16% 的公司购买了被做过手脚的 IT 设备。
90% 的公司 “沒有做好充分的准备” 解决供应链管理黑客攻击。
您如何知道网络服务器和设备内部结构的核心部件是不是有 “猫腻”?是否随时随地有可能产生问题或是掩藏着恶意程序,悄悄的从业键盘记录器,数据信息偷盗或破坏活动?
现如今,大部分公司和经销商也没有搞好解决供应链管理风险性的提前准备,沒有检验或是预防供应链管理风险性的合理方式和工作能力。
兵已入城
两年前,网络信息安全社区论坛 (ISF) 董事总经理史蒂夫·德宾 (Steve Durbin) 曾警示:
ESG 的研究发现,16% 的公司购买了被做过手脚的 IT 设备。
从那时起,状况变的愈来愈糟。CrowdStrike 近期对 1300 家公司开展的全世界调研发觉,有 90% 的公司 “沒有做好充分的准备” 解决供应链管理黑客攻击。
草木皆兵
2018 年底,彭博新闻社的一篇歪曲事实报导宣称我国在运到美国大公司的网络服务器上隱藏了特工处理芯片。結果报导一出,引起了全世界 IT 销售市场和金融体系大振动:报导中涵盖的超微主板公司当日股价大跌近 50%;苹果股价涨跌幅近 2%;亚马逊股价跌幅超 2%。
尽管这篇报导被英国有关公司、政府部门和权威专家多方面避谣,可是此事情引起的焦虑说明供应链管理安全性早已变成一种国际性的深层焦虑情绪。自然,这一焦虑情绪的源头实际上来源于斯诺登事件对英国情报组织供应链管理进攻技术性的公布。
在过去的的两年中,供应链管理早已已变成网络信息安全的新竞技场。一个很显著的征兆:在 BlackHat 和 Defcon 上相关黑客攻击供应链管理的演说逐渐增加。
新的一年早已手足无措地来临,无论您是供应链管理上的技术性顾客、商家、生产商、投资人或是安全性权威专家,供应链管理网络信息安全都理应在你的活动明细中占有显眼部位,缘故有下列五点:
1. 网络黑客聚堆供应链管理
专家建议,危害不但在飞快提高并且被小看。依据领域可能,供应链管理进攻如今占全部黑客攻击的50%,上年同期相比猛增了 78%。高达三分之二的公司经历了最少一次供应链管理进攻事情,平均可变成本:110万美金。Ponemon Institute 于 2018 年开展的一项研究发现,有 56% 的机构因为其经销商而发生违反规定。美国监管部门汇报说,国防部长供应链管理中的 IC 和别的电子零件广泛被仿冒。
几支能量已经促长供应链管理危害。供应链管理的云化、物联网技术、经济全球化及其向巨大互连的数字化生态体系的转型发展是关键要素;别的原因还包含国际局势,及其有结构违法犯罪也期盼运用欠缺的供应链管理联络。
2. 每个人在找寻解决方法
公共性和利益相关者已经传出报警。例如,埃森哲和 BSI 的最新报告都将供应链管理网络信息安全视作较大的挑戰。一个主要的公与私协作同盟近期号召在这个问题上开展快速和严谨的协作。这种战略伙伴关系中极具竞争力的是 ICT 供应链管理风险管控调研组,一个由英国国土安全局领导干部的 50 好几个政府部门和公司产生的机构。
英国国家行业标准技术性研究所 (NIST) 公布了相关供应链管理风险管控的新手册,而英国网络信息安全与基础设施建设安全局 (CISA) 则运行了 “全国各地供应链管理一致性月”,并在 9 月公布的组织调研组汇报中简述了关键危害场景、提议和标准。
3. 提升一点,伤到一片
供应链管理进攻事实上是二种危害。第一种试着搅乱或消弱物理学的供应链管理,例如我国网络黑客对重要基础设施建设或能源供应的围攻。
第二种是网络攻击则将供应链管理做为进攻数十、数百人乃至数千个链上合作方的方式。
科学研究工作人员 Cybereason 表明,供应链管理进攻的最大的优点是 “提升一点,伤到一片”,是成本低高收益的 “一本万利” 的网络黑客商业运营模式。
根据搜索和运用供应链管理薄弱点,网络攻击可以在供应链管理实体线中间跑来跑去,盗取数据信息,并监控或消毁他们。供应链管理进攻的这类以点带面的极大毁灭性吸引住了很多网络黑客。
4.硬件配置是新起点
Kingslayer、CloudHopper、CCleaner、ShadowPad、ShadowHammer、Black Ghost Knifefish、Heriplor,以上这种近期产生的供应链管理进攻都应用手机软件或是将手机软件(包含固定件)做为总体目标。可是如今,网络黑客早已增加了筹码。遭受不断强化的软件平台维护的阻拦,网络黑客们逐渐将眼光看向了硬件配置。在一切自然环境中,故意侵入硬件配置局部变量(包含固定件、BIOS和UEFI)全是一个极大的危害。而这些危害在供应链管理中被扩大了许多倍。
5.毁灭性媲美“灭团”
供应链管理违反规定导致的危害性是长期性安全隐患,由于这让大家对设备的稳定性和安全性出现了猜疑。如下图所示,生产制造环节中出现一系列潜在性的伤害,最大端是供应链管理进攻。
材料由来:intel
CISA 警示每一个时期都存有供应链管理风险性:设计方案、开发设计和生产制造、分派、购买和布署、维护保养和处理。
一样,违反规定会给公司导致一系列的损害,包含信誉损伤和业务流程损害。
材料由来:德勤
高新科技和电子设备是国防安全、金融信息服务和资源行业最爱的总体目标,但沒有哪个领域能避免。《 2019年全球威胁报告》发觉,现在有超出一半的黑客攻击运用了所说的 “跳岛进攻”,这代表着网络攻击不但对于一个机构。
网络攻击不只是要打劫您和您全部供应链系统中的工作人员。她们要想 ‘有着’ 您的整体系统软件。
金融业、生产制造和零售是供应链管理进攻高发区
材料由来:《全球威胁报告》
生态体系维护的必要性
全部这种客观事实为大家描绘出一个骨感美的实际:供应链管理危害是明显的,并且会再次恶变。
业内早已完成了普遍的的共识:公司和机构务必积极主动发展趋势信息内容推动的供应链管理互联网防御力。可是,最有效的办法是啥?
普华永道 (PwC) 我国网络威胁研究所负责人 Chadd Carr 提议说:
埃森哲明确提出了相似的提议:
文中涉及到汇报:
- BSI 2019年供应链管理风险分析报告:https://www.bsigroup.com/globalassets/supplychain/localfiles/us/reports/bsi-screen-supply-chain-risk-insights-for-2019.pdf
- 埃森哲2019网络威胁汇报:https://www.accenture.com/_acnmedia/PDF-107/Accenture-security-cyber.pdf#zoom=50
- Carbon Black 2019全世界事情回应危害汇报:https://cdn.www.carbonblack.com/wp-content/uploads/2019/04/carbon-black-quarterly-incident-response-threat-report-april-2019.pdf
【文中是51CTO栏目创作者“李少鹏”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章