烽火十八台丨从3.15曝光的食品安全问题看供应链网络安全防护

今年3.15晚会爆光的“土坑酸菜”事件一夜之间冲上热搜，除了加工生产厂商被查封之外，几家与之相关的食品企业也纷纷致歉，引起普遍关注。这是供应链安全在食品加工行业的一个典型案例。

在网络安全领域，供应链安全也是近年来备受关注的热门话题。RSAC2021创新沙盒冠军得主便是一家以解决供应链安全问题为创新点的公司；今年“两会”期间，相关专家也提到，供应链朝着越来越数字化、平台化、智能化的方向发展，从网络安全和数据安全角度，保障其安全性和可靠性尤为关键。

该话题之所以受到高度关注的另一个原因是近两年全球范围内的供应链安全事件频发，尤其是涉及到金融、能源、交通、政府等关键基础设施领域，供应链安全问题造成的后果十分严重，甚至可能会威胁到国家安全。

供应链攻击事件频发

2022年3月

据日媒报道，丰田汽车主要供应商日本电装株式会社（Denso）遭遇疑似勒索软件攻击，大量内部资料被黑客获取并要求支付赎金。

2021年12月

Log4j2漏洞的爆发也引发了一场供应链安全危机。作为一个堪比标准库的基础日志库，无数开源 Java 组件都直接或间接依赖于Log4j2；作为软件供应链中的核心原始组件，Log4j2的自身漏洞带给整个软件供应链的影响最为直接、隐秘，影响也十分深远。

2021年3月

为全球90%的航空公司提供通信和IT服务的SITA公司遭到网络攻击，存储在该公司美国服务器上的数百万乘客数据遭到泄露，全球众多航空公司业务受到影响，造成了航空业“大地震”。

供应链攻击的特点

供应链攻击可以绕开层层封堵的安全防护措施，直接从内网进行破坏，甚至能够在上下游单位间来回渗透。例如全球爆发的log4j2远程执行漏洞涉及6910个组件，几乎覆盖全球所有的java应用；完整的供应链覆盖了从开发设计到交付实施再到用户使用的各个环节，包含了整个过程中涉及的人员、系统和各项制度规范等，牵扯到最终用户和各级供应商，每一个环节的信息泄露都可能成为网络攻击的突破口。

总之，供应链攻击具备突破口多、破坏力强和波及面广等特点，一次成功的攻击通常会威胁到多方面的网络安全，而管理缺失、资产不清、非法接入、地址滥用、弱口令或无鉴权等各种问题则是造成这些风险的主要原因。

供应链攻击的常用手法

供应链漏洞：利用0day、Nday漏洞突破边界，进行直接、有效的攻击；
供应链后门：利用预留调试用后门、内置口令等方式进行入侵；
供应链污染：通过植入木马等方式，对所有用户进行无差别攻击；
供应链社工：人始终是最大的漏洞，介入人员角色越多、攻击面越大，利用管理的薄弱点进行攻击是最难防范的风险之一。

针对不同阶段的防护策略与局限

针对供应链安全风险，当前已有一些解决方案可以在不同阶段来发挥作用，但也存在一些局限。

【开发阶段】

现在主流的方法例如DevSecOps，强调将安全贯穿到从开放到运营过程中的每个环节，这种方法能够解决安全开发的问题，但难点在于周期长、难度大，效果也因人而异；

【交付阶段】

在制度方面，需要建立严格的红线要求和审核机制，确保采购产品资质可靠、信息准确；在技术层面，需要进行全面的配置核查和漏洞检查，确保采购产品上线时处于安全状态；目前，虽然有相关的入网检测评估体系和评测机构，但覆盖面仍然不足，支持检测的厂商有限；

【使用阶段】

在监控方面，既要反复对所用的系统、应用、产品进行漏洞扫描、口令检查，尤其需要关注热点漏洞、0day漏洞，及时对其进行修补和加固；要持续对暴露面进行风险监控，及时发现并清理泄露的采购信息、代码信息和人员信息以及对外开放的端口服务和通道路径等敏感信息；还要清晰梳理资产台账，及时发现未知资产、违规资产和问题资产；

在应急处置方面，既要建立应急预案，做好安全制度；又要做到协同联动，实现快速处置；还要定期开展模拟演练，提升全员安全意识，强化人员实战水平。

目前，尽管已经有丰富的威胁防御和态势感知体系，但持续性的安全运营需要不断投入，无法确保有效。

对于用户而言，很难做到完全避免供应链安全风险，更实际的做法是合理控制风险，确保供应链管理安全可靠，风险可控，保证供应链暴露面的网络安全。

三步走丨建立可回溯的资产运营体系

【步骤一：供应链及供应链敏感信息识别】

从供应链安全的角度，首先要梳理清楚供应商和供应链的敏感信息要点：

◆ 摸清供应商；

◆ 摸清外网泄露的文档、拓扑、组织架构、代码；

◆ 摸清供应商招聘信息，实时监测和对比供应商商品安全状况；

◆ 摸清单位及其供应商泄露的电话、邮箱账号、短信和邮件钓鱼事件；

◆ 摸清源代码、VPN、OA等关键系统的泄露信息和漏洞信息。

【步骤二：供应链IT资产管理】

资产管理通过主动探测的方式，结合敏感信息监测收集到IT信息，一方面对供应商网络暴露面上存活的资产进行发现，并利用丰富的资产指纹信息对供应商涉及到的IT资产进行识别与画像分析；另一方面从行业维度、地域维度和运营维度对其组织结构进行梳理，构建完整的供应链画像，进一步完善供应链的资产信息；最后再利用供应链的资产脆弱性检测能力对暴露资产的敏感端口、风险服务以及弱口令、漏洞等风险进行摸排，最终找到供应链上的未知资产、违规在运资产、过期未退运的资产、高危资产以及非必要开放的服务等风险，并及时进行整改或下线等处置。

【步骤三：可回溯的资产运营体系】

针对供应链攻击过程涉及的内外部关键环节，一方面加强对外网当中供应链敏感信息泄露的监测与清理，另一方面加强对供应商互联网边界暴露面网络资产的探测与监控；在内部，针对内网各网络设备、安全设备和业务系统，进行自动化的渗透测试与综合防护，强化对高危风险的精准发现和对未知威胁的主动防御。

除了安全技术的加强之外，在管理上也进行配套的制度和规范设计，针对供应链环节、网络管理和系统管理等层面，设定相应的安全审核制度与安全配置基线，确保技术与管理并行强化。同时再通过引入多维度的安全服务能力，提升常态化的风险管理能力与实战化的安全保障能力。

在当前的局势下，供应链安全问题错综复杂，形势依然十分严峻，需要引起更多的重视。盛邦安全将持续关注供应链安全技术研究，为广大用户解决供应链安全问题提供更多新的思路。