以零信任安全策略 迎戰軟體供應鏈攻擊
在當今數位化的世界中,軟體供應鏈安全(Software supply chain, SSC)已成為企業安全策略中不可忽視的一環。根據Verizon Business 2024資料外洩調查報告指出,15%的外洩事件是與第三方或軟體供應鏈、代管商基礎設施有關。而Sonatype在2022年的調查報告更顯示,軟體供應鏈攻擊事件在過去3年中成長742%,各項數據都顯示軟體供應鏈攻擊的風險正在急速上升中。對此,賽門鐵克提出從網路存取、端點、核心系統及資料安全等方面來實施安全策略,以協助企業應對軟體供應鏈攻擊的挑戰,保護其數位資產與資料安全。
什麼是供應鏈攻擊?
軟體供應鏈攻擊是一種透過攻擊第三方服務提供商或軟體供應商,而不直接對目標企業發動攻擊的手段。攻擊者通常會利用這些受信任軟體的弱點或漏洞,植入惡意程式碼來滲透進入目標企業的網路系統與SSL VPN,尤其是市場上的大廠常常成為駭客研究的對象。這類攻擊的潛在影響巨大,不僅可能導致企業機密資料的外洩,還可能影響公司品牌信譽,造成財務損失。
此外,根據NIST定義,軟體供應鏈攻擊可分為三階段。在第一階段入侵情境中,由於從開發環境下手效率最高,因此開發環境已經成為主要的攻擊途徑──在開發完畢的軟體中預先埋入惡意程式,等待發送就能直接運作。加上現今許多企業己經採納遠距辦公的模式,或是自帶裝置(BYOD)上班等因素,這也使得供應鏈系統更容易成為攻擊者鎖定入侵的目標。
要降低軟體供應鏈安全風險,賽門鐵克建議企業可從網路存取面、端點以及核心系統等層面來強化安全防護,最後再落實資料安全,這也是所有防護最終的目的。
賽門鐵克從網路存取、端點、核心系統及資料 四層面強化軟體供應鏈安全
1. 零信任網路存取(ZTNA)
首先就網路層面來看,過去許多企業透過VPN讓遠端員工或合作夥伴來存取企業系統,但VPN存在多種安全風險,包括存取權限無法控制,且員工對外連上網際網路須繞回企業總部做資安控管看是簡化了安管成本但確造成使用者體驗不佳及更多的叫修服務,由於VPN提供完全網路存取的權限,容易增加被攻擊風險。不僅如此,在管理上每當對VPN進行更新或組態調整時,對系統維運人員來說都是一大負擔。
賽門鐵克建議將所有對外提供服務的系統,包括供應鏈的應用服務放入零信任網路存取(Zero Trust Network Access, ZTNA)當中,透過賽門鐵克的ZTNA解決方案Security Access Cloud(SAC),當遠端使用者需要存取該服務時,須先經過身分認證,通過後可以到應用程式入口網站後即可看到授權可使用的應程式圖示,在存取應用程式時還得通過管理者所設定的條人才能完成該應用式的連線。而使用者不需要安裝代理程式,即可進行應用程式層級的連接及條件式存取(Conditional Access),應用程式存取在 ZTNA上可以控管使用時間、來源IP、來源國家、是否為公司配發的裝置、憑證、多因素認證等,且所有的連線互動操作都留下記錄以便於審查。
2. 端點安全
賽門鐵克端點安全完整版(SESC)是賽門鐵克軟體供應鏈安全解決方案的第二個關鍵組成部分。SESC能提供多層次的防護,從流入封包的入侵偵測防禦、端點偵測與回應,到近期的落地生根攻擊或稱就地取材攻擊(Living-off-the-Land),能去偵測記憶體是否受到竄改。它還具備自適應防護功能,能學習企業使用者在應用環境的操作行為與習慣,當異常存取行為出現時直接阻擋。
同時,SESC也能偵測源自於內部網路的威脅,即使惡意封包在內部橫向移動未穿過閘道,透過SESC的端點IPS功能也能立即偵測提供防護。此外,近期SESC也加入生成式AI的技術,讓惡意程式的偵測更精準、並讓IT維運管理更有效率。透過這些功能,能在端點設備即時偵測軟體供應鏈攻擊的活動行為,維持企業整體網路安全。
3. 主機安全 Data Center Security
而對於企業最重要的核心系統主機保護,賽門鐵克提出的數據中心安全解決方案(DCS)可針對企業核心系統,通過將主機隔離,防止未經授權的行為發生。這能有效防止來自內外部的攻擊,並確保企業的關鍵數據不受侵害,更可有效降低零時差攻擊及新漏洞的資安威脅,同時緩解EOL舊系統對企業用戶帶來的資安挑戰。
4. 資料外洩防護 Data Loss Prevention
前面從網路存取、端點到核心主機,不管哪個面向都需要做到資料保護。賽門鐵克的資料外洩防護(Data Loss Prevention, DLP)不只是產品,而是融合行之有年的四階段導入方法,首先是資料可視化,須看得到這些資料;接著修正有問題的資料管理流程;第三、透過教育訓練與通知,讓員工了解不適當的資料處理行為;第四則是啟動阻擋功能,主動擋下資料外洩事件。 💡延伸閱讀... .雲地協同保護企業資料安全:Symantec DLP的零信任防護策略大解析
針對軟體供應鏈攻擊,賽門鐵克建議企業應進行全面性的防護措施,從ZTNA、端點安全、主機安全與DLP等部署安全策略,才能在面對數位安全挑戰時保護企業核心資產。
Comments