澳大利亚公司如何防御供应链攻击
当几年前,一些Domino澳大利亚客户从披萨连锁中收到可疑的电子邮件时,他们对社交媒体的潜在数据泄露并呼吁公司调查此事。
当时,多米诺州的澳大利亚表示,它的系统没有受到损害,并将责任归咎于前供应商的系统,据称泄露了客户信息。这种供应链漏洞,无论人为错误还是网络攻击,都是真实的和成长。
根据2018年Crowdstrike委托的全球研究,三分之二的IT决策者和IT安全专业人员在包括澳大利亚的3,300名,包括澳大利亚的专业人士表示,他们的组织经历了软件供应链攻击。与此同时,71%相信他们的组织并不总是将外部供应商持有同一安全标准。
供应链风险对于许多组织来说是看不见的,这意味着它们通常不会从IT安全角度来看优先考虑。这部分是因为VMware Carbon Black的Anz Direct,根据Rob Dooley,Zhz Dooley的供应链风险管理通常会看到采购问题。
事实上,安全考虑通常只是在选择过程的最后一步中浮出来的,该Dooley呼吁安全团队早期参与采购决策并提供正在进行的监测。
修改硬件或在交付前安装恶意固件,可以是供应链漏洞的源泉。然而,Crowdstrike在亚太和日本的安全研究员Mark Goudie表示,它偶尔会发生这种情况。
Cyber Win RAM,一个Cyber Security福音师在票据中表示,事物互联网制造商(IOT)设备,特别是经常使用现成的固件,因此攻击者可以轻松利用漏洞。结果可能是灾难性的,特别是如果它涉及电力关键服务的工业控制系统。
除了硬件外,内部开发的软件是供应链中的另一个弱链路。开源库和预先构建的容器可能被污染,恶意代码被旨在执行秘密行动,例如加密或提供对系统的非法访问。在超过1,200个应用程序的审计中,Synopsys发现,99%的使用开源组件和75%包含已知的漏洞。
由于软件图书馆依赖于其他库,因此趋势科技竞技媒介领先的潮流麦克松表示,这是一个很重要的是,潮流麦克松表示,潮流麦克松。安全供应商使用开源库研究员SNYK作为其Devops管道工具的智能来源。
检查点的RAM表示,通过修改代码进行了更多的攻击,组织应验证他们使用的所有源代码,并从多个来源获取威胁情报。他警告说,只要下载或构建,就应该自动检查代码。
服务中存在供应链风险。认识到这一点,澳大利亚审慎监管机构已发表CPS 234标准,该标准规定了监管实体必须采取的步骤来减轻供应链风险。
对于在处理供应商时没有与主要银行的较小公司而言,这一较小公司,违约可能是一个潜在的商业终结威胁,称亚太地区的销售副总裁Simon Howe表示。他说,这些公司应该检查他们的供应商是否持有ISO 27000,NIST和SANS认证作为安全姿势的证据。
然而,遵守标准并不能保证安全,称Chardstrike的Goudie表示,他们建议组织考虑有关供应商流程或可以访问的数据,这是真正风险所在的数据。
该呼吁进行声音数据保护实践,例如对供应商进行分类并根据他们可以访问的数据的敏感性适当地处理每个组。一般来说,数据副总裁副总裁兼区域首席安全官员越严谨,供应商的审查越严厉,亚太地区和日本帕洛阿尔托网络的副总裁兼区域首席安全官员。
趋势科技硕士麦克莱尼建议季度或半年供应商咨询,涉及采购,人力资源以及IT和安全性,相应的补救措施优先考虑。他说,这种供应商生命周期管理流程将确保获得访问权,其中包括从其他组织停止从供应商处购买时。
无论他们所在的行业如何,DUCA都呼吁组织为供应商提供安全访问他们需要管理的系统 - 并阻止访问其他所有内容。Anz Antivo Networks的区域总监Jim Cook表示,这尤其重要,因为某些系统仍在具有已知漏洞的过时操作系统上运行。
但是,即使供应商被授予最小访问权限和网络分段,仍然有机会利用基础架构漏洞,Cook警告,并补充说,供应商的安全实践应与主机组织的策略对齐。持续遵守也应被视为合同义务。
网络罪犯雇用各种方法来渗透供应商的系统。这可能包括商业电子邮件妥协,涉及干扰电子邮件 - 例如伪造发票的付款细节 - 并在更广泛的组织或其客户的更广泛的攻击中使用电子邮件作为踏脚石。
McCluney表示,颠覆发票过程特别有利可图,因此正确的控制过程很重要。对于一个,员工不得盲目地信任发票上的银行细节,特别是如果细节已经改变。
相反,麦克莱尼表示他们应该以完全独立于电子邮件的方式检查供应商。同样,据称从高级行政部门据称的任何对高级行政权的请求应受到怀疑的态度,而不会在没有坚定的确认的情况下对待。
Goudie表示,虽然商业电子邮件妥协是真实的,主要问题可能不是初始事件,但攻击者的后果能够复制组织外部的整个邮箱。通常,在发生重大漏洞之前,不启用诸如多因素身份验证等安全控制。
检查点的RAM表示内容解除武装和重建(CDR)可以在捍卫似乎来自可信资源的恶意文档中发挥作用。CDR技术而不是依赖于检测,而不是依赖于检测,假定文件中持有的所有内容都是恶意的,并重建已知安全的内容。
然后,还有岛屿跳跃,犯罪者使用一个组织的网络来实现其合作伙伴的网络。Sophos主要研究科学家Chester Wisniewski表示,因为这是一个很大程度上的自动化过程,提示检测和响应是关键。他说,工具将停止95%的攻击,只有1%左右的攻击,真正有害。
“这是一个针对性的针对性问题,因此您需要工具来筛选出相关和重要数据并将其作为可操作的信息呈现,”Wisniewski说。“独自的人工智能并不符合工作,但它可能会照顾98%的信号,让人类解释并处理其余2%。”
除了采用自动化来检测违规,补丁系统和进行桌面练习,以测试组织对供应链攻击的恢复力,可能值得考虑管理的安全服务,特别是对于那些没有内部专业知识的人。
wisniewski补充说:“管理安全服务提供商拥有提供良好的服务,以实惠的价格提供良好的服务所需的技术和本地专业知识和见解,并在必要时提供索菲斯等供应商的支持。”
