本章为该系列的第7篇，也是事前准备阶段的第7篇。柿子要挑软的捏，这是演练场景下，出现在攻击队口中最高频的词了。对攻击队来说，“曲线救国”往往有着出其不意的效果，供应链打击也是近几年常见的技战法，这一节让我们聊聊供应链安全。

一、网络外联区治理

首先从网络层面看一看我们与哪些第三方单位和分支附属机构有联通的策略，特别关注一下专线，要以最小权限原则进行开通，精确到源目IP和端口，清理any策略。可别忽视这些基础工作，很多安全事件往往就是出自这些看似不起眼的小事上。（别问我怎么知道的）
有条件的企业，可以在外联区串联IPS设备，并开启攻击阻断策略，及时封堵来自第三方的攻击流量，同时阻断我方向外部发起的攻击。
在《事前准备(2)之防护体系建设》一文中有提到流量监控覆盖度的工作，同样外联区域的流量一定要纳入到安全监控的范围内，并且对源ip来自外联区的告警提高威胁级别，重点监控。

二、分支附属机构联动

网络安全是重投入的，没有钱做不好网络安全，分公司、子公司、控股公司、参股公司和总部比，往往没有足够的预算，在安全防护能力上通常比不上总部。另外，演练过程中如果是通过分支附属机构打入到集团总部，组织方只会通报总部，分支附属机构在责任上感受不到压力，意识上容易掉以轻心，所以分支附属机构是攻击队实施供应链攻击的首选目标，也就是攻击队常说的柿子要挑软的捏。
在以攻击队身份参与过的项目中，2019年以后，再也没见过直怼主站的情况了，都是绕路打。现在的攻击队借助天眼查、企查查、爱企查、小蓝本等平台的功能，已经具备一键获取分公司、子公司、孙子公司信息的能力，对于规模庞大的企业来说，除了守好自己，还要“关照”一下分支附属机构。
谁主管谁负责，分支附属机构的网络安全责任一定是自己落实，启动会要邀请分支附属机构一同参加，形式上要重视，至少氛围得烘托到位了，会上一定要把工作要求下达到位，防止出现问题后，分支附属机构出现扯皮不认账的情况。
讲一个我亲身经历的案例，曾经参与一个客户集团总部的红蓝对抗项目，子公司因为安全漏洞丢了服务器权限，当时子公司丝毫没有惊慌失措，反而以此为把柄直接骂到集团总部去了，当时我一边帮总部打攻击，一边帮子公司做应急，后来这事不断升级，我们还被扣上了“国外网络安全间谍”的帽子，总部也被指责影响了正常业务，我当时真是小刀捅屁股--开了眼了。如果集团总部和子公司提前约定好责权，就不会出现后续这一系列的麻烦事。

另一项重要的工作就是建立协同联动机制。曾经在一家世界500强排名靠前的大型集团企业做防守筹备工作，其下属单位就有几十家，这么庞大的组织想要高效协同起来还是有困难的，当时在搞内部红蓝对抗的时候，一位子公司的小姐姐就跟我吐槽说红蓝期间都不知道自己要做什么，发现风险了也不知道怎么办，我当时作为裁判，能明显感觉到整个组织的混乱。

这一定不是个例，我相信很多大型企业也遇到过这样的问题，解决这个问题可以从两个方面入手：

建立接口人机制，总部和各分支附属机构明确统一对接的人员，建立工作沟通群，通过统一出口上传下达，这样就会井然有序很多。沟通群在演练结束后也可以一直保留，作为网络安全工作的长期联络渠道。
建立安全事件协同处置流程，并且在执行过程中保证所有事件按流程闭环处理，对于上报的事件如果总部都不重视闭环，更不要指望分支附属机构能重视。

三、供应商联动

演练期间各种商业软件曝出0day漏洞已经不再是什么稀奇事，需要提前与供应商建立约定，当有0day爆出时要及时配合处置。在演习前，梳理目前在合同期内的软件供应商，在演练前下达通知，提出工作要求，拿出甲方爸爸的气势，言辞可以犀利一些，目的是让供应商重视。
曾经在一运营商客户现场做红蓝项目，复盘会上客户领导直接指名点姓一家供应商，说如果再修不完漏洞，以后生意就别做了，当时我作为一个小乙方，在现场真是瑟瑟发抖。

现在都在讲安全左移，很多企业落实安全左移理念都是将安全要求加入到采购环节，可以在合同中要求供应商主动上报安全漏洞和安全事件，并且提供漏洞修复服务。虽然很多供应商根本不会主动联系客户承认自己的产品有问题，不过对于甲方来说，有了合同约束至少我们还占有一定主动权，再不济，如果供应商没有按照合同条款执行，我们还可以根据条款对供应商进行处罚。
当然，处罚不是目的，目标还是希望供应商为我们提供安全可靠的产品，在此也希望所有单位都能与供应商建立良好的合作关系，在这个不太好的大环境下，一同建立良好的营商环境。

四、小结

供应链安全，本质上就是在链上的安全，链就是连接，有网络层的连接，也有沟通渠道的连接，技术上收敛网络策略，沟通上与分支机构、附属机构、供应商建立联动机制，在重保期间可以应对大部分风险场景。
如果这篇文章你只能记住一件事的话，那请记住：守好外联区域，建立联动机制。

原创 十九线菜鸟学安全