供应链网络安全的重要性在于确保整个供应链体系的安全性和稳定性。一旦供应链中的任何环节出现安全漏洞或被攻击,都有可能对整个供应链造成严重影响,甚至导致信息泄露、数据损失、生产中断等严重后果。因此,确保供应链网络安全对于保护企业利益、维护客户信任以及确保业务连续性至关重要。

近年来,网络供应链安全事件频发,给企业和社会带来了巨大影响。以下是十几个典型案例:

  1. SolarWinds 供应链攻击(2020年):黑客通过渗透 IT 管理软件提供商 SolarWinds 的内部网络,在其 Orion 软件的更新包中植入后门,影响了包括多家美国政府部门和大型企业在内的上万家客户。这是迄今为止最严重的供应链攻击事件之一。
  2. CCleaner 供应链攻击(2017年):著名系统优化工具 CCleaner 遭到供应链攻击,黑客在其更新服务器上替换了带有恶意代码的版本,影响了 230 多万用户。攻击者试图通过后门对特定企业实施定向攻击。
  3. 远程桌面软件 TeamViewer 漏洞事件(2016年):TeamViewer 被爆出多个高危漏洞,可被远程利用执行任意代码。大量用户遭到黑客入侵,敏感信息被窃取。作为远程办公常用软件,其安全性引发广泛关注。
  4. Juniper 防火墙后门事件(2015年):网络设备厂商 Juniper 发现其 ScreenOS 软件中存在长达数年的后门漏洞,可被攻击者利用截获 VPN 流量。该事件凸显了网络基础设施供应链的安全风险。
  5. 台积电供应链勒索软件攻击(2018年):芯片代工巨头台积电遭遇 WannaCry 勒索软件攻击,多家工厂被迫停产,造成重大经济损失。调查发现,感染源头是供应商送货时使用的软件系统。
  6. 国内多家酒店开房记录泄露事件(2018年):数家酒店管理系统供应商的服务器和数据库配置不当,导致大量酒店开房记录在暗网公开售卖。此事凸显了供应链数据安全管理的重要性。
  7. Kaseya VSA 远程管理软件攻击(2021年):攻击者利用Kaseya VSA软件中的漏洞,发起了一次广泛的勒索软件攻击,影响了全球多个MSP(管理服务提供商)及其客户。攻击者通过MSP传播REvil勒索软件,导致数千家企业和组织的数据被加密。
  8. NotPetya 勒索软件攻击(2017年):虽然NotPetya最初是通过乌克兰的会计软件 M.E.Doc 的更新机制传播的,但它迅速蔓延到全球,导致了数十亿美元的损失。NotPetya利用了供应链中的信任,以及一些未打补丁的Windows漏洞来传播。
  9. 华硕 Live Update 工具事件(2019年):攻击者通过篡改ASUS的Live Update工具,将恶意软件传播给数万名用户。这个攻击被称作“ShadowHammer”,攻击者在软件更新过程中植入了后门,目标是对特定的MAC地址进行攻击。
  10. Uber供应链攻击(2022年):黑客通过入侵Uber的第三方供应商,获取了员工凭证,进而访问了Uber内部的AWS账户和其他云服务,导致大规模数据泄露。
  11. Log4j漏洞(2021年):这是Java日志库Log4j中的一个严重漏洞,可被远程攻击者利用执行任意代码。由于Log4j广泛应用于各种应用程序和服务,此漏洞影响范围极其广泛,给全球数以万计的组织带来巨大风险。
  12. NPM及PyPI供应链攻击(2021-2022年):黑客在流行的开源软件库NPM和PyPI中发布了多个含有恶意代码的软件包。当开发人员下载并使用这些软件包时,就会遭到攻击。
  13. Colonial Pipeline勒索软件攻击(2021年):美国燃油管道公司Colonial Pipeline遭受了一次勒索软件攻击,导致公司的运营受到严重影响,引发了燃油短缺和价格上涨的问题。
  14. 迪士尼+订阅服务账号泄露(2021年):据报道,一些迪士尼+订阅服务的用户账号在黑客论坛上被泄露,这可能是通过供应链攻击获取的用户信息。
  15. Acer供应链数据泄露(2021年):台湾电脑制造商宏碁(Acer)的部分供应链数据被黑客窃取,包括员工工资单、公司合同和其他敏感信息。
  16. Okta供应链攻击事件(2022年):入侵者通过第三方供应商Sitel Systems的一名工程师远程访问了Okta的内部环境,从而获取了Okta部分客户的数据。这一事件凸显了第三方风险的严重性。
  17. Microsoft签名证书被滥用事件(2022年):黑客入侵了微软的内部系统,并滥用其软件签名证书为恶意驱动程序签名,从而绕过安全检查。这导致多个微软产品和服务受到影响。
  18. Twilio供应链攻击(2022年):黑客通过针对Twilio的供应商Cloudflare的员工进行网络钓鱼攻击,获取了Twilio员工的凭证,从而访问了Twilio的内部系统。

这些事件表明,网络供应链已成为黑客实施攻击的重要切入点。任何一家供应商的安全问题,都可能殃及整条供应链。对此,昆明亭长朗然科技有限公司网络安全研究员董志军警告称:加强供应链安全刻不容缓,需要企业、供应商、行业、政府等多方通力合作,共同应对挑战,构建安全可信、稳定可控的网络供应链体系。

要加强供应链网络安全,企业需要采取有效的防护措施,包括加密通信、访问控制、安全审计等措施,以及定期进行安全漏洞扫描和风险评估。以下是一些建议和最佳实践:

  1. 了解供应商:了解您的供应商是谁,他们做什么,以及他们可能对您组织的网络安全带来什么风险。定期评估供应商的安全态势,包括其政策、程序和控制。
  2. 建立安全要求:为供应商建立明确的安全要求,包括最低安全标准、加密要求和事件响应程序。
  3. 实施供应商管理政策:开发和实施供应商管理政策和程序,以确保所有供应商得到充分的审查和监控。这包括进行定期安全评估、监控安全事件,并与不符合安全要求的供应商终止关系。
  4. 限制对敏感信息的访问:仅将对敏感信息的访问限制于需要执行工作任务的供应商。实施严格的访问控制,并监控访问日志中的任何可疑活动。
  5. 使用安全的通信渠道:在传输敏感信息时使用安全的通信渠道,如加密的电子邮件或虚拟专用网络。
  6. 定期进行评估:定期评估组织的供应链安全态势,并识别改进的区域。这包括进行渗透测试和漏洞评估。
  7. 培训员工:培训员工认识到供应链网络安全的重要性,以及如何识别和报告可疑活动。员工应该了解攻击者常用的社会工程技巧,如钓鱼邮件和电话骗局。
  8. 制定应急响应计划:在供应链网络攻击发生时,要有一个应急响应计划。这个计划应该包括识别和遏止攻击的步骤,以及通知受影响方和恢复运营的程序。
  9. 参考业界标准和最佳实践,如 ISO 28000 供应链安全管理标准。
  10. 积极参与行业组织和信息共享,提升整个生态的供应链安全水平。

请记住,建立一个安全的供应链网络是企业持续发展的基础,同时供应链网络安全是一个需要不断警惕和主动采取措施的持续过程。保障网络供应链安全需要企业高度重视,投入足够资源,从制度、人员、技术等方面系统规划和长期坚持,同时加强内外部协同,共同应对供应链安全风险和挑战。只有企业、供应商、行业、政府等多方共同努力,才能营造健康可信的网络供应链生态。