在2023年，供應鏈網(wǎng)絡安全風險將繼續(xù)引起各種企業(yè)和組織的關注。這些風險比以往任何時候都更加突出，部分原因是復雜的IT生態(tài)系統(tǒng)使得很難保持供應鏈的可見性，甚至很難定義供應鏈。此外，正在進行的數(shù)字化轉型計劃增加了對第三方應用程序和代碼的依賴(例如，開源項目和商業(yè)SaaS應用程序)。本文將介紹一些值得關注的關鍵供應鏈威脅，以及在2023年實現(xiàn)強大供應鏈安全的技巧。

2023年的關鍵供應鏈威脅

（1）開源漏洞

許多供應鏈攻擊源于威脅行為者利用組織軟件供應鏈中的弱點。Java日志庫ApacheLog4j中的零日漏洞就是這種風險的一個例子，它立即使數(shù)千家使用該庫的公司面臨重大泄露風險。

供應鏈威脅有多種形式，但開源風險正在上升，因為越來越多的企業(yè)在從事快節(jié)奏的開發(fā)項目時依賴于現(xiàn)成的功能。無論是隱藏在廣泛使用的開源庫/框架中的惡意代碼或不安全代碼，還是開源項目中安全性不足的代碼，了解這種威脅都是至關重要的。與開發(fā)人員溝通充分審查他們選擇的開源項目的重要性。

（2）API安全事件

在當今無縫應用程序生態(tài)系統(tǒng)中，應用程序編程接口(API)是一個至關重要的環(huán)節(jié)，公司使用它來允許不同的應用程序相互通信。許多公司依賴于這些API，無論是來自與其網(wǎng)站綁定的支付處理系統(tǒng)，還是其關鍵業(yè)務活動所依賴的其他關鍵應用程序。

API也容易存在安全風險，當其他公司開發(fā)的API給黑客攻擊其業(yè)務或訪問其數(shù)據(jù)的機會時，這些風險就代表了供應鏈威脅。2022年的一項調查發(fā)現(xiàn)，41%的企業(yè)在過去12個月遭遇API安全事件。

（3）跳島攻擊

除了網(wǎng)絡安全，跳島攻擊也是一種有效的攻擊方式。但它在網(wǎng)絡安全中的更險惡的含義與一種供應鏈威脅有關。在跳島攻擊中，對手將脆弱的第三方和第四方合作伙伴作為攻擊目標，以利用通常規(guī)模更大的公司的網(wǎng)絡防御。

“跳島”的顯著特征是對手如何在供應鏈的多個環(huán)節(jié)之間跳躍，直到他們能夠破壞目標。這些類型的攻擊利用了數(shù)字供應鏈復雜和交織的特性。

（4）欺詐

企業(yè)與其各種合作伙伴和供應商之間的信任關系也是威脅行為者的目標。利用這種信任來實施欺詐是一種過時的策略，但它不會很快消失。事實上，隨著社會工程策略變得更加精細，并針對特定的個人，這種威脅可能會惡化。

魚叉式網(wǎng)絡釣魚在利用供應鏈關系方面尤其有效。黑客可以欺騙商業(yè)供應商的域名，或者潛伏在只有輕微拼寫錯誤的域名上。然后，威脅行為者可以發(fā)送自稱來自供應商的電子郵件，要求向網(wǎng)絡攻擊者控制下的特定銀行賬戶付款。物理安全風險也在欺詐中發(fā)揮作用，模仿一個可信的供應商可以欺騙員工允許未經(jīng)授權的人員進入你的場所。

2023年供應鏈網(wǎng)絡安全的建議

（1）進行第三方風險評估

第三方風險評估是指在整個供應鏈中分析公司的第三方關系所帶來的風險，包括供應商和服務提供商。這一做法是更廣泛的第三方風險管理程序的一個關鍵方面，網(wǎng)絡安全風險分析應在評估中發(fā)揮核心作用。

分析公司都應該能夠提供評估問題的誠實答案，幫助企業(yè)評估他們對安全性的重視程度。每一兩年重新評估所有供應商和合作伙伴。利用現(xiàn)成的問卷來幫助企業(yè)解決問題，例如共識評估倡議問卷(CAIQ)和標準化信息收集問卷。

（2）教育員工供應鏈社會工程攻擊

由于供應鏈社會工程攻擊利用員工對供應商或供應商的信任來滲透公司網(wǎng)絡或獲取敏感信息，因此有必要關注持續(xù)的教育和培訓，以降低欺詐和其他結果的風險。企業(yè)通過教育員工與這些攻擊相關的風險，可以幫助他們更好地識別和防止可疑活動。

此外，當員工了解網(wǎng)絡安全的重要性以及他們在保護敏感信息方面的作用時，他們更有可能采取預防措施來保護數(shù)據(jù)和防止攻擊。特別有價值的是專注于供應鏈社會工程的特定培訓材料。用社會工程模擬來補充標準的視頻或文本學習，模擬真實世界的攻擊。

（3）實施軟件物料清單(SBOM)

軟件材料清單(SBOM)是構成一個軟件的所有組件的詳細清單。它列出了從開源庫到專有代碼的所有內容，為整個軟件供應鏈提供了透明度和可見性。擁有軟件物料清單(SBOM)對供應鏈安全至關重要，因為它可以讓企業(yè)識別漏洞、跟蹤更改和監(jiān)控更新，確保所有軟件組件都是最新的和安全的。

軟件物料清單(SBOM)還允許您通過識別哪些軟件組件受漏洞影響并采取適當?shù)牟僮鱽砜焖夙憫踩录?。美國政?021年的一項行政命令特別呼吁加強軟件供應鏈安全。軟件物料清單(SBOM)是一個很好的候選者，因為它帶來了透明性。

（4）創(chuàng)建開源安全策略

如果像許多公司一樣，您希望從應用程序開發(fā)項目的開源庫和框架中的現(xiàn)成功能中受益，請為開發(fā)人員創(chuàng)建開源安全策略。該政策應該概述開源代碼的風險，并指導參與開發(fā)的任何人如何將這些風險降至最低。

一個重要的實踐是，在將所有軟件組件和依賴項集成到代碼庫之前，驗證它們的真實性和完整性。此外，確保開發(fā)人員使用可靠的軟件組件和依賴關系來源，并且只從可信的存儲庫下載代碼。

（5）識別第四方供應商

當涉及到保護供應鏈時，需要獲得更多的信息。如果企業(yè)面臨勒索軟件攻擊或安全漏洞的風險，這可能是一個問題。通過了解整個供應商生態(tài)系統(tǒng)，可以識別與數(shù)據(jù)相關的潛在風險。然而，獲取這些信息可能很耗時，而且很快就會過時。

為了應對這一挑戰(zhàn)，可以考慮使用第三方評估平臺來開發(fā)全面的供應商概況，其中包括位置、第四方(或者更直白地說，企業(yè)的供應商的供應商)和部署的技術等關鍵信息。這些信息可以與外部供應商周邊掃描的數(shù)據(jù)進行補充，以創(chuàng)建關系圖，并降低成為跳島攻擊受害者的風險。

（6）利用外部幫助

對關鍵安全威脅和最佳實踐的認識將有助于在2023年及以后加強供應鏈安全。供應鏈安全的另一個困難是，內部安全人員忙于撲滅其他火災，這些特定的最佳實踐很容易被忽視。

通過托管安全服務提供的外部幫助可以為增強供應鏈的安全性提供許多好處。一個關鍵的優(yōu)勢是，托管安全服務提供商可以提供專業(yè)知識和資源，與高技能的安全專業(yè)人員團隊一起檢測和挫敗威脅。外部安全專家憑借其深入的知識和經(jīng)驗，可以評估與供應鏈不同組件相關的風險，并實施有效的安全措施來防范攻擊。