國外安全媒體安全周刊稱“與來自 100 多個(gè)不同組織的 300 多名網(wǎng)絡(luò)安全專家進(jìn)行了聯(lián)絡(luò),以深入了解當(dāng)今的安全問題——以及這些問題在 2023 年及以后可能會(huì)如何演變。其結(jié)果是關(guān)于從人工智能、量子加密和攻擊面管理到風(fēng)險(xiǎn)投資、法規(guī)和犯罪團(tuán)伙等主題的十多個(gè)特征?!保罱撁襟w發(fā)布了多篇網(wǎng)絡(luò)洞察的文章,我們也可以通過了解他們的一些觀點(diǎn),了解了解國外對應(yīng)網(wǎng)絡(luò)安全的一些觀點(diǎn)和看法,便于我們吸收借鑒。后期,我將匯總這十三個(gè)“網(wǎng)絡(luò)洞察”文章,歡迎大家及時(shí)關(guān)注,到時(shí)會(huì)分享出來,供大家指正!
供應(yīng)鏈威脅與攻擊面管理(它可能代表攻擊面的隱藏部分)和零信任(100% 有效的零信任將消除威脅)直接相關(guān)。但在補(bǔ)救之前,必須了解并理解供應(yīng)鏈。
52個(gè)網(wǎng)絡(luò)安全與信息化相關(guān)法律法規(guī)打包下載15個(gè)網(wǎng)絡(luò)安全等級(jí)保護(hù)和等級(jí)測評PPT課件打包下載300多頁網(wǎng)絡(luò)安全知識(shí)小冊子2023版下載閑話等級(jí)保護(hù):網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)標(biāo)準(zhǔn)(等保十大標(biāo)準(zhǔn))下載與此同時(shí)——尤其是在整個(gè) 2023 年——它將成為對手關(guān)注的焦點(diǎn)。當(dāng)成功操縱供應(yīng)鏈可以同時(shí)訪問數(shù)十個(gè)甚至數(shù)百個(gè)目標(biāo)時(shí),為什么要攻擊單個(gè)目標(biāo)。
關(guān)注公眾號(hào)回復(fù)“202322”可自取“網(wǎng)絡(luò)洞察 2023”合集
SolarWinds、log4j、Spring4Shell、Kaseya和OpenSSL事件充分說明了此類攻擊的危險(xiǎn)性和有效性。
錯(cuò)過的叫醒電話
供應(yīng)鏈攻擊并不新鮮。2013 年底標(biāo)志性的Target 違規(guī)是供應(yīng)鏈違規(guī)。攻擊者使用從其暖通空調(diào)供應(yīng)商 Fazio Mechanical Services 竊取的憑據(jù)進(jìn)入 Target,即通過 Target 的供應(yīng)鏈。
2018 年Ticketmaster違規(guī)事件是另一起供應(yīng)鏈違規(guī)事件。Ticketmaster 軟件供應(yīng)商 Inbenta 遭到破壞,Inbenta 軟件被修改和武器化。這是自動(dòng)下載到 Ticketmaster 的。
跳島是供應(yīng)鏈攻擊的另一種形式。2017 年,Operation Cloud Hopper揭曉。這表明一個(gè)高級(jí)組織(可能是 APT10)正在破壞托管服務(wù)提供商以獲取對 MSP 客戶的訪問權(quán)限。
盡管發(fā)生了這些事件,但直到最近幾年,在 SolarWinds 等更廣泛的事件的推動(dòng)下,該行業(yè)才開始意識(shí)到日益復(fù)雜和廣泛的供應(yīng)鏈問題所帶來的全面威脅。但我們不應(yīng)忘記,2017 年的NotPetya事件也是從供應(yīng)鏈攻擊開始的。烏克蘭會(huì)計(jì)師事務(wù)所 MEDoc 的軟件在傳播到全球之前被武器化并由該公司的客戶自動(dòng)下載。SolarWinds 和 NotPetya 都被認(rèn)為是民族國家行為者的作品。
2023 年及以后,各種形式的供應(yīng)鏈攻擊都將增加。VMware 的全球安全技術(shù)專家 Chad Skipper 特別呼吁指出:“到 2023 年,網(wǎng)絡(luò)犯罪分子將繼續(xù)使用跳島技術(shù),這種技術(shù)旨在劫持組織的基礎(chǔ)設(shè)施以攻擊其客戶,在跳島活動(dòng)中,威脅行為者經(jīng)常使用遠(yuǎn)程桌面協(xié)議將自己偽裝成系統(tǒng)管理員。在我們進(jìn)入新的一年之際,這是所有組織都應(yīng)該首先考慮的威脅。”
攻擊會(huì)增加
供應(yīng)鏈攻擊將在 2023 年及以后增加,這是對 2023 年最廣泛的預(yù)測。只因一次泄露就泄露了特權(quán)信息,Code42 安全運(yùn)營高級(jí)總監(jiān) Matt Jackson 解釋道:“這種類型的攻擊在 2021 年已經(jīng)上升了 300% 以上,我預(yù)計(jì)這種趨勢將在 2023 年繼續(xù),這些攻擊將變得更加復(fù)雜和錯(cuò)綜復(fù)雜?!?div style="height:15px;">
Proofpoint 的全球常駐 CISO Lucia Milic? 擔(dān)心,盡管到目前為止已經(jīng)敲響了警鐘,“我們距離擁有足夠的工具來防范此類數(shù)字供應(yīng)鏈漏洞還有很長的路要走。我們預(yù)計(jì)這些擔(dān)憂將在 2023 年加劇,我們對第三方合作伙伴和供應(yīng)商的信任將成為主要的攻擊渠道之一。我們預(yù)計(jì)整體供應(yīng)鏈關(guān)系會(huì)更加緊張,因?yàn)榻M織試圖升級(jí)其供應(yīng)商的盡職調(diào)查流程以更好地了解風(fēng)險(xiǎn),而供應(yīng)商則爭先恐后地管理對其流程的壓倒性關(guān)注?!?div style="height:15px;">
杰克遜補(bǔ)充說:“由于許多第三方合作伙伴現(xiàn)在比以往任何時(shí)候都掌握更多的敏感數(shù)據(jù),公司不能再依靠自己的網(wǎng)絡(luò)安全實(shí)力來保證信息安全。供應(yīng)鏈攻擊有目的地首先針對較小的組織,因?yàn)樗麄儾惶赡軗碛袕?qiáng)大的網(wǎng)絡(luò)安全設(shè)置,并且他們可以利用這些公司來捕撈更大的魚。明年,公司在決定與外部組織合作時(shí)將變得更加勤奮,從而增加合規(guī)性驗(yàn)證以審查這些潛在合作伙伴使用的網(wǎng)絡(luò)工具?!?div style="height:15px;">