核心提示:一个黑客组织去年瞄准云服务供应商,企图利用其网络传播间谍工具。专家称,这是“供应链攻击”风险的最新警示。
去年,绰号为“Red Apollo”的中国黑客组织发动了史上规模最大的持续全球网络间谍攻势之一。它不直接攻击企业,而是瞄准云服务提供商,企图利用他们的网络将间谍工具传播到大量企业。
据追踪了这场黑客攻势的专业服务机构普华永道(PwC)介绍,这是所谓的“供应链攻击”构成风险的最新警示信号。
被称为“Cloud Hopper”行动的此次攻击,针对少数托管IT服务提供商,以便将恶意软件传播到所有利用这些外包公司管理其电脑网络的客户。15个国家(包括英国、法国、瑞士、美国、加拿大、澳大利亚和日本)的企业成为目标。
这种间接方法证明网络间谍活动的成熟度达到新的水平,而且正变得越来越常见。网络安全公司赛门铁克(Symantec)在最近一份报告中表示,2017年的供应链攻击比前一年增加200%。各国政府对这种日益感到担忧。
然而,近年有关黑客攻击的头条新闻以地缘政治关切为主,例如西方强国越来越担心俄罗斯在网络空间日益咄咄逼人的行为。抗击这些威胁的幕后方式之一是不断加强供应链安全;英国安全官员已将此列为他们在今年剩下时间的优先任务之一。
英国政府通信总部(HQ)的一部分——英国国家网络安全中心(NCSC)的负责人查兰?马丁(Ciaran Martin)表示:“如果我们考察一下过去一两年的网络攻击,就会发现有很多戏剧性的攻击,但是,慢慢发酵的战略性问题之一是供应链的完整性,以及企业和政府部门如何管理这方面的风险。”
“我认为,整体而言,我们在认识到其重要性方面比应有的速度更慢。”
网络安全专家们表示,尽管“Cloud Hopper”行动没有对受害者造成严重损害,但2017年6月的NotPetya攻击表明(英国和美国把此次攻击归咎于俄罗斯军方),供应链攻击确实会造成代价高昂的破坏性影响。
尽管主要针对乌克兰的公司(自2015年以来,乌克兰一直在与俄罗斯支持的分裂分子作战),但那场勒索软件攻击扩大到了原始目标以外,据估计,全球企业因此损失逾12亿美元,包括航运集团马士基(Maersk)和总部位于英国的消费品公司利洁时(Reckitt Benckiser)。
普华永道网络安全合伙人理查德?霍纳(Richard Horne)解释了俄罗斯黑客如何侵入乌克兰软件提供商MeDoc,并在该公司下一次软件更新时插入“后门”。霍纳补充称:“一旦插入,攻击者就能下载他们的恶意代码,这段巧妙的代码然后在大约60分钟内传播。”
自今年3月前俄罗斯双面间谍谢尔盖?斯克里帕尔(Sergei Skripal)及其女儿在英格兰南部的索尔兹伯里被投毒以来,英国加大了针对潜在的克里姆林宫支持的网络敌对行动的网络安全措施。
网络安全官员的主要担忧是政府后台的黑客和犯罪分子可能侵入关键基础设施组织的系统,例如银行、能源企业和政府部门。
NCSC的马丁表示:“从攻击者的角度来看(不管是国防、能源还是基本商务),如果你能通过供应链侵入,几乎就如同身在主要网络中。”
今年,NCSC公布了有关如何防范最普遍的4种供应链攻击的指引。指引强调,在任何公司的IT供应链上,第三方软件提供商、网站建设者以及外部数据存储是风险最大的几个环节。
2013年,美国零售商Target遭到一个犯罪集团的攻击,这个犯罪集团利用一家冰箱和空调供应商获得的权限进入该公司IT系统。那次攻击导致Target的7000多万客户的资料被窃,包括逾4000万信用卡持有者的账户。
网络安全公司Darktrace的科技总监戴夫?帕尔默(Dave Palmer)表示,尽管Target被侵入这种令人瞩目的事件提醒企业关注供应链风险,但他仍然看到有些外部企业采纳严格的安全标准,结果却“可悲地不能落实”。
帕尔默表示:“他们很忙,他们有很多客户,他们不共享你的价值观。”总部位于英国的网络安全公司Glasswall Solutions首席执行官格雷格?西姆(Greg Sim)补充称:“从很多方面来说,供应链的风险敞口最大,因为这些公司可能依赖廉价且拙劣的安全措施,根本挡不住任何技术含量较高的攻击。”
NCSC表示,企业董事会现在有责任为其供应商的标准承担更大责任。欧盟新出台的《一般数据保护条例》(General Data Protection Regulation,简称GR)已于今年5月生效,它也要求企业评估供应商的安全风险。
“很长时间以来,我们一直说它被搞得太神秘,缺乏理解,而董事会应该像了解其他任何风险那样了解它,”马丁表示,“但如果你任职一家有着复杂供应链的公司的董事会,你是否知道要询问‘我们在采取什么措施确保我们主要供应商的网络安全?’”
“相关标准是否是他们自己制定的?有没有一个通用框架?我们正在做的还不到位。”
-电子元器件采购网(www.ruidan.com)是本土元器件目录分销商,采用“小批量、现货、样品”销售模式,致力于满足客户多型号、高质量、快速交付的采购需求。自建高效智能仓储,拥有自营库存超过50,000种,提供一站式正品现货采购、个性化解决方案、选型替代等多元化服务。
