高中的教室里备战大考,还是在大学的教室里打盹儿发呆,是在操场上挥汗如雨,还是在别的什么地方气喘如牛? ...
- 正视未来丨亮睛工程第十八批儿童斜视眼救助
2019年4月26-28日,"希玛·亮睛工程·周大福儿童斜视眼救助大行动"第十八批受助患儿小庆在深圳希玛林顺潮眼科医院完成手术. 小庆是一个可爱的小朋友 5岁的小庆生活在一个单亲家 ...
- 听红楼 第十八回 隔珠帘父女勉忠勤 搦湘管姊弟裁题咏
红楼梦 第十八回 音频系列 红楼梦 18.1 小厮们抢走宝玉所佩戴之物 红楼梦 18.2黛玉以为之前给宝玉的荷包也被小厮抢去,很生气 红楼梦 18.3 宝玉黛玉拌嘴 宝玉说 你到哪里,我跟到哪里 红楼 ...
- 使用电脑中最忌讳十八个动作
小常识:使用电脑中最忌讳十八个动作 1.大力敲击回车键 这个恐怕是人所共有的通病了,因为回车键通常是我们完成一件事情时,最后要敲击的一个键,大概是出于一种胜利的兴奋感,每个人在输入这个回车键时总是那么 ...
最新文章
- Android开发--Matrix(二)--实现图片的旋转
- ps里面的批处理教程
- oracle存储过程拼',【求助】关于oracle存储过程'字符串拼接'
- 教你玩转CSS padding(填充)
- python和pytorch是什么关系_【PyTorch】Tensor和tensor的区别
- 在两个Silverlight应用间数据通信(包括与Flash通信)
- oracle 物料属性批次过期,物料批次特性值
- C# 获取汉语拼音全码及简码
- 基于STM32的AT24C08数据读写
- python计算复合年化增长率、年化波动率与夏普比率
- C# 生成订单编号和取餐码
- WIN10系统开机一个WIFI都找不到,网络适配器里没有WLAN驱动,连接不了网络问题【耗时3天测试10多种方法】
- 根据显示屏分辨率调试html 样式
- 清除浏览器js和css缓存
- .ipynb如何转为.py
- 成功解决Docker You have to remove (or rename) that container to be able to reuse that name.
- 实用的git操作记录
- 最全的informix资料下载
- 最近读书得感悟 (二) 为自己工作的必要性
- 从“什么是程序化购买”到“程序化购买+”
热门文章
- 小程序分享,禁用分享,解除禁用分享
- “要么增长要么死”,狼性文化正在毁掉什么?
- 如何消除你的情绪、戾气与恶念
- Java bean中字段命名潜规则,前两个字母要么都大写,要么都小写
- 强化学习《蘑菇书 EasyRL第一章 概览》
- 少儿编程让孩子玩出智慧
- setenv设置环境变量_setenv命令教程在Linux中添加,删除和更改环境变量
- VMware新建虚拟机在按照过程图形化鼠标点击不了,
- 明日之后系统互通的服务器,明日之后安卓苹果互通么?安卓苹果混服/能联机吗问题介绍[图]...
- 网站建设:颜色与线条的选择