SolarWinds Hack 告诉我们有关物联网和供应链安全的内容
无论是哪个行业,网络安全漏洞的规模和规模似乎都在升级。
俄罗斯三个月前发起的大规模黑客攻击活动影响了德克萨斯州软件制造商 SolarWinds Corp. 的多达 18,000 名客户,这是潜在供应链攻击影响深远的一个恶劣例子。
“供应链风险”一词是一个大保护伞,涵盖了许多安全威胁和漏洞。在 SolarWinds 案例中,据信代表外国政府工作的威胁行为者将软件更新木马化为流行工具 SolarWinds Orion。这次攻击为数百家公司和九个联邦机构留下了潜在的后门访问点。这只是我们所知道的 - 我们很可能会在未来几年内发现这次违规的影响。
其他供应链风险可能表现为电子设备中的安全漏洞。智能手机、打印机、路由器、物联网设备和关键基础设施系统的制造商从第三方购买组件。这些组件随附可能存在安全漏洞的嵌入式固件。更重要的是,其中一些固件不是由制造商编写的,而是来自 IT 志愿者维护的开源代码。社区。
以下是更广泛的供应链行业需要了解的有关网络攻击的信息。
隐藏的软件
越来越多的购买者要求提供设备内软件的完整列表——但就目前而言,制造商很少提供它。该清单被称为软件物料清单 (SBOM),是供应链安全的关键,但重要的是要注意它不是万能的。例如,SBOM 不会发现 SolarWinds 后门。需要安全团队成员自己分析最终的软件文件,然后再将其发布给客户。
后座
软件开发商和设备制造商已转向快速开发流程。在软件方面,这个敏捷开发框架会推动大量快速更新,有时是为了添加新功能,有时是为了修复安全漏洞。在等式的设备方面也有类似的推动——对于作为商品批量销售的物联网设备尤其如此。
在任何一种情况下,安全通常最终都会退居二线。组织的领导层有责任认识到不优先考虑安全性的风险,开发团队有责任在这些风险被利用之前主动减轻这些风险。现实情况是,攻击者远远领先于行业。这使组织处于被动状态,并产生了众多法规和标准。对于公司、制造商和买家而言,采取积极主动的方法比以往任何时候都更加重要。
访问潜力
全球供应链已成为特别有吸引力的目标,因为它们的系统连接广泛且安全性差。在多个设备中复制软件是常见的做法——这意味着如果黑客在门铃摄像头中发现漏洞,也有可能利用其他品牌的门铃、智能电视、联网冰箱或家用恒温器。
对于黑客来说,影响单个设备的漏洞微不足道,因为很难通过这些类型的黑客攻击获利,但普遍存在的供应链漏洞可能更有价值。对于供应链主管来说,重要的是要考虑您企业中所有可以支持其他系统的设备。
SolarWinds 漏洞为网络安全社区内外的许多人敲响了警钟。对于其他人来说,这是对我们已经知道的事情以及我们一直在努力防止的事情的确认。
这次攻击最重要的一点是,我们需要重新评估我们对供应商、软件和设备的信任。无论您在供应链中的哪个位置,从软件的企业用户到 OEM 再到软件供应商,您都可能对您的供应商及其产品给予难以置信的信任。我们需要重新思考如何评估这些信任关系,最重要的是,我们需要了解如何在整个生命周期中验证这些软件、固件和硬件的安全性。
Matt Wyckhouse 是有限状态的创始人兼首席执行官。
工业技术