供应链安全指南：了解组织为何应关注供应链网络安全

英国供应链安全指南

供应链安全是关键信息基础设施安全保护中的重要组成部分，也是国际性难题。所以自从震网病毒出现，到SolarWinds事件。供应链安全被提到了前所未有的高度，所谓它山之石可以攻玉，英国在原来的供应链安全原则基础上，提出了供应链安全指南，虽然我们也有自己的先进的理念和方法论，不过多了解一种安全方法论，能够让我们有个横向的对比，可借鉴可参考可超越。

第1阶段：开始之前

了解自己组织的网络安全风险管理方法。

第1阶段的预期产出。

·根据与供应商的关系性质（以及他们对系统和服务的访问权限），更好地了解供应链面临的威胁。

·加深对组织内现有风险偏好和流程的了解。

·高级支持以实施变革以建立或改善供应链网络安全。

·团队成立，开发评估供应链网络安全的新方法。

第1步：了解组织为何应关注供应链网络安全

除非了解需要保护的内容以及原因，否则很难对供应链建立任何有意义的控制。为什么有人可能有兴趣攻击供应链？

一个人或一群人可能会通过供应链进行网络攻击，因为：

·他们可能想对供应商或组织造成伤害。如果供应商比组织更容易受到网络攻击，他们可以提供一种更容易的途径来访问系统、网络和数据。

·他们可能想对与有关系的供应商造成伤害。在这种情况下，组织可能没有特别的兴趣。然而，供应商的中断可能会达到影响整个行业的目标，并在更大范围内破坏信心。

谁是供应链攻击的幕后黑手，他们的动机是什么？

·网络犯罪分子擅长识别可以获利的内容，例如窃取和出售敏感数据，或持有系统和信息以勒索。

·黑客具有不同程度专业知识的个人，通常以非目标的方式行事（可能是为了测试自己的技能或为了它而造成破坏）。

·政治活动家出于政治或意识形态原因证明一个观点，也许是为了揭露或诋毁组织（或供应商）的活动。

·恐怖分子他们有兴趣传播宣传和破坏活动，但技术能力通常较低。

·外国政府他们更有可能使用复杂的攻击，通常对访问可能给他们带来战略或政治优势的真正敏感或有价值的信息感兴趣。

·恶意内部人员利用他们对组织数据或网络的访问权限进行恶意活动，例如窃取敏感信息以与竞争对手共享。

·诚实的错误有时，出于好意的员工只是犯了一个错误，例如通过电子邮件发送一些对错误电子邮件地址敏感的东西。

因此，重要的是要考虑组织和供应商的行为，谁可能对他们造成伤害感兴趣，以及他们的动机可能是什么？

哪些潜在的网络威胁可能会对组织造成伤害？

要了解供应链面临的威胁，最好更多地考虑供应商提供服务的内容和方式，并考虑如何针对这些威胁。

例如，如果他们提供软件，如何确认他们的开发系统是安全的并且软件没有被篡改？如果提供员工，如何确信他们已经过适当的筛选或审查？如果提供硬件，是否有任何嵌入式组件由第三方提供，如何对这些组件进行尽职调查？

标准网络威胁可能包括：

·恶意软件（如间谍软件、擦除软件或特洛伊木马）

·网络攻击（例如网络钓鱼攻击、DDoS攻击、勒索软件需求和企业电子邮件泄露）

·未修补的软件或未经测试的硬件组件造成的漏洞

标准网络威胁的更多示例可在ENISA威胁态势报告中找到。

供应链中可以通过网络攻击利用哪些漏洞？

由于供应链很复杂，因此可以通过多种方式利用它们来对组织进行攻击。下表列出了一些典型的攻击，以及它们可能试图利用的漏洞。通常将多种攻击类型组合在一起，例如，使用人员煽动网络钓鱼攻击，然后对配置或登录信息进行攻击。

供应链攻击示例

可能被利用的漏洞

社交工程：有权访问组织的系统、网络和数据的员工、开发人员或第三方供应商

有权访问组织系统、网络和数据的人员（可能是员工、开发人员和第三方供应商）可能容易受到攻击，例如网络钓鱼攻击以获取凭据，无论是意外还是胁迫。如果人类可能被欺骗或胁迫提供信息，则可用于访问未经授权的系统。

攻击已有软件：供应商使用的软件、Web服务器、应用程序、数据库、监控系统、云应用程序和固件。

如果供应商使用包含漏洞的过时或未修补的软件包，这些软件包可能会提供攻击途径。或者，组织使用的任何预先存在的软件的供应商可能会停止提供补丁，或者它用于开发和分发补丁的流程和系统可能会受到损害（就像SolarWinds攻击一样）。

攻击代码/软件库：包含由供应商内部或通过第三方（例如Log4J漏洞）创建的用于重复使用的预编写代码集合。

组织所依赖的软件代码可能会在不知情的情况下被供应商上传到公共软件代码存储库。此代码可能包含敏感信息，例如可能对攻击者有用的凭据。很难保证在公共软件和代码存储库中存储和共享的软件和代码的完整性。

攻击者还可能操纵此公开可用的软件和代码，以便将来访问系统和服务，例如获得远程访问的方法。这个现在易受攻击的软件和代码库可能已包含在供应商在不知情的情况下提供的产品、系统或服务中。

攻击数据和配置：关注的信息和安全配置（例如客户和供应商的个人身份信息、IP地址、密码、MAC地址、API密钥、防火墙规则、URL、设置和加密）。

数据可能会被使用、利用、出售或操纵，从而破坏数据的机密性和可用性。如果安全配置信息不受保护，威胁参与者可能会未经授权访问系统、服务和信息。

通过进程进行攻击：例如备份、更新、签名证书进程、账户创建、凭据管理。

篡改业务关键型流程可能很危险，尤其是那些通常有助于实施安全性的流程（例如账户创建或凭据管理）或可能促成欺诈的流程。许多过程都是自动化的，因此，如果以某种方式被篡改，检测可能很困难。

硬件攻击：来自供应商生产的硬件，如芯片、USB。

漏洞利用（如后门）可以在源头嵌入到硬件平台中，因此很难检测到。因此，了解组件的来源并确保这些来源可信可能很重要。这可能具有挑战性，因为组件制造商的选择通常有限（并且进行尽职调查的能力也可能受到限制）。

从这些例子中，很明显你需要了解：

·供应商提供的产品或服务类型

·他们有权访问哪些信息和资产

此外，应该在最关心和最想保护的背景下考虑这一点。有关更多信息，请参阅阶段2a。优先考虑皇冠珠宝。

如果这些漏洞被利用，对组织有什么影响？

威胁行为者利用的网络漏洞可能会对组织和供应链产生负面影响。它们可能会对业务运营和/或流程造成声誉损害、财务损失和重大中断。

因此，重要的是要考虑供应商关系可能产生的潜在负面影响，并了解组织准备承担多大的风险。

一旦在组织背景下理解了这一点，谈论和建立高级支持和投资的案例就会变得容易得多，以促进组织内围绕供应链网络安全的变革。

了解以下内容也可能是有益的：

供应商关系有哪些类型，为什么它们的风险状况不同？

供应链可能很复杂，可能涉及许多不同的组织以非常不同的方式工作。因此，并没有真正的“一刀切”方法来评估供应链网络安全风险。因此，应该根据以下方面了解供应链的风险：

·供应商提供什么

·你和他们的关系

如果风险类型存在共性，则应以某种方式将它们组合在一起，以便更有效地进行网络安全风险分析或处理。下表旨在提供可能拥有的供应商关系类型的示例，以及可能需要为该类型做出的不同考虑。当然，这也取决于组织的风险偏好和经营所在的行业。

供应商关系类型

考虑

外包服务提供商

外包的端到端服务。

外包服务提供商代表消费者组织运行服务，并可能有权访问特权账户、信息和网络。风险通常与供应商运行服务的风险相似，因此两个组织都应符合类似的安全标准。

供应商和客户之间的安全责任需要通过责任共担模型明确定义，尽管所有权始终保留在组织内。

维护者

保留来维护系统和解决问题的供应商。

受雇维护系统和服务所需的供应商可能需要对系统和服务进行特权和远程访问。如果维护者（或他们用来访问系统和服务的系统）容易受到攻击，那么这可能使威胁参与者能够获得对系统和服务的特权和远程访问。

因此，供应链中的任何人都必须使用安全系统来访问系统或服务。

制造商

生产可转售的系统硬件或软件组件。

硬件或软件产品中的漏洞可能在其生命周期的任何阶段出现。漏洞可以通过糟糕或不安全的设计和开发实践引入，并且通常在操作系统中使用产品之前不会知道漏洞。因此，确保购买和使用的产品受支持非常重要，因为制造商已制定漏洞管理流程和尽快修复（修补）新识别的漏洞所需的功能。还应该了解制造商如何管理新发现的漏洞，他们如何“通过设计”将网络安全纳入其产品，以及作为产品生命周期的一部分进行了哪些网络安全测试。

集成商

使用许多离散的预构建产品构建完整的系统。

集成商可能在现场，具有特权访问权限，使用强大的管理工具，并且可能需要远程访问。它们可能会通过不良或不安全的实施和集成实践以及错误配置（例如重复使用管理员密码或敏感数据库访问的不安全配置）为系统和服务引入漏洞。

IT支持服务

将业务领域的支持外包给第三方，例如，通过安全运营中心进行安全监控。

提供商还可能托管其他组织的服务，为攻击者提供潜在的高价值目标。

了解供应商如何将数据和平台与其他组织隔离是一个考虑因素，并确保他们具有与自己的组织相似级别的IT安全标准。了解谁有权访问数据以及如何保护这些数据也很重要。

提供系统或流程建议、审查或分析的咨询

供应商。

能够实际访问场所的顾问可能会增加操纵、盗窃或损坏数据或使用未经授权的工具的风险。远程访问需要安全连接，如果顾问的网络被破坏，这可以用作暂存站。

根据任务的性质，顾问可能持有敏感信息，例如，如果他们正在进行安全评估。

云服务提供商（CSP）在一个