近日,勒索软件组织LockBit扬言获取了SpaceX近3000张“经过SpaceX工程师认证的图纸”,在勒索通知中LockBit表示要将图纸出售给其他制造商,除非马斯克在3月20 日前支付“保密费”。

SpaceX(美国太空探索技术公司),是一家由PayPal早期投资人埃隆・ 马斯克2002年6月建立的美国太空运输公司。主要设计、测试和制造运载火箭的部件,如Merlin、Kestrel和Draco火箭发动机。


令人惊讶的是,这些机密图纸并非来自SpaceX公司本身,而是来自其第三方供应商:为SpaceX项目生产零件的Max Industries公司。目前,Max Industries是如何被泄露的细节尚不清楚,但LockBit很可能使用了网络钓鱼电子邮件和社会工程,或者依靠内部人员访问了公司的系统。SpaceX(美国太空探索技术公司)机密图纸被窃取的事件,凸显出勒索软件攻击的威胁越来越大,第三方供应链的风险也大大增加!


国内供应链安全意识崛起

近年来,国家领导人在多个场合提及产业链供应链问题,强调“产业链、供应链在关键时刻不能掉链子,这是大国经济必须具备的重要特征”。

《关键信息基础设施安全保护条例》第十九条明确“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。”为控制关键信息基础供应链安全风险,国家陆续出台了相关制度,不断完善供应链安全保障体系。


企业应重点关注的问题

对于特定情境,企业可以考虑从以下几方面着手供应链安全:

01.安全风险

第三方供应链伙伴可能存在技术安全漏洞、隐私泄露、数据滥用等风险,这可能会导致企业的网络受到攻击或数据大量流失。因此,在选择供应链时,企业需要评估其安全风险情况,确保供应链处理数据的方式与企业的组织的安全策略一致。

02.合规要求

不同行业和国家的安全和隐私法规不同,选择的供应商是否符合当地的法律和行业标准也是一个重要的考虑因素。

03.安全框架

选择满足特定安全框架要求的第三方供应链伙伴,例如SOC2和ISO等,可以为企业提供额外的保证和信任。

04.监控检测

企业需要确保第三方供应链伙伴为企业提供足够的透明度,以便企业随时了解数据处理情况。


企业如何做好供应链管理?

规范供应链准入门槛,提高供应链网络安全防护能力是关键

国城供应链体系化解决方案

(一)供应商安全准入评测分析

方案内容:针对客户供应商的安全管理体系、产品安全性、服务交付过程进行检测分析,及时进行整改加固及效果验证。帮助客户提升供应商等合作单位的安全准入合规性,降低客户的网络安全威胁。

(二)供应商安全准入评测分析

方案内容:针对客户目标软件进行软件成分检测分析、开源组件安全评测,分析开源组件可能存在的安全风险和隐患,针对性提出优化完善解决方案,配合客户开展加固整改工作并验证加固整改的效果,降低供应链安全问题导致的目标软件安全威胁。

客户价值

1.规范供应商等合作单位的安全准入管理

2.避免攻击者利用软件供应链实施攻击

3.提高供应商等合作单位自身的网络安全防护能力

4.降低因为供应商而造成的网络安全威胁