供應鏈的模糊如何為網絡攻擊者打開大門以及如何關閉

在過去十年中，全球發生了200多起供應鏈攻擊事件。其中一些事件影響了大量的供應商網絡和數以百萬計的客戶，例如SolarWinds、Kaseya漏洞攻擊和最近的Log4j漏洞攻擊。

但是考慮到分布式工作的發展，特別是自從新冠疫情爆發以來，現在還有什么不是供應鏈的一部分?同樣，哪個工作場所不包括在遠程工作的各個方面?

對云托管平臺、較弱的身份驗證解決方案和公共工具的依賴已經變得普遍，而且現在已經沒有回頭路。人們所處的密集生態系統都在向其他一切滲透，企業之間的聯系只會變得更加密切。

當然，在考慮安全性時，企業在業務上最依賴的供應商應該超越其他供應商。但如果供應鏈是任何可能讓企業有機會跳轉到另一個目標的事物，那么幾乎所有事物都是供應鏈的一部分。對于網絡攻擊者來說，供應鏈中的所有弱點看起來都一樣：都是攻擊的機會。 

提高生產力的成本

雖然網絡攻擊者的動機是機會，但企業必須處理其模糊的界限，這些界限曾經是網絡安全的基礎，其原因是生產力。 

例如，越來越多的企業使用GitHub作為他們的代碼管道。即使有像GitLab這樣的內部解決方案也是如此，因為GitHub是開發人員上傳和管理代碼的更方便的方式。 

IT專業人士知道鎖定公共工具是可能的，但沒有人會認為默認情況下它是安全的。事實上，情況恰恰相反。像GitHub這樣的軟件為那些攻擊者提供了各種機會。 

網絡攻擊者查看GitHub，可能看不到將成為他們實際攻擊媒介的服務器，甚至看不到他們找到植入后門方法的服務器。但它是硬編碼的開發人員憑據、有關軟件包內部工作的重要信息等的關鍵情報來源。該視圖可以讓高級威脅參與者深入了解如何構建有效的后門，以及可以將其植入到何處，以便在不被發現的情況下輕松而可靠地訪問。 

GitHub還向網絡攻擊者提供有權訪問存儲庫的開發人員列表。一旦在企業網絡中站穩了腳跟，這份清單就可以作為一系列完美的目標。現在可能由于一臺被侵入的筆記本電腦包含一個GitHub登錄名，整個代碼存儲庫以及它的宿主組織都可能遭到破壞。 

同樣，正式或非正式的“自帶設備”政策的激增，以及開發人員從自己的設備登錄到易于訪問的服務，極大地擴大了企業的攻擊面，因為它消除了作為內部服務防御的關鍵分段。 

像攻擊者一樣思考，然后像企業高管一樣思考 

由于GitHub、AWS等服務構成了一個復雜的供應鏈威脅網絡，因此很難將這些風險簡明地傳達給企業中的決策者。這就是在討論供應鏈攻擊等新聞中經常出現的話題，溝通是關鍵的原因。當只有幾分鐘的時間來推銷安全信息時，簡潔的溝通是至關重要的，而這可能觸及問題關鍵。 

安全專業人員通常喜歡談論他們工作的細節，即使他們的聽眾不喜歡。其挑戰在于建立安全投資的背景和需求，同時將它們與企業的目標聯系起來，而不是散布沒有人愿意想象的噩夢。 

專注于最大的創收組織和最大的創收產品自然會吸引企業高管人員的注意。這為探索這些領域可能面臨的威脅以及如何在不犧牲太多生產力的情況下應對這些威脅創造了機會。 

了解供應鏈中的關鍵是企業控制的元素、瓶頸在哪里，以及可以在哪里引入關鍵緩解措施以防止小問題發展成為整個領域的危害。讓企業高管了解供應鏈的規模和無定形性也是至關重要的，因為網絡攻擊者很清楚。 

例如，如果企業公司使用Microsoft Teams，那么生產組織結構圖中的每個人都可能知道這一點。但是他們可能沒有意識到，作為這個無處不在的云服務的宿主，微軟公司現在是供應鏈的一部分。現在，對于在全球大多數國家開展業務的全球規模最大軟件公司的任何潛在風險，對企業來說都是潛在風險。 

不管是好是壞，都在一起 

從網絡攻擊者的角度考慮安全，尤其是信息安全，將會產生一種殊途同歸的感覺。 

從那些以攻擊企業業務的攻擊者的角度來看，可以看到與企業合作的每家公司以及使用的每一種工具都是企業安全中潛在的薄弱環節。因此，企業難以在不影響其上游和下游的每個組織的情況下做出風險決策。但是，這些決策的范圍通常會產生巨大的風險，因此企業了解其主要供應商和客戶通常是邁向有效供應鏈安全的最主要的一步。 

人們需要認識到生產力的回報伴隨著相互依賴的風險，而這是減少網絡攻擊者的攻擊機會的關鍵一步。