供应链攻击——通过供应商系统侵入企业核心网络 - 保密网

为什么写

去年底，一家位于珠三角的电子产品制造企业遭遇了典型的供应链攻击。攻击者没有直接攻击这家企业的网络，而是入侵了为它提供温湿度监控系统的一家小型物联网设备供应商。这家供应商的产品安装在电子产品制造企业的生产车间里，通过供应商的云平台进行远程监控和数据收集。

攻击者攻破了温湿度监控平台的服务器后，以此为跳板向电子制造企业的内部网络发起了攻击。因为监控设备需要接入企业的生产网络才能传输数据，攻击者利用这个通道将恶意软件部署到了企业的生产控制系统中。恶意软件潜伏了三个月，期间一直在悄悄地窃取产品的物料清单、生产工艺参数和供应链信息。当企业发现时，核心的生产数据已经被传输到了国外。

带来哪些隐患

供应链攻击是当前最具危险性的攻击方式之一，因为它利用了企业对外部系统的信任关系。传统的安全防护思路是筑高自己的围墙，但供应链攻击告诉你围墙再高也没用，因为攻击者可以从你信任的供应商那里绕道进来。

攻击面比想象中要大得多。企业的IT系统中通常连接着大量的外部服务和设备：云服务、SaaS平台、监控系统、门禁系统、空调系统、甚至智能饮水机。任何一个接入企业网络的第三方设备或者系统，都可能是攻击者入侵的入口。每多接入一个外部系统，企业的攻击面就扩大一分。这些第三方系统大多由供应商维护，其安全水平参差不齐。

供应链攻击的潜伏期通常很长。攻击者不会一上来就暴露自己的目的，而是先在内部网络里安静地待着，收集信息，了解网络拓扑，寻找最有价值的目标。案例中攻击者在企业内部潜伏了三个月才被发现，期间持续地窃取了大量数据。这种长期潜伏类的攻击，常规的周期性安全检查很难发现。

供应链攻击的溯源难度极大，攻击者经过多个中间节点，证据分散在不同的系统和组织中。当企业发现数据被窃时，很难确定攻击是从哪个环节开始的。供应商可能不愿意配合调查，也可能没有能力提供完整的安全日志。溯源困难意味着企业很难堵上漏洞，同样的攻击可能会再次发生。

法律的问责链条也很模糊。供应链攻击的核心破坏者来自外部，直接导致数据泄露的却是供应商的漏洞。企业的客户和监管机构会向谁追责？在被攻破的供应商和受害企业之间，责任如何划分？在现有的法律框架下，这些问题往往没有清晰的答案。

给我们什么提醒

供应链攻击的防范需要跳出传统的安全思维定式，从整个生态系统的角度来考虑。

对供应商的网络安全审核要到位。在选择供应商时，除了考察其产品和服务的质量，还应当评估其网络安全能力。特别是那些需要接入企业网络的设备和服务供应商，安全能力应当作为准入门槛而非加分项。可以要求供应商提供安全认证证书、安全事件记录、安全管理制度等材料进行审核。

网络分段和隔离是有效的手段。把生产网络、办公网络、设备网络进行严格的网络隔离，甚至可以把第三方设备单独划分到一个独立的VLAN中。这样即使某个第三方设备被攻破，攻击者也无法直接接触到企业的核心系统。网络分段的成本不高，但防护效果非常显著。

最小权限原则不仅适用于人，也适用于设备和系统。企业中所有接入网络的第三方设备，只应当被授予完成其功能所必需的最小网络权限。监控系统只需要访问监控服务器，门禁系统只需要访问门禁管理平台，不必要的网络权限一律收回。

持续监控和异常行为检测要认真对待。企业应当在网络中部署流量分析和行为检测系统，对异常的网络连接、数据传输、登录行为进行实时分析。当第三方设备突然开始访问之前从未访问的服务器，或者设备在非工作时间产生大量数据传输时，系统应当自动告警。

企业启示

现代企业处于一个高度互联的网络生态中，没有一家企业是一座孤岛。北京企密安信息安全技术有限公司认为，企业在构建自身安全体系的同时，不能忽视供应链安全这个薄弱环节。安全防护需要从自身延伸到供应链，建立一个从源头到终端的完整安全保护链条。