如何保护脆弱的供应链免受网络安全风险和攻击

传统的供应链安全解决方案缺乏复杂性和范围来解决链中每一层和每个环节的此类威胁，从而在保护供应链免受日益增加的网络威胁方面留下了巨大的漏洞。

供应链的领导者和提供商需要了解他们当前的安全漏洞所在，以及他们需要在哪里投资以避免网络攻击，以及潜在的永久性安全和声誉风险。

链条中的薄弱环节

供应链是一个自然的利用目标，因为它包含许多不同的活动、人员、实体、信息和资源。链条中的环节越多，攻击的机会就越多，特别是如果这些环节仍然容易受到攻击。

仅去年一年，我们就目睹了上述SolarWinds软件开发攻击，多次APT41（双龙）攻击，以窃取凭据并将恶意软件插入制造产品，甚至对富士康墨西哥工厂的勒索软件攻击。这涉及被盗的未加密文件、受损的加密服务器和已删除的备份数据。

安全性不当的供应链是一个非常脆弱的弱点，其中软件和其他数字信息（如设备身份）可能会被破坏、替换或复制，以实施欺诈、损害用户隐私，或者在某些情况下甚至损害国家安全。

保护证书、凭据和代码

安全问题的一个非常脆弱的领域是个人消费电子产品。其中许多产品（包括手机、平板电脑、电缆调制解调器、路由器、物联网设备和数字娱乐设备）都带有预安装的数字证书，用于保护私人用户信息。所有这些都是数字交易中的内容和服务提供商信息之外的。但是，即使在部署产品之后，这些证书中的任何一个的单一妥协也可能构成整个供应链的妥协。

这些设备的生产过程特别容易受到大规模利用数字证书的影响，并且随着许多供应链的彻底全球化，制造商可以从多个方向预测这些攻击。传统的工厂环境往往不受自然界的严格控制，可能无法充分保护加密材料。

此外，制造过程中的简单安全程序可能容易受到攻击。一个常见的例子是复制和备份数据和代码。无论是有意还是无意，这都可能导致唯一数字身份的重复 - 这是一种非常严重的安全违规行为。

凭据传送系统必须确保安全凭据不易受到网络攻击，并且不会安装到多个设备或应用程序中。管理设备证书和凭据是供应链安全的关键要素。

确定安全配置的优先级

为了安全地管理数字证书和凭证，供应链配置架构必须全面，涉及多层加密和完整性检查，以确保整个供应链保持安全 - 即使特定的网络节点或加密层受到威胁。

安全团队必须纳入一个框架，其中包括广泛使用硬件安全模块、加密令牌、多层加密和端到端反克隆措施，这些措施可以扩展到整个全球基础设施。

寻找正确的解决方案

康普已经建立了一个托管解决方案。考虑到这些元素，安全凭证配置的系统体系结构优先考虑合并密钥生成、PKI 服务器（具有硬件安全性的密钥服务器），并将软件开发工具包 （SDK） 直接集成到制造设备的软件和固件中。

在这样的架构中，需要注意的关键要素是应用多层安全作为纵深防御策略的一部分，确保在任何一个层发生故障时实现故障保护。在设置自己的系统或与供应商合作时，请确保解决方案包含这种多层策略，无论是反克隆措施还是在短时间内（或理想情况下，两者兼而有之）扩展到数百万个新数字身份的灵活性。

有了正确的意识，以及正确的技术、托管服务和经验丰富的安全专家团队，服务提供商可以确保其固有的脆弱供应链不会成为网络犯罪的受害者。

审核编辑：郭婷