如何应对供应链攻击

去年12月底，软件公司SolarWinds意识到其一个软件系统遭到了供应链攻击。攻击者将恶意软件添加到供应商的签名版本的软件中，然后被用来渗透1.8万个私人政府和私人组织。恶意软件一旦部署到目标环境中就会变得活跃。

彼得Firstbrook高德纳公司副总裁分析师杰里米·D 'Hoinne他说，尽管这些类型的攻击是现实，但组织往往没有准备好应对网络安全攻击。我们与分析人士讨论了供应链攻击的性质，以及安全和风险团队如何应对这些攻击。

什么是供应链攻击?

供应链攻击是指供应商向客户提供的商品、服务或技术遭到破坏和泄露，这给客户群体带来了风险。组织面临的风险是不同的。

阅读更多:防范勒索软件攻击的6种方法

供应链攻击的例子有很多，比如使用供应商泄露的电子邮件帐户进行社会工程，或者从供应商的电子邮件地址发送恶意软件，从而增加恶意软件感染的概率。更复杂的攻击可以破坏供应商的网络，并利用其特权访问渗透目标网络。最复杂的攻击，包括太阳风攻击，涉及修改可信软件工具。

你如何检测这种类型的攻击和损害的程度?

这是一个简短的问题，答案很长。最大的挑战是供应链攻击被高级对手利用，通常使用难以发现的新技术和工具。此外，异常检测是一种不精确的艺术，可能会触发太多警报，安全团队无法处理。扩大安全操作团队以响应警报，从而减少检测时间仍然是一个挑战。

供应链攻击的范围进一步扩大。除了组织的直接控制之外，安全团队还必须:

• 盘点和监控第三方工具组织使用并了解漏洞和已披露的漏洞
• 监控授予供应商的远程访问权限对其进行限制，并使用多因素身份验证等附加层来加强。
• 监控第三方供应商可以使用公司资源的人。

供应链攻击可能利用多种攻击技术。专门的异常检测技术，包括端点检测和响应(EDR)、网络检测和响应(NDR)和用户行为分析(UBA)，可以补充集中日志管理/SIEM工具上的安全分析所涵盖的更广泛的范围。

阅读更多:Gartner 2020-2021年十大安全项目

高级攻击者的主要目标是经过身份验证的访问，这使他们能够混入正常的活动中。这意味着身份基础设施卫生、多因素身份验证和持续监控是关键的防御措施。此外，网络分段可以限制未被发现的攻击的损害，使其更难获得更高价值的公司资源。

组织应该如何应对供应链攻击?

供应链攻击的事件响应手册与任何事件响应类似，但需要考虑不同的时间范围。第一步是事件响应工作流。这包括通过法医分析追踪泄露的程度，并恢复正常操作。为此，获取相关信息至关重要。

在缺乏内部调查资源的情况下，或在预计会发生严重违规时，组织应聘请事件响应服务。

从长远来看，由于任何人都可能被攻破，而且没有网络内外之分(即零信任)，安全团队应该调整他们的安全和风险管理路线图，以更好地反映供应链攻击的暴露情况。

“新兴的入侵和攻击模拟工具可用于持续探索网络攻击场景内部”

那些确定自己没有受到备受瞩目的供应链攻击影响的组织应该利用这个机会来测试“如果”场景，假设他们受到了影响，哪些缓解措施或安全防御措施可以提供有效的遏制，哪些不会。这种类型的分析可能会改变对安全优先级和程序的思考。

请记住，这个特殊的攻击是由一个警惕的安全操作员发现的，他想知道为什么一个员工想要第二个电话注册多因素身份验证。这意味着攻击者的目标是利用身份，特别是MFA作为攻击向量。因此，成功的安全组织必须仔细审查身份登录程序，其中包括新设备的MFA使用安全程序注册。

新兴的入侵和攻击模拟工具可用于持续探索网络内部攻击场景和影响，以及测试安全防御。

袭击发生后，安全专家提出了哪些具体的担忧?

我们收到了一系列广泛的询问，其中包括传统的入侵后问题，通常旨在了解特定攻击的范围和直接后果，以及与使用受损供应商产品的影响有关的额外问题，以及如何适应这种情况。

这似乎是组织审查安全和风险计划的好时机。他们应该关注哪些方面?

重要的是避免临时反应这可能太具体了，并不是提高整体安全性的最佳举措。广泛的回顾有助于将最近的事件放在一个更广泛、更平衡的背景下。审查不应局限于预防性控制，还应包括异常检测和事件响应。像Breach and Attack (BAS)这样的框架可以帮助形式化初始审查和工具，也有助于评估的自动化。