供應鏈安全：利用NDR應對網路威脅

供應鏈對於企業運營至關重要。因此，確保所需的連結不會為網路犯罪分子提供模糊的入侵途徑是非常重要的。這使得供應鏈安全成為全球各組織的重大關注事項。

那些決心突破安全防線並在網路上建立持久存在的犯罪集團，逐漸開始瞄準供應鏈中的弱點。透過單一的切入點，他們可以攻擊多個組織。Progress Flowmon Network Detection and Response (NDR) 能夠偵測出來自供應鏈的攻擊活動。

我們最近舉辦了一場網路研討會，介紹如何使用 NDR 來偵測和抵禦供應鏈攻擊。繼續閱讀以深入了解所提出的主要要點、應對這些複雜威脅的策略、實際案例以及加強供應鏈安全的實用建議。您也可以在這裡觀看完整會議：

什麼是供應鏈？

貼心提醒：建議開啟自動翻譯字幕（中文），讓您更輕鬆掌握影片重點。

在網路研討會開始時所定義的供應鏈包含了整個製造和交付過程，將產品從概念轉化到最終使用者。這包括了原材料、供應商、製造商、分銷商、客戶和消費者。

這條鏈中的每個連結都代表著攻擊者可以利用的潛在弱點，以影響相關的組織。供應鏈攻擊特別有效的原因在於我們對供應商的內在信任。組織往往會在沒有意識到的情況下，從可信賴的廠商那裡導入新的設備、軟體或技術，而在這一切的上游，攻擊者可能已經妨害了這些元素的完整性。

供應鏈攻擊範例

為了讓觀眾了解這些攻擊的內容及其造成的損害，網路研討會中介紹了兩起成功的供應鏈攻擊：

Target Corporation – 這起發生於2013年11月的攻擊事件導致了4,000萬張信用卡號的被盜，但特別有趣的是攻擊者是如何獲得進入的。攻擊者並沒有直接突破Target的安全系統，而是攻陷了一家位於賓夕法尼亞州的HVAC供應商，該供應商負責維護Target的空調系統。

攻擊者透過一封電子郵件向暖通空調（HVAC）公司傳送了惡意軟體，這使得他們能夠竊取技術人員用來訪問Target網路的VPN憑證。一旦進入，攻擊者發現Target的網路缺乏適當的分段，使他們能夠接觸並感染全美1,800家商店的每一台收銀機。這次攻擊突顯了看似無關的第三方供應商如何成為攻擊者的入口，強調了增強供應鏈安全措施的必要性。

CrowdStrike – 這起臭名昭彰的2024事件展示了供應鏈問題如何引發連鎖效應。雖然這不是一次惡意攻擊，但一個受損的軟體更新影響了850萬台Windows設備，造成航空公司、醫療系統和金融服務的廣泛干擾。許多組織目前仍在處理此事件的後果，包括技術上的挑戰以及在法庭上針對CrowdStrike和其他相關方的訴訟。

供應鏈攻擊的影響

供應鏈攻擊可以以多種形式發生，包括圖1中所示的那些形式。

每個因素對受影響的組織都會產生不同的影響。這些影響包含：

• 財務損失：資料外洩可能導致重大的財務損失，例如信用卡資訊被盜用及智慧財產權被竊取。
• 營運中斷：攻擊行為可能會干擾關鍵系統及商業運作，導致停擺、生產力下降及客戶不滿。
• 聲譽損害：供應鏈攻擊可能對組織的聲譽造成嚴重損害，侵蝕客戶信任度，影響未來的商機。
• 法律與監管影響：組織可能面臨法律後果和罰款，因為未能妥善保護敏感資料。特別是如今NIS2法規即將在歐盟生效。

不過數據顯示，整體來說，供應鏈攻擊的趨勢是朝正確的方向發展，因為風險意識逐漸擴散，而且採取了更多的保護措施。例如，Statista報告指出，在2023年，全球約有138,000名客戶受到供應鏈網路攻擊的影響，比起2019年受影響的2.63億人數有大幅下降。不過，同樣的報告顯示，在2024年有183,000名客戶受到影響，顯示這個問題仍在持續存在。

改善供應鏈安全的建議

此次網路研討會涵蓋了一些基本的網路安全原則，這些原則有助於加強供應鏈（及其他類型）攻擊的防禦能力。這些原則可分為三個類別：

• 政策與程序
  • 詳盡記錄所有政策與程序
  • 為受信任的供應商建立明確的指導方針
  • 實施健全的治理框架以進行監控與識別
• 風險委員會
  • 組建跨功能團隊，包含IT、法律及財務的專家
  • 在這個團隊中制定端對端的風險管理策略
  • 在選擇過程和審計中將安全風險與其他商業風險整合
• 零信任架構
  • 實施一個框架，在默認情況下不信任任何人
  • 要求每一個嘗試訪問網絡資源的人都需進行驗證
  • 對內部和外部訪問始終如一地應用此原則

使用 NDR 解決方案來獲得深入的網路流量可見性、主動偵測異常行為並迅速回應事件也是非常重要的。NDR 工具能提供對於供應鏈攻擊的寶貴見解，協助安全團隊識別來自被攻擊廠商的惡意活動。

供應鏈攻擊的逐步指南：使用網路偵測光學

在這場線上研討會中，使用了實際情境，涉及一個被入侵的客服系統，以說明 Flowmon NDR 如何幫助偵測和應對供應鏈攻擊。這個演示利用了圖2中顯示的8個供應鏈攻擊階段。
這八個階段可以分為三個群組（更深入的內容請參考錄音）——而 NDR 解決方案可以在每個接觸點上提供協助：

• 偵察與初始存取
  • 透過使用NDR解決方案，偵測可疑活動，例如橫向TCP SYN掃描或未知IP地址
  • 識別偵察活動的早期預警徵兆
• 發現、憑證存取與橫向移動
  • 偵測攻擊者進行的網路掃描，例如ARP設備列舉與垂直TCP掃描
  • 透過行為分析來識別異常的網路模式
  • 標記對像SSH等服務的密碼噴灑攻擊
• 收集、外洩與影響
  • 偵測對DNS服務的利用嘗試
  • 透過行為基礎的方法識別數據收集與外洩活動
  • 監控並報告服務中斷與系統不可用情況

Flowmon NDR 提供安全團隊完整的攻擊生命周期視圖，透過深入的網路可見性和先進的分析功能來實現。藉由事件相關聯和利用威脅情報，Flowmon NDR 能夠及時偵測、調查和回應，以減輕供應鏈攻擊所造成的損害。它的運作方式如下：

• 進階威脅檢測能力
• 即時網路流量分析
• 自動化回應機制
• 全面能見度於混合雲環境中

結論

Flowmon 解決方案為 IT 團隊帶來許多好處，例如：

• 透過客製化的儀表板、警報及報告，提升對網路流量的可視性
• 自動偵測威脅並早期辨識入侵指標
• 監控網路效能，以顯示任何報告的問題是因為網路還是應用程式的問題
• 透過易於理解的語言提供自動分析與根本原因建議，基於像是 MITRE ATT&CK 的框架
• 提供解決問題、事件後分析或基礎設施升級規劃所需的數據

想了解更多關於 Flowmon 解決方案的資訊，可以查看 這個概述頁面。你也可以 索取 Flowmon NDR 的示範，快速了解它將如何讓你的網路安全更具彈性，以及讓你的網路監控變得更加透明且實用。