下一代供應鏈攻擊需要新的安全策略
隨著數字化轉型及第三方應用程式的激增,網路安全問題需要新的策略來應對。
今年早些時候,根據Gartner預測,到2025年全球45%的組織將遭受軟體供應鏈攻擊,比2021年增加三倍。這些攻擊不僅在增加,而且它們滲透系統的水平和攻擊者使用的技術也在不斷更新。攻擊者現在正在利用授予第三方雲服務的訪問許可權作為進入公司最敏感核心系統的後門,正如最近對Mailchimp,GitHub和Microsoft的攻擊。新一代供應鏈攻擊正在出現。
應用整合的興起
隨著絕大多數勞動力已經數字化,企業的核心繫統已經轉移到雲端。這種加速採用雲端計算的方式成倍地增加了第三方應用程式的使用以及系統和服務之間的連線,從而帶來全新的網路安全挑戰。
有三個主要因素導致應用到應用連線性的增加:
產品主導的增長(PLG):在PLG和自下而上的軟體採用的時代,軟體即服務(SaaS)的使用;
DevOps:開發團隊可以自由生成和嵌入API金鑰
超自動化:超自動化和低程式碼/無程式碼平臺的興起意味著“開發人員”只需撥動開關即可整合和自動化流程。
現在,任何型別的團隊都可以輕鬆訪問廣泛的整合,這意味著節省時間並提高生產力。然而,雖然這使組織的工作更容易,但它模糊了對潛在易受攻擊的應用程式連線的可見性,使組織IT和安全領導者很難深入瞭解其環境中部署的所有整合,從而擴充套件了組織的數字供應鏈。
第三方問題
美國國家標準與技術研究院(NIST)最近更新了其網路安全供應鏈風險管理指南。這些新指令考慮到,隨著企業採用越來越多的軟體來幫助運營業務,為了提高效率和生產力,越來越多的第三方程式碼整合到軟體產品中。雖然這種方式很便捷,但還有另一個完整的供應鏈依賴生態系統,與核心系統與第三方應用程式的大量整合有關,這一點常常被忽視。
對於那些內部程式具有不可逆的公司來說,攻擊者只需發現連線的應用程式或服務中最薄弱的環節,就能破壞整個系統。
企業需要確定如何更好地管理這種情況。比如這些應用程式訪問了什麼級別的資料?這個應用程式有什麼樣的許可權?應用是否正在使用,正在進行哪些活動?
瞭解這些整合操作的層次可以幫助安全團隊確定潛在的攻擊區域。在以產品為主導的增長和自下而上的軟體採用的時代,很難了解組織雲應用程式之間的所有整合,因為企業平均使用1,400 種雲服務。
減少安全漏洞
數字供應鏈攻擊的風險不再侷限於核心業務應用程式或工程平臺,這些漏洞現在已經隨著互連第三方應用程式、整合和服務的網路激增而擴大。只有新的治理和安全戰略才能縮小這一日益擴大的安全差距。
在進行新的安全防禦戰略時,需要解決以下這些問題:
檢查所有應用程式連線的可見性:安全團隊不僅需要清晰瞭解到連線敏感資訊的系統,同時對系統內部情況也需要了解。
軟體安全漏洞:應用程式安全也是不可忽視的一部分,隨著敏捷開發的盛行,在開發期間透過靜態測試,動態測試等方式來及時發現並修復安全缺陷,是減少應用安全漏洞的有效方式之一。
威脅檢測:每個整合的部分(不僅僅是獨立應用程式)都需要評估風險級別和暴露(例如,冗餘訪問、許可權過多)。
補救策略:威脅防禦策略不能是一刀切的事情。安全專業人員需要認識到構成攻擊表面的複雜的相互關聯的應用程式範圍的上下文緩解措施。
自動、零信任實施:安全團隊必須能夠圍繞應用層訪問(例如,許可權級別、身份驗證協議)設定和實施策略護欄。
數字世界只會變得更加高度互聯,與此同時,我們需要進一步瞭解供應鏈中的這些潛在威脅,以免它們演變成更多嚴重的網路攻擊。
來源:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2924280/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- SolarWinds供應鏈攻擊事件分析事件
- 利用可信的IT供應鏈供應商作為切入點 黑客逐漸瞄準供應鏈攻擊黑客
- 為什麼必須防止供應鏈攻擊?
- 今年供應鏈攻擊增加了600%以上
- 供應鏈攻擊是什麼?應該如何處理?
- 供應鏈攻擊和關鍵基礎設施
- 構建安全程式碼 防止供應鏈攻擊
- 供應鏈攻擊呈上升趨勢的5個原因
- Sonatype:2020年軟體供應鏈狀況 下一代開源網路攻擊增長430%
- 5 種方法,教你如何防禦供應鏈網路攻擊
- 1.5TB航空供應商資料洩露背後,竟是供應鏈攻擊的持續“加碼”?
- 洞見RSA 2021|備受熱捧的“供應鏈攻擊”如何防禦?
- 【供應鏈】供應鏈的底牌
- 安全行業中供應鏈攻擊是什麼?有哪些型別?行業型別
- 「白嫖」開源的後果就是供應鏈攻擊麼?| 編碼人聲
- 自適應安全策略對於阻止高階攻擊至關重要
- 網路攻擊中超過一半的初始感染來自漏洞和脆弱的供應鏈
- 數百家媒體機構被部署惡意軟體,美國新聞行業遭受供應鏈攻擊行業
- 全球最大肉類供應商JBS遭駭客攻擊!企業如何應對日益頻繁的網路攻擊?
- 【江民播報】勒索組織REvil發起供應鏈攻擊,索要7000萬美元贖金
- 供應鏈高效管理供應商
- 【乾貨】什麼是供應鏈?供應鏈管理的常識
- 分佈超過800個惡意NPM包 軟體供應鏈攻擊活動增長迅速NPM
- 縱觀5起大規模軟體供應鏈攻擊事件 安全盲區在這幾方面事件
- 聚合供應鏈系統開發方案(供應商鏈)
- 【供應鏈】供應鏈高手必須掌握的79個專業術語
- 跨境電商供應鏈管理,積加erp供應鏈功能
- 跨境電商供應鏈平臺方案,提供全鏈條的跨境供應鏈服務
- 供應鏈環境下企業採購管理的創新
- 攻擊JavaWeb應用[4]-SQL隱碼攻擊[2]JavaWebSQL
- 攻擊JavaWeb應用[3]-SQL隱碼攻擊[1]JavaWebSQL
- 保護開原始碼供應鏈或可有助於防止下一次大型網路攻擊原始碼
- 供應鏈之戰
- 什麼是DDoS攻擊?哪些行業最需要預防DDoS攻擊?行業
- 供應鏈管理平臺網站需要哪些資質證書網站
- 【服裝供應鏈】出產端供應鏈推翻創新意義
- 突破供應鏈管理瓶頸,SCM供應鏈協同系統提升冷鏈物流行業整體供應鏈協同效率行業
- 謹防軟體供應鏈攻擊!軟體設計管理平臺Atlassian中嚴重的Jira缺陷可能導致RCE