供應(yīng)鏈攻擊是已知多年的網(wǎng)絡(luò)攻擊類型之一，利用多渠道和高度脆弱的服務(wù)進(jìn)行攻擊。這使得供應(yīng)鏈攻擊難以控制，并導(dǎo)致數(shù)十家不同的組織遭受數(shù)百萬(wàn)美元的財(cái)務(wù)損失，并遭受品牌形象喪失的負(fù)面影響。為了創(chuàng)建一個(gè)完美的網(wǎng)絡(luò)安全網(wǎng)絡(luò)，您需要了解一些重要的細(xì)節(jié)。在這篇博客中，我們將通過(guò)示例以及可以采取的預(yù)防供應(yīng)攻擊的措施來(lái)研究供應(yīng)鏈攻擊的范圍。

什么是供應(yīng)鏈？

“供應(yīng)鏈”這個(gè)概念對(duì)于不同的行業(yè)可以有不同的含義。但這里的概念可以描述為相互鏈接并實(shí)施到組織 IT 網(wǎng)絡(luò)的硬件或軟件解決方案，目的是實(shí)現(xiàn)最高效率。這些不受控制、未定期修補(bǔ)或更新的來(lái)源會(huì)帶來(lái)網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，而這些風(fēng)險(xiǎn)本應(yīng)確保最終生產(chǎn)力的安全。

什么是供應(yīng)鏈攻擊？

供應(yīng)鏈攻擊也是一種網(wǎng)絡(luò)攻擊，它試圖通過(guò)濫用網(wǎng)絡(luò)漏洞滲透到組織或企業(yè)的數(shù)據(jù)庫(kù)中。這些網(wǎng)絡(luò)攻擊利用硬件或軟件中的漏洞來(lái)獲取政府機(jī)構(gòu)或企業(yè)的敏感數(shù)據(jù)。供應(yīng)鏈攻擊通常發(fā)生在惡意代碼片段中，類似于軟件更新中包含的惡意程序。另一方面，供應(yīng)鏈攻擊也可以由第 3 方供應(yīng)商提供的物理組件進(jìn)行。

供應(yīng)鏈攻擊的類型

可以將供應(yīng)鏈攻擊分為通過(guò)硬件、軟件和固件發(fā)生的三種類型。以下是您需要了解的有關(guān)網(wǎng)絡(luò)攻擊者偏愛(ài)的供應(yīng)鏈攻擊方法的信息。

硬件供應(yīng)鏈攻擊

硬件攻擊方式是最簡(jiǎn)單、成本最低的供應(yīng)鏈攻擊；跟蹤不同的硬件，如主板、USB 驅(qū)動(dòng)程序或以太網(wǎng)電纜，從而能夠捕獲傳輸?shù)臄?shù)據(jù)。由于這些行為很容易被注意到，因此攻擊者不喜歡硬件供應(yīng)鏈攻擊。

軟件供應(yīng)鏈攻擊

由于公司、政府機(jī)構(gòu)或非營(yíng)利組織需要重組其 IT 網(wǎng)絡(luò)的快速數(shù)字化步伐，并且自轉(zhuǎn)型開(kāi)始以來(lái)，組織的攻擊面開(kāi)始擴(kuò)大。這使網(wǎng)絡(luò)攻擊者有機(jī)會(huì)通過(guò)具有惡意代碼的供應(yīng)商的易受攻擊的軟件工具或服務(wù)闖入網(wǎng)絡(luò)。這些在 IT 網(wǎng)絡(luò)中實(shí)施并相互鏈接的惡意工具，尤其是在安全措施不足或漏洞百出的環(huán)境中，為網(wǎng)絡(luò)威脅留下了漏洞，并增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。最終，源自對(duì)供應(yīng)鏈實(shí)施的軟件的攻擊稱為軟件供應(yīng)鏈攻擊。

固件供應(yīng)鏈攻擊

固件滲透是網(wǎng)絡(luò)攻擊者最喜歡的供應(yīng)鏈攻擊形式之一，它可以像基于軟件的攻擊一樣傳播非常迅速并且規(guī)模非常大。另一方面，基于軟件和固件的攻擊比基于硬件的攻擊需要更多的知識(shí)和技能。

供應(yīng)鏈攻擊案例  

情況1

過(guò)去幾年中的一次重要網(wǎng)絡(luò)攻擊影響了數(shù)十個(gè)不同的政府機(jī)構(gòu)，包括美國(guó)財(cái)政部和財(cái)富 500 強(qiáng)名單中的最大公司。紅隊(duì)工具被盜使網(wǎng)絡(luò)攻擊者能夠?yàn)E用這些工具來(lái)控制目標(biāo)系統(tǒng)，并有機(jī)會(huì)增加網(wǎng)絡(luò)攻擊的影響。

案例 #2

在另一種情況下，這些供應(yīng)鏈攻擊的基礎(chǔ)是依靠后臺(tái)的滲透和靜默監(jiān)控，而不是立即下載或泄漏數(shù)據(jù)，這是基于第三方供應(yīng)商完成的軟件和固件更新。惡意代碼泄漏到無(wú)數(shù)組織的系統(tǒng)中，使得跟蹤通過(guò)服務(wù)器的數(shù)據(jù)長(zhǎng)達(dá)數(shù)月之久。

在關(guān)于這次大規(guī)模供應(yīng)鏈攻擊的聲明中，相關(guān)公司提到他們面臨著與他們之前所面臨的完全不同的國(guó)家支持的事件。并表示這種情況一直持續(xù)到 2020 年 12 月，從 2020 年 3 月提供的更新開(kāi)始。此外，該公司建議緊急切換到 2020.2.1 HF 1 版本以抵御這些攻擊，其中包括 2019.4 和易受攻擊軟件的2020.2.1版本。

由于它們需要高級(jí)別的安全性，供應(yīng)鏈攻擊需要采取重要措施，例如零信任。因此，在所有商業(yè)模式日益數(shù)字化的當(dāng)今世界，企業(yè)緊急采取這些和類似措施以確保其網(wǎng)絡(luò)安全非常重要。