方案背景

近年來，供應鏈網(wǎng)絡安全威脅層出不窮，不論是第三方軟件有后門，還是出口安全設備被繞過，攻擊者將更多的目光盯在了這些供應鏈資產(chǎn)上，一旦被攻破將直接威脅到整個內(nèi)網(wǎng)的安全，讓用戶頭疼不已。一方面，供應鏈攻擊可以幫助攻擊者繞開層層封堵的安全防護措施，直接從內(nèi)網(wǎng)進行破壞，甚至能夠在上下游單位間來回滲透；另一方面，由于信息泄露、管控手段覆蓋面不足等問題，供應鏈的安全風險也變得越發(fā)復雜且難以控制，成為網(wǎng)絡安全管理的一大難題。

完整的供應鏈覆蓋了從開發(fā)設計到交付實施再到用戶使用的各個環(huán)節(jié)，包含了整個過程中涉及的人員、系統(tǒng)和各項制度規(guī)范等內(nèi)容，牽扯到最終用戶和各級供應商，其中每個環(huán)節(jié)的信息泄露都有可能成為網(wǎng)絡攻擊的突破口，概括而言，供應鏈攻擊具備突破口多、破壞力強和波及面廣等特點，一次成功的攻擊通常會威脅到多方面的網(wǎng)絡安全，而管理缺失、資產(chǎn)不清、非法接入、地址濫用、弱口令或無鑒權(quán)等各種問題則是造成這些風險的主要原因。

常見的供應鏈攻擊手法有如下幾類：

◆ 供應鏈漏洞，利用0day、Nday或其他漏洞突破邊界，進行最直接有效的攻擊；

◆ 供應鏈后門，利用預留調(diào)試用后門、內(nèi)置口令等方式進行入侵；

◆ 供應鏈污染，通過植入木馬等方式，對所有用戶進行無差別攻擊；

◆ 供應鏈社工，人始終是的漏洞，介入人員角色越多、攻擊面越大，利用管理的薄弱點進行攻擊是最難防范的風險之一。

針對供應鏈的安全風險，當前已有一些解決方案可以在不同階段來發(fā)揮作用。在開發(fā)階段，現(xiàn)在主流的有DevSecOps方法，強調(diào)將安全貫穿到從開放到運營過程中的每個環(huán)節(jié)。這種方法能夠解決安全開發(fā)的問題，但難點在于周期長、難度大，因此效果也因人而異；在交付階段，目前有相關(guān)的入網(wǎng)檢測評估體系和評測機構(gòu)，但覆蓋面仍然不足，支持檢測的廠商有限；而在使用階段，盡管已經(jīng)有豐富的威脅防御和態(tài)勢感知體系，但持續(xù)性的安全運營需要不斷投入，無法確保有效。因此對于用戶而言，難以*避免供應鏈安全風險，只能將風險進行合理的控制，確保供應鏈管理信息安全可靠，問題風險安全可控，即保證供應鏈暴露面的網(wǎng)絡安全。

需求痛點

供應鏈的暴露面主要包含資產(chǎn)的暴露面、風險的暴露面和管理的暴露面，常見的問題有資產(chǎn)管控不當、漏洞修復不及時和敏感信息外泄等，因此從供應鏈安全的角度，首先要梳理清楚以下要點：

◆ 摸清供應商；

◆ 摸清網(wǎng)絡結(jié)構(gòu)，摸清網(wǎng)絡資產(chǎn)、工控資產(chǎn)、物聯(lián)網(wǎng)資產(chǎn)、IT資產(chǎn)；

◆ 摸清資產(chǎn)的組件和密碼；

◆ 摸清外網(wǎng)泄露的文檔、拓撲、組織架構(gòu)、代碼；

◆ 摸請供應商招聘信息，實時監(jiān)測和對比供應商商品安全狀況；

◆ 摸清單位及其供應商泄露的集團用戶電話、郵箱賬號，短信和郵件釣魚事件。

◆ 摸清源代碼、VPN、OA等關(guān)鍵系統(tǒng)的泄露信息和漏洞信息。

在此基礎(chǔ)上，通過設立對應的安力來摸清家底、減少暴露面并加強問題監(jiān)測與處置，斬斷攻擊鏈的路徑，是供應鏈網(wǎng)絡安全治理的關(guān)鍵。

詳細方案

針對供應鏈攻擊過程涉及的內(nèi)外部關(guān)鍵環(huán)節(jié)，盛邦安全制定了一套基于外防內(nèi)控的供應鏈網(wǎng)絡安全治理方案。在外部，一方面加強對外網(wǎng)當中供應鏈敏感信息泄露的監(jiān)測與清理，另一方面加強對互聯(lián)網(wǎng)邊界暴露面網(wǎng)絡資產(chǎn)的探測與監(jiān)控；在內(nèi)部，針對內(nèi)網(wǎng)各網(wǎng)絡設備、安全設備和業(yè)務系統(tǒng)，進行自動化的滲透測試與綜合防護，強化對高危風險的精準發(fā)現(xiàn)和對未知威脅的主動防御。除了安全技術(shù)的加強之外，在管理上也進行配套的制度和規(guī)范設計，針對供應鏈環(huán)節(jié)、網(wǎng)絡管理和系統(tǒng)管理等層面，設定相應的安全審核制度與安全配置基線，確保技術(shù)與管理并行強化。同時再通過引入多維度的安全服務能力，提升常態(tài)化的風險管理能力與實戰(zhàn)化的安全保障能力。

核心技術(shù)

【供應鏈敏感信息泄露監(jiān)測技術(shù)】

根據(jù)用戶相關(guān)的線索信息，例如供應商信息、組織信息、網(wǎng)絡信息等關(guān)鍵詞，利用信息泄露監(jiān)測引擎在各種知識庫、文庫、網(wǎng)盤云盤、網(wǎng)站和第三方代碼平臺等位置進行實時監(jiān)測，發(fā)現(xiàn)并提取用戶相關(guān)的敏感信息，例如泄露的郵箱、電話、招標信息或源碼信息等，之后再利用智能的數(shù)據(jù)處理算法進行降噪處理和關(guān)聯(lián)分析，從而找出準確的泄露信息，之后再及時進行預警與清理。

【暴露面網(wǎng)絡資產(chǎn)探測技術(shù)】

通過主動探測的方式，一方面對用戶網(wǎng)絡暴露面上存活的資產(chǎn)進行發(fā)現(xiàn)，并利用豐富的資產(chǎn)指紋信息對其進行識別與畫像分析，另一方面從行業(yè)維度、地域維度和運營維度對其組織結(jié)構(gòu)進行梳理，進一步完善暴露面資產(chǎn)信息，最后再利用資產(chǎn)脆弱性檢測能力對暴露資產(chǎn)的敏感端口、風險服務以及弱口令、漏洞等風險進行摸排，最終找到暴露面的未知資產(chǎn)、違規(guī)在運資產(chǎn)、過期未退運的資產(chǎn)、高危資產(chǎn)以及非必要開放的服務等風險，并及時進行整改或下線等處置。

【自動化網(wǎng)絡安全偵測技術(shù)】

按照目標、風險排查、風險確認和滲透利用的邏輯，逐層遞進的發(fā)現(xiàn)可利用風險，并利用滲透后獲取的權(quán)限進一步執(zhí)行本地的痕跡調(diào)查與取證工作，最終指導系統(tǒng)完成安全加固工作。偵測的準確性一方面依賴對特定系統(tǒng)和熱點漏洞的檢測能力跟蹤，另一方面依賴安服滲透人員的經(jīng)驗轉(zhuǎn)化，將滲透能力高度集成化和自動化。

【業(yè)務安全綜合加固技術(shù)】

針對傳統(tǒng)的安全防護體系，重點補充威脅情報、蜜罐保護、隱蔽通道檢測和非法外聯(lián)檢測的能力，提升對未知威脅、隱蔽威脅和內(nèi)網(wǎng)橫向滲透威脅的發(fā)現(xiàn)與防御效果，從而提升整體的主動防護能力，做到綜合加固。

【實戰(zhàn)化的安全服務能力】

利用實戰(zhàn)化的安全服務能力來輔助整套方案進一步提升，結(jié)合多年來原創(chuàng)漏洞的挖掘積累和豐富的演練實戰(zhàn)經(jīng)驗，我們可以為用戶定制針對性的安力提升方案，包括安全培訓、安全意識的訓練、演練的模擬等，使用戶在人員、管理和技術(shù)上都能得到整體的提升。

方案特點

【監(jiān)控敏感信息，消除泄露風險】

針對互聯(lián)網(wǎng)當中可能泄露的敏感信息，例如招投標信息、源代碼信息、網(wǎng)絡結(jié)構(gòu)信息和個人聯(lián)系信息等，可以通過互聯(lián)網(wǎng)敏感信息監(jiān)測系統(tǒng)進行有效的發(fā)現(xiàn)與處置。一方面利用自動化的平臺監(jiān)測能力來實現(xiàn)分鐘級的發(fā)現(xiàn)效率，為應急處置爭取足夠的響應窗口；另一方面根據(jù)發(fā)現(xiàn)的數(shù)據(jù)結(jié)果來進行快速處置與清理，確保威脅隱患得到消除。

【梳理暴露資產(chǎn)，厘清安全邊界】

對于網(wǎng)絡當中運行的資產(chǎn)，可以采用網(wǎng)絡空間資產(chǎn)探測系統(tǒng)進行精準梳理和安全檢查。一方面對互聯(lián)網(wǎng)暴露面進行排查，發(fā)現(xiàn)非法開放的端口服務和信息系統(tǒng)；另一方面針對內(nèi)網(wǎng)進行全面探測，獲取設備類型、系統(tǒng)組件、應用版本和網(wǎng)絡環(huán)境等基本屬性，形成清晰的資產(chǎn)臺賬，并依靠豐富的漏洞庫及監(jiān)測技術(shù)來對設備風險進行排查。

【嚴控資產(chǎn)入網(wǎng)，提升防護強度】

針對資產(chǎn)的管控，可以利用網(wǎng)絡資產(chǎn)安全治理平臺與防火墻、入侵防御系統(tǒng)的聯(lián)動來進行實現(xiàn)。對于新接入的資產(chǎn)，通過資產(chǎn)梳理進行畫像分析，確定入網(wǎng)條件并調(diào)用網(wǎng)關(guān)設備進行訪問控制；對于存在問題的資產(chǎn)，通過資產(chǎn)監(jiān)測進行安全分析，確認問題風險并調(diào)用防護設備進行快速處置。

方案價值

【內(nèi)外部持續(xù)的監(jiān)測，讓供應鏈安全更清晰】

本方案提供的監(jiān)測能力既可以幫助用戶監(jiān)測自身暴露面的安全風險，又可以監(jiān)測互聯(lián)網(wǎng)當中其他位置可能暴露的風險因素，用戶可以全面和直觀的監(jiān)控供應鏈安全狀態(tài)，及時做出清晰準確的判斷。

【自動化工具的配合，讓滲透檢查更高效】

本方案提供的檢測能力將復雜的暴露面排查和滲透測試變得自動化和簡單化，可以讓用戶在人員力量有限的情況下仍能開展高級滲透測試，一方面減少了專業(yè)人員成本的反復投入，另一方面也通過自動化工具的實現(xiàn)提升了整體的工作效率。

【新安全技術(shù)的應用，讓安全防護更有效】

本方案提供的威脅檢測與防御能力，可以對傳統(tǒng)安全手段做進一步的補充，提升對復雜威脅、隱蔽威脅和未知威脅的預警與處置能力，使安全防護工作更加主動有效。

相關(guān)產(chǎn)品