從伊朗到俄羅斯,各個國家都在把軟體**鏈作為攻擊工具,來危害和擾亂敵對國的基礎設施以及商業前景。
今年7月份,美國的情報機構發布了乙份研究報告,報告主要強調了來自中國的軟體**鏈攻擊威脅,並認為這種威脅將有可能長久性地侵蝕美國經濟優勢的競爭力。各種**的威脅情報資料表明,包括伊朗和俄羅斯在內,各大民族國家都在利用軟體**鏈來攻擊和危害敵對國的基礎設施以及大型企業。根據crowdstrike的最新研究,在過去的一年裡,受調查的跨行業組織總共有三分之二都經歷了軟體**鏈攻擊。
針對網路周邊裝置的傳統網路安全解決方案已經日趨成熟,因此網路犯罪分子必須要尋找其他的方法來滲透目標組織。對於各大組織、軟體提供商以及業務合作夥伴來說,他們三者之間的信任基礎就是軟體**鏈,因此軟體**鏈漏洞自然而然就會成為攻擊者的目標之一。而且很多第三方**商會急於讓產品上市,因此他們更有可能會忽略產品安全測試以及源**的安全保護。
由於先進的惡意軟體傳播技術通常利用的是特權憑證或者是已知的架構漏洞,**鏈攻擊其實是很常見的,而這種攻擊往往針對的是目標組織的整個可信客戶群。除此之外,軟體**鏈攻擊也會越來越頻繁,越來越複雜。
根據crowdstrike的研究,這種攻擊給目標組織帶來的平均經濟損失已經超過了100萬美元,而這個數字涵蓋了企業的對外業務、產品生產以及應對成本,而且其中的某些東西並不是可以用金錢價值來衡量的。軟體**鏈攻擊事件的頻繁出現,應該給各大組織敲響警鐘。根據最新的調查資料,80%的it專業人士都認為軟體**鏈攻擊將成為他們企業未來三年需要面臨的最嚴重的網路威脅之一。
何去何從
那麼,各大組織應該怎麼做才能保護自己呢?或者說,各位還應該做些什麼呢?
雖然各大組織已經逐漸開始意識到了軟體**鏈這種新型的攻擊載體,但是crowdstrike發現他們大多數仍然不認為自己真的會受到這樣的攻擊。此外,另乙個值得關注的領域就是**商的安全審查了。但不幸的是,72%的受訪者表示他們的組織並不會強制性要求外部**商遵守與他們自己相同的安全標準。不過,很多組織逐漸開始提公升他們的**商審查方式了。將近60%的受訪者表示,他們的組織需要更加詳細和嚴格的安全檢查策略,而80%的受訪者表示,如果**商的安全策略薄弱,他們可能會減少甚至是拒絕與這類**商合作。
為了防範軟體**鏈攻擊,組織應該建立更強有力的措施來進行徹底的安全審查。比如說,各大國家銀行已經開始強制要求**商應當滿足某些最低程度的網路安全環境標準,以保護其客戶的資料。但是在涉及到實際審查時,目前只有不到一半的受訪者表示他們會關注**商的內部安全標準或是使用的安全軟體。
這裡要跟大家分享乙個算是比較好的訊息:調查發現,自notpetya事件之後,95%的企業董事會對**鏈攻擊的態度都發生了改變,而這種態度和認識的提公升是乙個很好的開始。
為了保護各大組織不受軟體**鏈攻擊的影響,我們建議各大組織和企業做到以下幾個方面:
1、 部署基於行為的攻擊檢測解決方案,以抵禦複雜的**鏈攻擊;
2、 採用分段式網路體系結構;
3、 部署實時漏洞管理解決方案;
4、 提公升系統管理控制策略,提公升企業環境中特權憑證的使用管理(包括共享/嵌入式管理員賬戶的控制);
此外,為了提前應對將來可能發生的攻擊,組織還應該利用好各種**的威脅情報,以獲取必要的資料和資訊來主動防禦新的攻擊。
很顯然,業界已經意識到了軟體**鏈攻擊的威脅嚴重程度,而且各大組織應該立刻採取行動,以確保自己能夠全力抵禦這類破壞性攻擊。
供應鏈智慧型
鏈智慧型 sci 已成為 鏈技術領域中前沿中的前沿。sci技術能夠從scm系統產生和捕獲的大量資料中提煉出有助於決策有效資訊。scm主要關注提高企業內部和整個 鏈的採購 製造 配送等活動的運作效率。sci技術將商務智慧型的概念運用於scm,旨在為決策者提供戰略性的資訊。這些資訊覆蓋的範圍十分廣闊,包...
供應鏈金融
鏈金融與傳統 的保理 貨押業務有明顯的區別,保理和貨押屬於簡單的 融資商品,而 鏈金融是核心企業與金融機構之間達成的面向 鏈成員企業的融資業務。前者是基於單個融資企業或者單個融資節點進行的融資,而後者更加注重金融機構和核心企業在 鏈鏈條的整體把控能力和資源籠絡能力,金融機構和企業之前的互動性更強。從...
供應鏈執行(SCE)和供應鏈計畫(SCP)
物流和 鏈管理軟體 scm 是繼erp後的又乙個it熱點。不少erp軟體也宣稱自己擁有管理物流和 鏈的能力,這與真正的scm軟體有什麼區別呢?鏈是圍繞核心企業,通過對資訊流 物流 資金流的控制,從採購原料開始,製成中間產品以及最終產品,然後由銷售網路把產品送到消費者手中,將 商 製造商 分銷商 零售...