反思：特斯拉监控摄像头被入侵，木桶理论下如

3月10日下午，特斯拉回应称已采取措施停止摄像头联网及工作。此次事件属于典型的供应链攻击事件。此前，360安全大脑发布的年度《2020全球高级持续性威胁APT研究报告》中曾强调，供应商演变成全行业的安全短板。

15万摄像头中招，供应链攻击风波不断

公开信息显示，不法黑客通过网络渠道，找到了Verkada公司管理系统的一个有效证书，由此成功登录到该公司超级管理员账户。随后，不法黑客凭借着超级管理员账户的身份，不受限地窥视数万个摄像头的实时信息。除了特斯拉，这些摄像头所拍摄的场景还包括了软件供应商Cloudflare、医院、诊所、公司、警察部门、监狱、学校、精神病院等组织机构。

?

供应商摄像头下的特斯拉中国工厂

?

从技术角度来看，供应链攻击并不是什么新兴的攻击手法。早在2015年就有苹果应用程序编译器Xcode被植入恶意代码的XcodeGhost事件；2017年NetSarang旗下Xshell软件的关键模块被植入高级后门的XshellGhost事件；2019年华硕ASUS Live Update更新服务被植入木马的供应链攻击事件等等……

?

而发生在去年12月，针对Solarwinds公司实施的供应链攻击“落鹰行动”，更是史上最严重的供应链攻击。360安全大脑第一时间对此安全事件进行了预警，并独家发布了此事件的完整揭秘分析报告，360安全大脑发现了SolarWinds供应链攻击事件中数百家组织机构的失陷信息，这些组织机构共涉及31个国家，全球数百家重要核心组织机构陷落，给安全业界敲响了长鸣的警钟。

供应链攻击趋向常态主流化，安全警钟长鸣

?数字时代供应链云化、物联网化、全球化的趋势下，供应链攻击成为政企多端网络安全建设的隐形短板。一旦不法黑客瞄准供应链上的任何一家企业，都可能以此为突破点，同时攻击整个链条上数十、数百甚至数千个合作伙伴。

?

360安全大脑《2020全球高级持续性威胁APT研究报告》中，就直接将供应链攻击列入年度十大核心攻击技术之一，可见其迫害性与高发率。360安全大脑今年捕获多起供应链攻击事件，涉及海莲花、Darkhotel等多个APT高级威胁组织。我们要警惕，以供应商为核心目标的供应链攻击将常态主流化，防御供应链攻击成为了政企多领域客户的新问题。

?

在APT攻击越来越多地转向供应链利用的背景下，没有供应链的网络安全管理，特别是面向工业企业，对我国关键基础设施和工业互联网的运营和发展，存在巨大的隐患。因此360政企安全集团给出如下安全建议：

1、工业安全事件绝大多数都利用了供应链攻击的手段，因此工业企业的供应链管理，不能只是一味的去考虑供应链存在“断供”的问题。更应该在供应链管理加强网络安全的监测、检测和溯源；

2、应对供应链攻击，尤其是依托国家背景支撑的APT攻击，其防范对抗的过程没有一次性完备的解决方案，需要做好联合防御长期持续作战的准备；360正致力打造以安全大脑为核心的新一代能力体系，面向国家、政府、城市、行业、企业等场景，提供“看见”高级网络威胁的能力和协同联防能力；

3、360呼吁加强供应链的网络安全监管，从工业领域、行业和相关主管部门重点关注，加强信息系统供应链相关安全标准框架的制定；

4、目前云架构的软硬件基础设施的流行，使供应链和供应商安全重要性进一步显现，供应链和供应商的安全问题有可能掐断整个行业的命脉，相关的网络安全问题需要引起重视。

文章来源：《史学理论研究》 网址: http://www.sxllyjzzs.cn/zonghexinwen/2021/0313/406.html