下一代供應鏈攻擊需要新的安全策略

隨著數字化轉型及第三方應用程式的激增，網路安全問題需要新的策略來應對。

今年早些時候，根據Gartner預測，到2025年全球45%的組織將遭受軟體供應鏈攻擊，比2021年增加三倍。這些攻擊不僅在增加，而且它們滲透系統的水平和攻擊者使用的技術也在不斷更新。攻擊者現在正在利用授予第三方雲服務的訪問許可權作為進入公司最敏感核心系統的後門，正如最近對Mailchimp，GitHub和Microsoft的攻擊。新一代供應鏈攻擊正在出現。

應用整合的興起

隨著絕大多數勞動力已經數字化，企業的核心繫統已經轉移到雲端。這種加速採用雲端計算的方式成倍地增加了第三方應用程式的使用以及系統和服務之間的連線，從而帶來全新的網路安全挑戰。

有三個主要因素導致應用到應用連線性的增加：

產品主導的增長(PLG)：在PLG和自下而上的軟體採用的時代，軟體即服務(SaaS)的使用;

DevOps：開發團隊可以自由生成和嵌入API金鑰

超自動化：超自動化和低程式碼/無程式碼平臺的興起意味著“開發人員”只需撥動開關即可整合和自動化流程。

現在，任何型別的團隊都可以輕鬆訪問廣泛的整合，這意味著節省時間並提高生產力。然而，雖然這使組織的工作更容易，但它模糊了對潛在易受攻擊的應用程式連線的可見性，使組織IT和安全領導者很難深入瞭解其環境中部署的所有整合，從而擴充套件了組織的數字供應鏈。

第三方問題

美國國家標準與技術研究院(NIST)最近更新了其網路安全供應鏈風險管理指南。這些新指令考慮到，隨著企業採用越來越多的軟體來幫助運營業務，為了提高效率和生產力，越來越多的第三方程式碼整合到軟體產品中。雖然這種方式很便捷，但還有另一個完整的供應鏈依賴生態系統，與核心系統與第三方應用程式的大量整合有關，這一點常常被忽視。

對於那些內部程式具有不可逆的公司來說，攻擊者只需發現連線的應用程式或服務中最薄弱的環節，就能破壞整個系統。

企業需要確定如何更好地管理這種情況。比如這些應用程式訪問了什麼級別的資料?這個應用程式有什麼樣的許可權?應用是否正在使用，正在進行哪些活動?

瞭解這些整合操作的層次可以幫助安全團隊確定潛在的攻擊區域。在以產品為主導的增長和自下而上的軟體採用的時代，很難了解組織雲應用程式之間的所有整合，因為企業平均使用1，400 種雲服務。

減少安全漏洞

數字供應鏈攻擊的風險不再侷限於核心業務應用程式或工程平臺，這些漏洞現在已經隨著互連第三方應用程式、整合和服務的網路激增而擴大。只有新的治理和安全戰略才能縮小這一日益擴大的安全差距。

在進行新的安全防禦戰略時，需要解決以下這些問題：

檢查所有應用程式連線的可見性：安全團隊不僅需要清晰瞭解到連線敏感資訊的系統，同時對系統內部情況也需要了解。

軟體安全漏洞：應用程式安全也是不可忽視的一部分，隨著敏捷開發的盛行，在開發期間透過靜態測試，動態測試等方式來及時發現並修復安全缺陷，是減少應用安全漏洞的有效方式之一。

威脅檢測：每個整合的部分(不僅僅是獨立應用程式)都需要評估風險級別和暴露(例如，冗餘訪問、許可權過多)。

補救策略：威脅防禦策略不能是一刀切的事情。安全專業人員需要認識到構成攻擊表面的複雜的相互關聯的應用程式範圍的上下文緩解措施。

自動、零信任實施：安全團隊必須能夠圍繞應用層訪問(例如，許可權級別、身份驗證協議)設定和實施策略護欄。

數字世界只會變得更加高度互聯，與此同時，我們需要進一步瞭解供應鏈中的這些潛在威脅，以免它們演變成更多嚴重的網路攻擊。

來源：