如何保護(hù)脆弱的供應(yīng)鏈免受網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和攻擊
傳統(tǒng)的供應(yīng)鏈安全解決方案缺乏復(fù)雜性和范圍來(lái)解決鏈中每一層和每個(gè)環(huán)節(jié)的此類威脅,從而在保護(hù)供應(yīng)鏈免受日益增加的網(wǎng)絡(luò)威脅方面留下了巨大的漏洞。
供應(yīng)鏈的領(lǐng)導(dǎo)者和提供商需要了解他們當(dāng)前的安全漏洞所在,以及他們需要在哪里投資以避免網(wǎng)絡(luò)攻擊,以及潛在的永久性安全和聲譽(yù)風(fēng)險(xiǎn)。
鏈條中的薄弱環(huán)節(jié)
供應(yīng)鏈?zhǔn)且粋€(gè)自然的利用目標(biāo),因?yàn)樗S多不同的活動(dòng)、人員、實(shí)體、信息和資源。鏈條中的環(huán)節(jié)越多,攻擊的機(jī)會(huì)就越多,特別是如果這些環(huán)節(jié)仍然容易受到攻擊。
僅去年一年,我們就目睹了上述SolarWinds軟件開發(fā)攻擊,多次APT41(雙龍)攻擊,以竊取憑據(jù)并將惡意軟件插入制造產(chǎn)品,甚至對(duì)富士康墨西哥工廠的勒索軟件攻擊。這涉及被盜的未加密文件、受損的加密服務(wù)器和已刪除的備份數(shù)據(jù)。
安全性不當(dāng)?shù)墓?yīng)鏈?zhǔn)且粋€(gè)非常脆弱的弱點(diǎn),其中軟件和其他數(shù)字信息(如設(shè)備身份)可能會(huì)被破壞、替換或復(fù)制,以實(shí)施欺詐、損害用戶隱私,或者在某些情況下甚至損害國(guó)家安全。
保護(hù)證書、憑據(jù)和代碼
安全問(wèn)題的一個(gè)非常脆弱的領(lǐng)域是個(gè)人消費(fèi)電子產(chǎn)品。其中許多產(chǎn)品(包括手機(jī)、平板電腦、電纜調(diào)制解調(diào)器、路由器、物聯(lián)網(wǎng)設(shè)備和數(shù)字娛樂設(shè)備)都帶有預(yù)安裝的數(shù)字證書,用于保護(hù)私人用戶信息。所有這些都是數(shù)字交易中的內(nèi)容和服務(wù)提供商信息之外的。但是,即使在部署產(chǎn)品之后,這些證書中的任何一個(gè)的單一妥協(xié)也可能構(gòu)成整個(gè)供應(yīng)鏈的妥協(xié)。
這些設(shè)備的生產(chǎn)過(guò)程特別容易受到大規(guī)模利用數(shù)字證書的影響,并且隨著許多供應(yīng)鏈的徹底全球化,制造商可以從多個(gè)方向預(yù)測(cè)這些攻擊。傳統(tǒng)的工廠環(huán)境往往不受自然界的嚴(yán)格控制,可能無(wú)法充分保護(hù)加密材料。
此外,制造過(guò)程中的簡(jiǎn)單安全程序可能容易受到攻擊。一個(gè)常見的例子是復(fù)制和備份數(shù)據(jù)和代碼。無(wú)論是有意還是無(wú)意,這都可能導(dǎo)致唯一數(shù)字身份的重復(fù) - 這是一種非常嚴(yán)重的安全違規(guī)行為。
憑據(jù)傳送系統(tǒng)必須確保安全憑據(jù)不易受到網(wǎng)絡(luò)攻擊,并且不會(huì)安裝到多個(gè)設(shè)備或應(yīng)用程序中。管理設(shè)備證書和憑據(jù)是供應(yīng)鏈安全的關(guān)鍵要素。
確定安全配置的優(yōu)先級(jí)
為了安全地管理數(shù)字證書和憑證,供應(yīng)鏈配置架構(gòu)必須全面,涉及多層加密和完整性檢查,以確保整個(gè)供應(yīng)鏈保持安全 - 即使特定的網(wǎng)絡(luò)節(jié)點(diǎn)或加密層受到威脅。
安全團(tuán)隊(duì)必須納入一個(gè)框架,其中包括廣泛使用硬件安全模塊、加密令牌、多層加密和端到端反克隆措施,這些措施可以擴(kuò)展到整個(gè)全球基礎(chǔ)設(shè)施。
尋找正確的解決方案
康普已經(jīng)建立了一個(gè)托管解決方案。考慮到這些元素,安全憑證配置的系統(tǒng)體系結(jié)構(gòu)優(yōu)先考慮合并密鑰生成、PKI 服務(wù)器(具有硬件安全性的密鑰服務(wù)器),并將軟件開發(fā)工具包 (SDK) 直接集成到制造設(shè)備的軟件和固件中。
在這樣的架構(gòu)中,需要注意的關(guān)鍵要素是應(yīng)用多層安全作為縱深防御策略的一部分,確保在任何一個(gè)層發(fā)生故障時(shí)實(shí)現(xiàn)故障保護(hù)。在設(shè)置自己的系統(tǒng)或與供應(yīng)商合作時(shí),請(qǐng)確保解決方案包含這種多層策略,無(wú)論是反克隆措施還是在短時(shí)間內(nèi)(或理想情況下,兩者兼而有之)擴(kuò)展到數(shù)百萬(wàn)個(gè)新數(shù)字身份的靈活性。
有了正確的意識(shí),以及正確的技術(shù)、托管服務(wù)和經(jīng)驗(yàn)豐富的安全專家團(tuán)隊(duì),服務(wù)提供商可以確保其固有的脆弱供應(yīng)鏈不會(huì)成為網(wǎng)絡(luò)犯罪的受害者。
審核編輯:郭婷
-
調(diào)制解調(diào)器
+關(guān)注
關(guān)注
3文章
860瀏覽量
38940 -
服務(wù)器
+關(guān)注
關(guān)注
12文章
9304瀏覽量
86062 -
平板電腦
+關(guān)注
關(guān)注
4文章
2022瀏覽量
78072
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
華納云企業(yè)建立全面的網(wǎng)絡(luò)安全策略的流程
紫光同芯榮獲金融科技供應(yīng)鏈安全示范機(jī)構(gòu)
龍芯3A5000網(wǎng)絡(luò)安全整機(jī),助力保護(hù)網(wǎng)絡(luò)信息安全
智能制造裝備行業(yè)的供應(yīng)鏈特點(diǎn)分析
國(guó)產(chǎn)網(wǎng)絡(luò)安全主板在防御網(wǎng)絡(luò)攻擊中的實(shí)際應(yīng)用
如何利用IP查詢技術(shù)保護(hù)網(wǎng)絡(luò)安全?
IP風(fēng)險(xiǎn)畫像如何維護(hù)網(wǎng)絡(luò)安全
海外高防服務(wù)器對(duì)網(wǎng)絡(luò)安全保護(hù)的影響
如何保護(hù)SCADA免受網(wǎng)絡(luò)攻擊
經(jīng)緯恒潤(rùn)亮相AutoSec中國(guó)汽車網(wǎng)絡(luò)安全及數(shù)據(jù)安全合規(guī)峰會(huì)
專家解讀 | NIST網(wǎng)絡(luò)安全框架(1):框架概覽
艾體寶觀察 | 2024,如何開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
危機(jī)四伏,2024如何開展網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
工商網(wǎng)監(jiān)
評(píng)論