信息通信技术供应链频遭攻击，如何应对？

时间：2022-06-28 11:47:19 来源：作者：河北网络安全

NotPetya、WannaCry、ShadowPad、Sunburst……这些恶意软件或许不为人们所熟知，但它们却时刻危害着全球互联网安全。

2022年初，一名19岁黑客通过第三方应用程序远程入侵了分布在13个国家的20余辆特斯拉汽车，获得了锁定和解锁汽车、打开和关闭车灯的权限，甚至实现了无钥匙驾驶。2021年，位于都柏林的信息技术服务公司遭受恶意软件攻击，这家公司为全球几百家网络安全承包商提供安全软件。黑客利用勒索软件感染了该公司客户的系统，向每家公司索取5万至500万美元来交换解密密钥。同年，一家美国信息技术软件公司也遭到攻击，随后黑客渗透了总统办公室、财政部和商务部等9个美国联邦机构。

这些攻击有着相似的特点：黑客攻击软件供应商或信息技术公司，进入这些公司客户系统的后门，一次性感染成百上千个系统。公司的业务流程相互连接，一旦某个环节受到影响，多米诺骨牌效应就会随之产生，信息通信技术供应链的可靠性面临严峻挑战。

问题所在

近年来，针对信息通信技术供应链的网络攻击数量不断增加。据欧盟网络安全局统计，2021年发生的相关攻击数量较2020年增加了4倍。漏洞可能发生在信息通信技术生命周期的任意阶段，包括开发、制作、分发、获取和部署等在内的各个环节，由此产生了综合性的网络攻击风险。

鉴于各个机构、行业和国家信息技术系统的关联日益紧密，网络攻击的危害将造成越来越大的影响。据Gartner公司在2019年开展的调查，60%的机构需要与1000多个第三方开展业务合作。2022年5月，美国Verizon通信公司发布的《2022年数据泄露调查报告》（以下简称《报告》）显示，世界各地都出现了供应链遭受攻击的情况。

越来越多的不法分子通过勒索软件的攻击来进行敲诈。2019年至2020年，在卡巴斯基公司的用户中，遭遇针对性勒索软件攻击的用户数量增加了767%，以政府和企业等为主。《报告》指出，勒索软件的威胁将继续增加，2022年几乎70%的恶意软件入侵事件中有勒索软件存在。

目前，尽管网络攻击对政府和企业造成的危害更严重，但普通民众也无法置身事外。病毒通过软件更新就可以入侵数百万用户的电脑；针对食品杂货连锁企业的攻击，能让无数超市临时关闭；医疗或公共服务机构的软件系统遭受破坏，可能导致基础公共服务中断……这些攻击产生的危害将波及千家万户。

及早应对

越来越多的国家意识到供应链遭受网络攻击引发的潜在风险，纷纷采取行动。2020年以来，亚太地区许多国家发布或更新了网络安全国家战略，包括新加坡、马来西亚、澳大利亚和日本。越南、印度和印度尼西亚将发布网络安全国家战略和实施办法。

但是，由于信息通信技术供应链的安全涉及数量众多、范围广泛的利益相关方，解决方案会更加复杂。一些国家在采取行动的过程中，重点关注保护关键信息基础设施的信息通信技术供应链。

例如，美国国土安全部于2018年建立信息通信技术供应链风险管理工作组，建立公私部门合作伙伴关系，推动形成风险管理策略的共识，增强全球信息通信技术供应链的安全性。该工作组已发布关于分享供应链风险信息的准则，以及管理服务供应商客户的风险因素。

2021年，澳大利亚网络安全中心发布指南，指导企业识别供应链相关的网络安全风险，采取相应的应对措施。

新加坡网络安全局宣布将启动关键信息基础设施供应链项目，要求相关方采纳供应链风险管理的国际最佳实践方案和标准。

前方道路

信息通信技术供应链具有全球性的特点，我们需要在不同层面开展强有力和更具协调性的应对措施。

在全球层面，各国以及国际刑警组织、联合国、东盟和欧洲刑警组织等国际组织已经采取行动、加强合作，共享实践经验。

多边平台：如今，联合国政府专家组和开放工作组成为各国建立网络领域共识和制定相关规范的平台。联合国互联网治理论坛等会议提供了在工作层面深入探讨的机会，卡巴斯基与合作伙伴于2020年召开研讨会，讨论加强全球信息通信技术供应链保障、提升透明度的必要性和方法。

双边伙伴关系：亚太地区国家已就网络安全的不同领域签署合作备忘录，中国、越南、印度、日本、新加坡和韩国等，取得了重要进展。

尽管这些平台在建立共识、交流经验、协调标准等方面发挥着重要作用，但关键是要增加针对全球信息通信技术供应链韧性的讨论，因为这个议题涉及不同类型的行为主体，对全球产生广泛的影响。

在国家层面，政府必须通过制定法律、规章、指南、培训要求等举措，持续推动在不同领域建立起网络安全的基本标准。

考虑到信息通信技术供应具有综合性的特点，政府需要建立核心原则、技术标准、法律法规框架，保证不同利益相关方在维护网络安全方面承担的责任程度保持一致。政府除了推动相关措施落地，还可以发布通用性的网络安全风险评估工具。

在个人层面，每个人都有责任维护网络安全。在这方面，开发应用产品和维护软件系统的企业需要发挥引领作用。

维护网络安全事关每一个人，因为最薄弱的环节往往对集体网络安全的实现产生决定性的作用。想要保持网络安全方面的领先地位，不能只是忙于应对网络威胁，关键要放眼长远，设计网络安全生态系统，建立畅通的人才通道，达到计算机应急响应组织、取证分析团队和信息技术部门的要求，以“通过设计获得安全”的理念来建设关键信息基础设施。

来源：中国网信杂志

Tags：供应链点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作，风险自担。如有任何标注错误或版权侵犯请与我们联系，我们将及时更正、删除。

▌相关推荐

微软推出首款AI自研芯片力求避免供应链瓶颈

微软首款自研AI加速器芯片Azure Maia 100微软发布了首款自研人工智能（AI）芯片和云计算处理器，试图在竞争日益激烈的AI计算市场掌握更多技术并增加产品供应。该公司还发布可以让...【详细内容】

2023-11-16　　Search: 供应链点击:(149)　　评论:(0)　　加入收藏

详解六种最常见的软件供应链攻击

最近软件供应链事件屡屡成为头条新闻。尽管这些安全事件有相似之处，但并非所有的供应链攻击都是一样的。软件供应链攻击的定义“软件供应链攻击”这个统称涵盖了攻击者干扰或...【详细内容】

2023-11-09　　Search: 供应链点击:(251)　　评论:(0)　　加入收藏

供应链NFT及其工作原理指南

编辑丨lee@Web3CN.Pro供应链是商业中的一股隐藏力量，负责将食物运送到杂货店、将 T 恤运送到服装店、将汽车运送到经销商。这些人员和企业网络旨在尽可能快速、廉价地生产并...【详细内容】

2023-10-24　　Search: 供应链点击:(80)　　评论:(0)　　加入收藏

AI正在重塑供应链的七种方式

在供应链行业，企业面临的最常见挑战之一是保持可见性和透明度的能力。AI支持的解决方案提供了对整个供应链网络的洞察，从原材料采购到分销和交付——这是一种前所未...【详细内容】

2023-09-07　　Search: 供应链点击:(280)　　评论:(0)　　加入收藏

华为Mate 60 Pro供应链辨虚实

作者：郑栩彤　　[ “供应链影响暂时不大，本身产能过剩，稼动率低。” 咨询机构纳弗斯分析师李怀斌告诉第一财经记者。记者从供应商处了解到，近两年消费电子市场需求疲弱，华为手机...【详细内容】

2023-09-07　　Search: 供应链点击:(123)　　评论:(0)　　加入收藏

OpenAI的机器学习算法帮助Global Sources优化供应链管理

随着全球市场的竞争越来越激烈，供应链管理对于企业的成功变得越来越重要。Global Sources作为一家全球性的采购服务公司，一直致力于提升其供应链管理能力。近年来，随着人工智能...【详细内容】

2023-08-07　　Search: 供应链点击:(66)　　评论:(0)　　加入收藏

物联网如何改变供应链管理

物联网技术为企业提供了比手动库存系统更精确、更及时的清单可见性。因此，供应链可以使用物联网更好地管理库存。物联网(IoT)可以将一切连接起来。它提供了一种连接关键组织...【详细内容】

2023-07-28　　Search: 供应链点击:(67)　　评论:(0)　　加入收藏

网传供应链公司已开始供货：华为Mate 60将至

中证金牛座发布消息称，华为供应链公司已开始向华为Mate 60高端旗舰手机供货，这也意味着，华为Mate 60将在2023年下半年正式发布。随着时间来到2023年年中，各大智能手机厂商下半年...【详细内容】

2023-06-27　　Search: 供应链点击:(109)　　评论:(0)　　加入收藏

借助物联网技术构建灵活的供应链

商品在供应链中的有效流动对公司的成功至关重要。跟踪资产、监控质量和建立及时性有助于建立一个灵活、成功和连接的供应链。优化这一过程的一种方法是使用物联网(IoT)。借...【详细内容】

2023-03-16　　Search: 供应链点击:(161)　　评论:(0)　　加入收藏

针对开发者的供应链攻击

最近，趋势科技的研究人员分析了几种可被滥用来攻击供应链的攻击载体的概念证明，其中一种便是针对开发者的供应链攻击，该证明重点关注了本地集成开发环境（IDE），考虑当项目或生成被...【详细内容】

2023-02-23　　Search: 供应链点击:(207)　　评论:(0)　　加入收藏

▌简易百科推荐

网络安全行业的春天何时来?

2023年下半年开始，网络安全从业人员都感受到了网安行业的寒冬，但是其实前奏并不是此刻，只是涉及到大量裁员关乎自身而人人感同身受。从近五年各个网络安全上市公司财报可以发现...【详细内容】

2024-04-11　　兰花豆说网络安全　　　　Tags:网络安全　点击:(8)　　评论:(0)　　加入收藏

数据可视化在网络安全中的关键作用

在当今数字化时代，网络安全已成为各大企业乃至国家安全的重要组成部分。随着网络攻击的日益复杂和隐蔽，传统的网络安全防护措施已难以满足需求，急需新型的解决方案以增强网络防...【详细内容】

2024-03-29　　小嵩鼠　　　　Tags:数据可视化　点击:(22)　　评论:(0)　　加入收藏

AI时代的网络安全：探索AI生成的网络攻击

译者 | 晶颜审校 | 重楼长期以来，网络攻击一直是劳动密集型的，需要经过精心策划并投入大量的人工研究。然而，随着人工智能技术的出现，威胁行为者已经成功利用它们的能力，以非凡的...【详细内容】

2024-03-27　　　　51CTO　　Tags:网络安全　点击:(17)　　评论:(0)　　加入收藏

详解渗透测试和漏洞扫描的开源自动化解决方案

译者 | 刘涛审校 | 重楼目录什么是渗透测试规划和侦察扫描开发和获得访问权限维持访问权报告和控制什么是漏洞扫描渗透测试工具渗透测试的自动化渗透自动化工作流...【详细内容】

2024-02-27　　　　51CTO　　Tags:渗透测试　点击:(35)　　评论:(0)　　加入收藏

如何保护你的电脑不受黑客攻击

在数字时代，网络安全已经成为每个人必须关注的重要问题。黑客攻击、数据泄露和网络犯罪等事件频频发生，使得我们的个人隐私和财产安全面临严重威胁。那么，如何保护你的电脑不受...【详细内容】

2024-02-04　　佳慧慧　　　　Tags:黑客攻击　点击:(55)　　评论:(0)　　加入收藏

2024年需要高度关注的六大网络安全威胁

译者 | 晶颜审校 | 重楼创新技术（如生成式人工智能、无代码应用程序、自动化和物联网）的兴起和迅速采用，极大地改变了每个行业的全球网络安全和合规格局。网络犯罪分子正在转向...【详细内容】

2024-01-03　　　　51CTO　　Tags:网络安全威胁　点击:(113)　　评论:(0)　　加入收藏

终端设备通信网络安全防护方案

终端设备的网络安全是一个综合性问题，需要用户、组织和厂商共同努力，采取一系列的措施来保护终端设备的安全。终端设备网络安全防护方案主要包括以下几个方面：1. 强化用户身份...【详细内容】

2024-01-01　　若水叁仟　　　　Tags:网络安全　点击:(58)　　评论:(0)　　加入收藏

深入解析802.1X认证：网络安全的守护者

802.1X认证，对于很多人来说，可能只是一个陌生的技术名词。然而，在网络安全的领域中，它却扮演着守护者的角色。今天，我们就来深入解析802.1X认证，看看它是如何保护我们的网络安全的...【详细内容】

2023-12-31　　韦希喜　　　　Tags:网络安全　点击:(71)　　评论:(0)　　加入收藏

提升网络安全：ADSelfService Plus多重身份验证的关键

在当今数字化的时代，网络安全问题愈发突出，企业和组织面临着日益严峻的挑战。为了应对不断进化的网络威胁，越来越多的组织开始采用多层次的安全措施，其中多重身份验证成为了关键...【详细内容】

2023-12-27　　运维有小邓　　　　Tags:网络安全　点击:(88)　　评论:(0)　　加入收藏

企业如何应对网络钓鱼攻击的激增？

随着我们进入数字时代，网络犯罪的威胁继续以惊人的速度增长。在最流行的网络犯罪形式中，网络钓鱼仅在过去一年就出现了472%的攻击激增。企业在保护自己及其客户免受网络钓鱼诈...【详细内容】

2023-12-19　　　　千家网　　Tags:钓鱼攻击　点击:(90)　　评论:(0)　　加入收藏

推荐资讯

特斯拉官宣2024春季系	刘强东数字人直播带货
刘强东带火的数字人直	一文看懂：华为Pura 70
李彦宏新目标，押注AI原	工信部：加快6G、万兆光
万达电影正式易主实控	提高Windows操作系统