攻击比例持续骤涨？不容忽视的供应链安全！

发布时间：2022-03-11 16:00 所属栏目：53 来源：互联网

导读：如今，大数据、云计算、人工智能等新兴科技产业的快速发展和广泛应用，对传统业态产生了强烈的冲击，全球产业供应链系统面临着前所未有的变革，供应链安全成为网络安全体系面临的重要挑战。虽然供应链攻击由来已久，但近年来，其规模、复杂性及频率都在急剧

如今，大数据、云计算、人工智能等新兴科技产业的快速发展和广泛应用，对传统业态产生了强烈的冲击，全球产业供应链系统面临着前所未有的变革，供应链安全成为网络安全体系面临的重要挑战。

虽然供应链攻击由来已久，但近年来，其规模、复杂性及频率都在急剧增加。欧盟网络安全局 (ENISA) 于2021年7月发布的《供应链攻击威胁局势报告》中也强调了这一点。

此外，在近期中国产业互联网发展联盟指导下发布的《2022产业互联网安全十大趋势》中也强调，供应链安全风险从隐性变为显性。据Check Point 的《2022 年安全报告》显示，2021 年全球供应链攻击同比增长了 650%。

Imperva曾分享的五种典型的攻击方法：

利用供应商的产品进行注入（典型的如SolarWinds事件）
利用第三方应用程序（如邮件/浏览器漏洞）
利用开放源代码库中包含的漏洞
依赖关系混淆
恶意接管（担任社区项目维护者，注入恶意代码）
在以上五种供应链攻击方法中，有的攻击企业可以提前预防，但是有的攻击企业则束手无策。依赖关系混淆可以通过正确配置制品库进行阻止。利用第三方应用程序和利用开放源代码库中包含的漏洞，可以通过及时升级或者利用安全公司提供的补丁进行缓解，但是针对供应商产品注入和恶意接管方面目前并没有比较有效的通用方案。

近日，美国国家标准与技术研究所（NIST）发布了关于确保软件供应链安全的最新指导，以响应政府旨在加强国家网络安全的行政令。据悉美国还建立跨部门产业供应链安全组织保障体系，多维度建立国家产业供应链安全战略体系，强化产业供应链安全立法体系建设，注重国家产业供应链安全政策研究，并强化产业供应链风险评估和安全审查。

随着越来越多的国家广泛应用现代信息技术，德国政府从政策层面上积极推动本国产业供应链向智能化、信息化方向发展，在信息通信技术基础之上的 CPS 系统构建智能工厂，构建智能制造供应链网络，不断提高制造业竞争力。

我国宏观层面对推动产业供应链发展给予了高度重视，微观层面为推动产业供应链发展不断赋能，企业不断拓展产业供应链发展的全球布局。

多年来，我国相继出台了供应链安全管理国家标准《信息安全技术 ICT 供应链安全风险管理指南》(GB/T 36637-2018)、发布了《信息技术产品供应链安全要求》征求意见稿、拟研究制定《信息安全技术软件供应链安全要求》，

以实现供应链的完整性、保密性、可用性和可控性安全目标，规定信息技术产品供应方和需求方应满足的供应链基本安全要求，并提升国内软件供应链各个环节的规范性和安全保障能力。

（编辑：ASP站长网）