下一代供应链攻击需要新的安全策略

随着数字化转型及第三方应用程序的激增，网络安全问题需要新的策略来应对。

今年早些时候，根据Gartner预测，到2025年全球45%的组织将遭受软件供应链攻击，比2021年增加三倍。这些攻击不仅在增加，而且它们渗透系统的水平和攻击者使用的技术也在不断更新。攻击者现在正在利用授予第三方云服务的访问权限作为进入公司最敏感核心系统的后门，正如最近对Mailchimp，GitHub和Microsoft的攻击。新一代供应链攻击正在出现。

应用集成的兴起

随着绝大多数劳动力已经数字化，企业的核心系统已经转移到云端。这种加速采用云计算的方式成倍地增加了第三方应用程序的使用以及系统和服务之间的连接，从而带来全新的网络安全挑战。

有三个主要因素导致应用到应用连接性的增加：

产品主导的增长(PLG)：在PLG和自下而上的软件采用的时代，软件即服务(SaaS)的使用;

DevOps：开发团队可以自由生成和嵌入API密钥

超自动化：超自动化和低代码/无代码平台的兴起意味着“开发人员”只需拨动开关即可集成和自动化流程。

现在，任何类型的团队都可以轻松访问广泛的集成，这意味着节省时间并提高生产力。然而，虽然这使组织的工作更容易，但它模糊了对潜在易受攻击的应用程序连接的可见性，使组织IT和安全领导者很难深入了解其环境中部署的所有集成，从而扩展了组织的数字供应链。

第三方问题

美国国家标准与技术研究院(NIST)最近更新了其网络安全供应链风险管理指南。这些新指令考虑到，随着企业采用越来越多的软件来帮助运营业务，为了提高效率和生产力，越来越多的第三方代码集成到软件产品中。虽然这种方式很便捷，但还有另一个完整的供应链依赖生态系统，与核心系统与第三方应用程序的大量集成有关，这一点常常被忽视。

对于那些内部进程具有不可逆的公司来说，攻击者只需发现连接的应用程序或服务中最薄弱的环节，就能破坏整个系统。

企业需要确定如何更好地管理这种情况。比如这些应用程序访问了什么级别的数据?这个应用程序有什么样的权限?应用是否正在使用，正在进行哪些活动?

了解这些集成操作的层次可以帮助安全团队确定潜在的攻击区域。在以产品为主导的增长和自下而上的软件采用的时代，很难了解组织云应用程序之间的所有集成，因为企业平均使用1，400 种云服务。

减少安全漏洞

数字供应链攻击的风险不再局限于核心业务应用程序或工程平台，这些漏洞现在已经随着互连第三方应用程序、集成和服务的网络激增而扩大。只有新的治理和安全战略才能缩小这一日益扩大的安全差距。

在进行新的安全防御战略时，需要解决以下这些问题：

检查所有应用程序连接的可见性：安全团队不仅需要清晰了解到连接敏感信息的系统，同时对系统内部情况也需要了解。

软件安全漏洞：应用程序安全也是不可忽视的一部分，随着敏捷开发的盛行，在开发期间通过静态测试，动态测试等方式来及时发现并修复安全缺陷，是减少应用安全漏洞的有效方式之一。

威胁检测：每个集成的部分(不仅仅是独立应用程序)都需要评估风险级别和暴露(例如，冗余访问、权限过多)。

补救策略：威胁防御策略不能是一刀切的事情。安全专业人员需要认识到构成攻击表面的复杂的相互关联的应用程序范围的上下文缓解措施。

自动、零信任实施：安全团队必须能够围绕应用层访问(例如，权限级别、身份验证协议)设置和实施策略护栏。

数字世界只会变得更加高度互联，与此同时，我们需要进一步了解供应链中的这些潜在威胁，以免它们演变成更多严重的网络攻击。

来源：

https://www.darkreading.com/attacks-breaches/the-next-generation-of-supply-chain-attacks-is-here-to-stay