real sex porn dirtyindianporn.mobi school girl sexy picture 5 min sex video pornindianvideos.pro full xvideos exbii sex allnewindianporn.pro baloch girls sex bangalore freesexyindians.pro indiansixy video border bhojpuri film letmejerk.fun idian porn
kamapisachi sex com indianpornbase.pro negro sex video download telugu x kathalu turkishxxx.online tamilnadu school uniform indian big women sex turkishsex.online moviewood.me desi fudi com turkishpornvideos.pro swamiji fucking xxx sex bp animalwomanxxx olx kanpur turkishxxx.mobi night suit for women
bangali sex vedio turkishporn.pro indian vidio sex sri reddy porn videos turkishpornography.pro lucky villager xxxvwww turkishporno.mobi desimmsclips porn sleeping aunt turkishsex.pro red wap sex kamlesh saini mms turkishhdporn.pro ghrelu sex
名家觀點
博客・吳老闆週記・資本政經

黃永昌:供應鏈攻防戰


荷里活電影「變形金剛」的經典場景,是每個機械人,都能以獨有的偽裝隱藏自己外星金剛的身分,由貨車、跑車到飛機都有。在現實的網絡世界,原來也有不少惡意軟件(Malware),偽裝為正當的開放源軟件,讓用戶下載使用,這是一個不可忽略的網絡安全風險。

 

根據歐盟在2021年7月發布的軟件供應鏈攻擊(Supply Chain Attack)研究報告,由2020 年 1 月至 2021 年7 月上旬,總共有 24 宗供應鏈攻擊的報導,當中大約 50% 的攻擊,來自著名的 APT 黑客組織。大約 62% 的攻擊,利用了客戶對供應商的信任而作出,採用的攻擊技術就是惡意軟件(Malware Attack)。

 

在考慮攻擊目標時,66% 的個案涉及供應商的源代碼上,並得以進一步攻擊目標客戶。該研究報告還羅列了用於攻擊供應鏈的各項技術,例如REvil勒索軟體,就專門利用IT 軟件供應商 Kaseya進行攻擊。 Kaseya全球共有3.7萬的企業客戶,涵蓋金融及各國政府單位;REvil把Kaseya官網提供的軟體,全部換成了勒索病毒,所有使用 Kaseya 軟體的公司,都因而暴露在勒索病毒中。

 

企業關注供應鏈攻擊

 

2020年底,SolarWinds遭駭客入侵,導致國家級駭客透過供應鏈攻擊美國財政部與商務部,做成的潛在風險更加難以想像,而要將潛在的惡意程式清零,更是難上加難。

 

供應鏈攻擊利用了客戶和供應商相互聯繫的全球市場,當多個客戶依賴同一供應商時,針對供應商的供應鏈攻擊,後果會更被放大,其影響規模,可以是全國性甚至國際性的。歸根究底,供應鏈的存在,對最終客戶來說是不透明的,尤其是軟件產品,勒索軟體可以完全隱藏於源頭難以追溯的軟件之中。

 

根據該歐盟研究報告,當用戶對網絡攻擊的保障提高了,黑客的注意力,就轉移到供應商身上。當供應商成為供應鏈上最薄弱的一環,客戶就需要以零信任的態度,去評估並考慮其供應商的產品和網絡安全的整體質量,包括他們是否應用了安全的開發程序,以及嚴謹的開放源代碼管理,並進行風險評估和推進更多的盡職審查。

 

供應商應實施有效漏洞管理

 

該報告亦提出一系列的保安措施,例如為了管理供應鍊的網絡安全風險,客戶應該為不同類型的供應商和服務,制定風險標準,例如重要的供應商和客戶依賴關係、關鍵軟件依賴關係等等,再根據自己的業務關鍵性影響,評估和要求評估供應鏈風險,並基於零信任的標準,去審查內部和外部關於供應商的保安成效,以評估供應鏈風險和威脅。

 

此外,客戶應有效地管理供應商在產品或服務的整個生命週期,包括處理報廢產品或組件的程序,對與供應商共享或授權供應商查閱的資料,進行分類,並定下相關的保安監控,包括供應商人事上的審查,保安措施如在漏洞、補丁、安全要求等的處理,並同時管理供應商系統更新的流程,例如工具、技術等保安檢查。而由於現在軟件產品或服務,都易受漏洞影響,因此供應商亦應實施有效的漏洞管理程序。

 

IT行業的龍頭谷歌,亦於 2021 年 6 月,推出了一個端到端的保安框架,用於確保整個軟件供應鏈中軟件的安全和完整性,稱為 SLSA(軟件供應鏈級別評估)。SLSA 的目標,是改善行業的開放源管理,以抵禦軟件供應鏈攻擊,而不是所有其他類型。

 

然而,企業即使在供應鏈上痛下苦功,盡力保障每個供應商環節,都絶不可放鬆自身的保安措施,例如積極了解國際上應對供應鏈攻擊的發展,應用在自己的網絡上,以及在自身網絡上,推行零信任之監控,拒絕所有網絡上有可疑的對內外之連繫,而且推廣員工保安教育,同時採用創新的思維,去加強每個保安環節,令黑客更難有效進行攻擊。大家都要好好裝備自己,去預備打這場攻防戰。

 

 

撰文:黃永昌

香港電腦學會網絡安全專家小組委員會成員

Related Articles