在《供應鏈中的網絡安全》系列文章中,Seongkyoon Jeong探討了與供應鏈管理者相關的網絡安全問題和策略。Jeong是田納西大學Haslam商學院的助理教授,專注于數字供應鏈的研究,擁有豐富的檢測軟件系統漏洞和評估網絡攻擊經濟影響的經驗。在他之前的文章中,Jeong探討了為什么網絡安全已成為供應鏈領域的主要風險,并介紹了行業領導者和政府為減輕風險所采取的措施。
本文的部分內容于2024年9月發布在田納西大學全球供應鏈研究所的博客上,供應鏈專業人士可以在這里找到領先研究人員和學者關于全球供應鏈管理最新趨勢和話題的重要閱讀材料。
在上一篇文章中,我分析了供應鏈網絡安全日益重要的原因,指出了它為何成為行業中的關鍵問題,并概述了行業領導者和政府為降低風險所采取的措施。今天,我將更深入地介紹影響供應鏈的三種常見網絡攻擊類型。我將提供案例分析,探討這些攻擊發生的原因,分析其影響,并提出企業可以采取的一些預防措施。
類型1:虛假的供應鏈
網絡犯罪分子常用的一種長期戰術是社會工程攻擊。在這種網絡攻擊中,黑客冒充合法的利益相關者,如供應鏈合作伙伴、CEO,甚至政府官員,以操縱毫無戒心的受害者,促使他們做出危害安全的行為。這些攻擊通常試圖讓受害者泄露敏感信息或轉移資金。
在供應鏈背景下,由于大量依賴數字通信,尤其是電子郵件作為運營協調的標準,這種方法仍然非常有效。黑客通常采用兩種策略:“散彈槍式”和更為精準的“狙擊手式”策略。
在“散彈槍式”攻擊中,攻擊者通過發送泛泛的釣魚郵件,廣泛撒網,期望至少有部分潛在受害者會上鉤。例如,在新冠疫情期間,網絡犯罪分子冒充FedEx、DHL和UPS等知名物流公司,發送假冒的關于送貨問題的通知,誘騙毫無戒心的受害者。同樣,黑客也可能冒充熱門物品的供應商。疫情期間,隨著全球對口罩的需求激增,黑客利用個人防護設備的突發需求滲透到包括醫療設施和零售商店在內的各種供應鏈中。
而在“狙擊手式”攻擊中,黑客從社交媒體或商業網站等公開渠道收集目標的具體信息,通過制作高度定制化的釣魚信息來提高攻擊成功率。例如,一個廣為人知的案例中,欺詐者冒充一位合同供應商,從佛羅里達州Ocala市盜取了74.2萬美元。在另一例中,黑客入侵了中介機構(如電子郵件服務提供商),劫持了合法方之間的通信。
雖然這些攻擊方法看似過時,但在當今數字化互聯的世界中仍然非常有效。為了防御此類攻擊,建議企業在做出關鍵決策(如付款)之前,采用多步驟驗證流程。此外,即便是與經過認證的供應商合作,實施“零信任”政策也有助于確保在采取行動之前對所有通信進行驗證。
類型2:針對供應商管理資源的網絡攻擊
另一種常見的供應鏈網絡攻擊形式是針對第三方供應商管理的資源,而不是直接攻擊企業本身,這些資源可能包括敏感數據、IT基礎設施和數字接入點,這使得供應商成為網絡犯罪分子的理想目標,這類攻擊往往產生連鎖反應,導致供應商客戶的運營受損,并造成聲譽損害。
數據泄露是最常見的問題之一。供應商經常代表其客戶處理敏感數據,如個人身份信息或專有的商業信息。一旦這些數據被泄露,供應商的客戶及其客戶的客戶都會遭受嚴重后果。一個典型的例子是萬豪國際(Marriott International)的數據泄露事件,通過供應商的漏洞,黑客曝光了社會安全號碼等敏感數據。
除了數據,供應商提供的IT基礎設施也是一個常見的攻擊目標,尤其是在企業越來越依賴云計算和其他數字系統的情況下,然而,許多企業并不完全理解如何保護這些基礎設施,從而使自己容易受到配置錯誤的影響。很多基于云的網絡攻擊正是由于用戶公司設置不當的安全配置導致數據暴露在攻擊者面前。例如,一些企業僅因簡單的云配置疏忽而遭遇數據泄露。
此外,由于網絡攻擊導致供應商運營中斷,可能會使整個供應鏈陷入停頓。以域名系統(DNS)攻擊為例,黑客控制了供應商的DNS服務器,從而癱瘓了所有依賴該服務的在線運營。盡管企業通常試圖通過建立二級渠道來緩解這些風險,但很多公司未能充分整合這些備份系統。CrowdStrike案例顯示,許多企業的應急供應鏈計劃設計不完善,尤其是在IT系統方面。
為防范此類攻擊,企業必須超越基本的盡職調查,積極將網絡安全評估納入供應商選擇過程中。就像可持續性逐漸成為供應商評估的關鍵因素一樣,網絡安全也應該是首要考慮事項。企業應評估供應商應對網絡威脅的響應能力,確保供應商在解決漏洞方面保持積極主動,尤其是在攻擊者和防御者不斷演變的動態競爭關系中。
類型3:通過供應商訪問客戶系統的網絡攻擊
第三種也是最復雜的供應鏈網絡攻擊類型涉及黑客利用供應商對企業系統的訪問權限。在這種情況下,攻擊者入侵供應商系統,并利用其作為渠道,破壞公司的安全措施,這可能涉及被攻陷的軟件、硬件或二者兼有。由于繞過了傳統的安全協議,這類攻擊尤其具有破壞性,因為它通常發生在公司信任的基礎設施內部。
一個著名的例子是Magecart攻擊,該攻擊針對在線零售商竊取客戶的信用卡信息。由于許多公司使用第三方應用程序來管理其電子商務系統,這使得它們容易受到這些外部應用程序中的安全漏洞的攻擊。一旦惡意代碼被注入,黑客就可以在不被察覺的情況下竊取敏感的客戶數據。
另一個臭名昭著的案例是SolarWinds事件。黑客攻破了受信任的IT管理公司SolarWinds,并利用其軟件更新作為攻擊載體,滲透了包括美國政府機構在內的眾多高調企業。
基于硬件的攻擊同樣令人擔憂。2013年Target的數據泄露事件就是一個典型案例,黑客通過最初從被攻陷的供應商處投放的惡意軟件,入侵了Target的銷售終端(POS)系統。在這個案例中,漏洞來自Fazio Mechanical,這是一家位于賓夕法尼亞州的小型暖通空調(HVAC)公司,與Target有業務往來。黑客通過竊取Fazio技術人員的VPN憑證,獲得了Target的網絡訪問權限,展示了供應商漏洞可能帶來的廣泛影響。
關鍵教訓是,企業往往將其軟件和硬件系統視為“黑箱”——這些系統在沒有對內部運行機制完全可見的情況下運作,這種缺乏透明度使得企業難以評估初始的和持續的安全風險。正如供應鏈專業人員在質量管理中強調“持續改進”一樣,網絡安全必須被視為一個需要持續監控、更新和漏洞評估的過程。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號