网络电话(VoIP)公司3CX近日宣布,其Electron软件在一次供应链攻击中遭到入侵。攻击者被认为是与朝鲜有关联的国家行为体"迷宫天竺葵"组织,他们成功在3CX桌面应用程序中植入了名为TAXHAUL的木马化恶意软件,从而利用该漏洞应用程序在客户端实施进一步的恶意活动。
目前全球有超过24.2万套3CX电话管理系统处于公开暴露状态,且3CX拥有60万家企业客户。若防病毒工具未能识别并卸载3CX可执行文件,同时未能破解其休眠功能,此次软件供应链攻击将可能引发广泛的安全问题。
本文探讨了五项最佳实践,用于降低类似软件供应链攻击的风险。
减轻软件供应链攻击影响的五大最佳实践
在重大软件供应链安全事件发生后才确认组织是否具备第三方事件响应计划为时已晚。相反,应立即采取主动措施为下一次事件做好准备。以下五项最佳实践值得参考:
1. 建立所有第三方供应商的集中化清单
建立所有第三方供应商的集中化清单,能为供应商管理注入治理机制与流程规范,同时降低违规供应商关系给IT运营带来风险的可能性。供应商清单应通过集中化平台(而非电子表格)进行管理,以便多个内部团队参与供应商管理,并实现流程自动化,从而惠及所有相关方。
您可以通过电子表格模板或API连接现有采购解决方案,将供应商导入第三方风险管理平台,从而建立中央供应商库存。企业内部各团队应能通过集中化且可定制的录入表单及关联工作流,填充关键供应商信息。该功能应通过电子邮件邀请向全体人员开放,无需任何培训或解决方案专业知识。
在供应商集中管理后,需实施固有风险评分评估,以帮助您根据供应商对业务构成的风险,确定如何持续评估第三方供应商。
2. 构建第三方地图以确定技术集中度风险
在资产清点过程中收集供应商生态系统中部署的第四方技术,有助于基于特定技术使用情况识别贵组织与第三方之间的关联关系,从而可视化企业内部的攻击路径并采取主动缓解措施。您可通过定向评估或被动扫描实现此目标。
在3CX软件供应链攻击事件中,掌握采用Electron解决方案提供VoIP服务的供应商清单,有助于精准锁定需评估潜在恶意软件风险的供应商。应优先关注顶级供应商或业务关键型供应商,因其运营中断可能对贵组织造成更严重的冲击。
3. 评估第三方业务韧性与连续性计划
主动联系受影响的供应商,采用符合已知供应链安全行业标准(如NIST 800-161和ISO 27036)的简明精准评估方案。这些评估结果将帮助您锁定所需的补救措施,从而消除潜在的安全漏洞。
优质解决方案将提供工作流自动化、审查与分析、支持性证据管理以及内置建议功能,从而加速整改进程并迅速弥补这些缺口。
作为评估流程的一部分,要求软件供应商提供软件物料清单(SBOM)。SBOM不仅能详细列明构成软件的组件,还能阐明软件开发过程中采用的质量保证(QA)和安全评估流程。
4. 持续监控受影响的供应商和供货商,防范网络攻击
时刻警惕下一次攻击,意味着要捕捉即将发生的安全事件的征兆。必须持续监控犯罪论坛、洋葱网页、暗网特殊访问论坛、威胁情报源、泄露凭证粘贴网站、安全社区、代码仓库以及漏洞和黑客/入侵数据库。
您可以单独监控这些来源,也可以寻找将所有洞察整合到单一解决方案的方案,使所有风险集中化并可供企业全面掌握。将所有监控数据与评估结果关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及响应流程。
5. 测试您的第三方事件响应计划
自动化事件响应是缩短第三方事件的平均检测时间(MTTD)和平均响应时间(MTTR)的关键,从而降低事件对您运营的影响。
随着您不断完善事件响应计划:
- 利用集中化的事件与事故管理问卷,缩短响应时间,并简化及标准化评估流程。
- 实时追踪问卷填写进度,以降低潜在影响
- 使供应商能够主动报告事件,以补充背景信息并加快响应速度
- 使用工作流程规则触发自动运行程序,根据风险对业务的潜在影响采取行动
- 向供应商发布问题整改指导,以将风险降至贵组织可接受的水平。
通过将第三方事件响应集中到单一的企业事件管理流程中,您的IT、安全、法律、隐私和合规团队能够有效协同工作,从而降低风险。
加强软件供应链安全的下一步措施
采用手动、被动的方式处理第三方软件漏洞检测和事件响应,只会增加业务中断的风险。相反,请实施本文所述的五项最佳实践,为应对下一次供应链安全挑战做好更充分的准备。
欲了解Prevalent如何在供应商生命周期的每个阶段降低供应链风险,请阅读我们的白皮书《第三方事件响应检查清单》,或立即申请演示以获取战略咨询。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
