对手正在渗透上游软件、硬件和供应商关系,以悄悄地损害下游目标。无论是注入CI/CD管道的恶意更新、隐藏在开源代码中的流氓依赖,还是被篡改的硬件组件,这些攻击都通过武器化可信渠道来绕过传统的防御。
持续监控第三方风险
“随着越来越多的供应链攻击浮出水面,第三方安全对所有企业都变得至关重要。i-confidential总监Colin Fraser说:“组织必须审查其供应商,确保他们实行良好的网络安全卫生,同时努力限制合作伙伴受到攻击时的暴露。”
尽管国家安全问题日益严重,政府限制越来越多,但与中国军事有关联的公司仍然深深植根于美国数字供应链中。这些组织继续提供基本的数字基础设施,使美国企业和关键行业面临潜在的网络安全威胁。
这种扩大的攻击面为恶意行为者提供了许多入口点,要求CISO将他们的安全重点扩大到组织边界之外。
最大的变化之一是转向持续监控第三方风险,用有关供应商漏洞、暴露和异常行为的实时信息取代一次性供应商评估。
SBOM从合规性转向业务必要性
DevSecOps已成为供应链弹性的基石,组织将安全性更深入地嵌入其CI/CD管道中,自动化依赖扫描,并强制签名构建,以确保整个软件开发的完整性。补充这一点,软件物料清单(SBOM)正在从合规工件过渡到操作工具,使安全团队能够在新的零日出现时确定他们的暴露。
这与更广泛的监管势头一致:像美国这样的倡议。关于改善国家网络安全的行政命令和NIST的安全软件开发框架(SSDF)正在推动提高跨部门的透明度和强制采用SBOM。
为了帮助加强网络复原力,欧盟出台了DORA和NIS2等法规。两者都更专注于保护供应链,并寻求让企业对其网络安全实践负责。
人工智能不仅仅是一种风险,它是一种防御工具
与此同时,人工智能正在被用于大规模的威胁检测,提供预测能力,在潜在妥协出现之前识别它们,特别是在代码和软件包存储库中。零信任原则正在扩展到内部网络之外,包括供应商系统、强制执行身份、设备态势和整个扩展企业基于行为的访问控制。
最具破坏性的趋势可能是对手使用生成人工智能来创建令人信服的网络钓鱼和冒充攻击,针对采购流程、供应商沟通和高管之间的消息。
Logility对500名全球供应链领导者的调查显示,97%的人已经在使用某种形式的GenAI。但只有三分之一的人使用专为供应链任务设计的工具。43%的人表示,他们担心在应用GenAI时如何使用或共享他们的数据。另外40%的人不相信它给出的答案。
CISO也面临着硬件级威胁的复苏,设备被篡改和固件受损会引发警报,特别是在关键基础设施和高保证环境中。
实时供应链可见性
实时可见性正在变得不可协商,由物联网遥测和基于区块链的可追溯性提供动力,使捍卫者更清楚地了解全球供应商网络中发生的事情。例如,在汽车行业,宝马实施了区块链技术,以确保其多阶段国际供应链中组件和原材料的可追溯性,旨在提高透明度并防止篡改。
“供应链安全是一个相对较新的概念,由于漏洞、零日漏洞活动、勒索软件以及在新冠肺炎和后疫情世界中工作的挑战的无情连串,组织可能已经搁置了。了解供应链战略的必要性并确定其优先次序是最大的挑战,而且问题很复杂。Eclypsium的威胁研究和情报总监Nate Warfield解释说:“这将需要行政、开发、安全和法律团队之间的合作,战略将根据组织及其商业模式而有所不同。”
抵御供应链攻击需要的不仅仅是技术控制,它还需要战略性的系统性转变。对于CISO来说,这意味着扩展可见性,持续验证信任,并强化每一层——从代码到组件,从供应商到端点。
消息来源:helpnetsecurity, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
暂无评论内容