供应链安全的最佳实践
香港互联网注册管理有限公司官方帐号
2022-07-20 18:00 HKT
字体大小
2022年3月初一间知名日本汽车制造商遭受供应链攻击,事件引致该公司在日本14间工厂、28条生产线全数停工,令该公司的全球产量在被攻击期间整整减少了三分之一、并造成数百万美元生产力和营业额的损失。据了解,事源该公司的其中一个零件供应商遭受勒索软件入侵,令生产线陷入停顿,无法供货给包括该公司在内的下游客户。事实上,自2020年末的SolarWinds事件之后,供应链攻击就不时发生,而且往往牵涉一些国际知名的大企业。仔细分析过往软件供应链攻击的案例,可以归纳为以下三类攻击模式:
- 软件供应商被攻击者所骇,其软件产品因而遭埋入恶意程式,SolarWinds攻击就属于此类。
- 软件供应商的产品使用含恶意程式的第三方软件如开源软件。
- 软件供应商的产品使用含易遭骇的程式漏洞的第三方软件如开源软件。由于当今软件产品使用大量开源软件套件,而开源软件的版本管理机制相对松散,让黑客有较多机会将恶意程式或程式漏洞植入常用的开源软件代码。
由于中小企的资讯保安资源有限,而且经常处于软件供应链的最下游,因此在应对供应链攻击方面,中小企无疑是处于非常被动的位置。有见及此,网络安全顾问就提出了几点建议供大家参考:
- 须充分了解供应商:审核供应链上游的供应商,并只使用那些具有强大安全实践能力和信誉穏健的供应商。
- 控制存取:追踪并限制来自关键第三方的网络及数据存取,并充分了解第三方供应商可能引入第四方分包商的风险。
- 遵循政府的建议:近期事故的规模和严重性,促使许多政府机构发布框架和最佳实践来防御此类攻击,建议企业遵循相关指引并确保供应商也同步遵循。例如,政府的《资讯安全网|知识中心|常见的网络威胁|供应链攻击》。
- 服务合约:这包括在服务合约里面主动加入有关信息安全策略、数据生命周期管理、事故通报和应对、定期进行网络安全评估和合规性评估等等与信息安全有关的条款。
- 培训员工:根据美国CISA,大多数网络攻击包括勒索软体和商务电子邮件入侵,都始于网络钓鱼。因此对员工进行安全意识培训可以降低这种风险。
- 增强网络安全:使用「深度防御方法」的概念来增强网络安全。
本周重点
供应链攻击本身是一个系统性问题,涵盖技术、人员、业务流程及知识管理等多个范畴,牵涉多个不同层面的利益持份者、商业伙伴及客户,需要一个全面而且周全的方法来解决,但同时亦为机构之间提供更多交流和合作的机会,一起推动网络安全的发展。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
