攻擊者首選薄弱環(huán)節(jié)下手，而Web供應(yīng)鏈渾身都是薄弱環(huán)節(jié)。

SolarWinds后門感染成千上萬公司企業(yè)和至少250家聯(lián)邦機(jī)構(gòu)，越南政府認(rèn)證機(jī)構(gòu)遭遇新型復(fù)雜攻擊，年復(fù)一年層出不窮的網(wǎng)絡(luò)安全事件讓公司和高管認(rèn)清了自身系統(tǒng)面對(duì)供應(yīng)鏈攻擊的脆弱不堪。

[[384174]]

正如行業(yè)專家指出的，SolarWinds事件清晰呈現(xiàn)了某些網(wǎng)絡(luò)攻擊是幾乎無法檢測(cè)的。此外，SolarWinds事件也暴露出政府和私營產(chǎn)業(yè)網(wǎng)絡(luò)總體上的脆弱性，促使國家安全委員會(huì)成立了網(wǎng)絡(luò)統(tǒng)一協(xié)調(diào)特別工作組，旨在協(xié)調(diào)調(diào)查和緩解這一事件。

與大多數(shù)供應(yīng)鏈攻擊類似，SolarWinds事件中，惡意代碼是在合法軟件更新過程中插入的(插入到SolarWinds的Orion平臺(tái))，并且隱藏在經(jīng)數(shù)字簽名的代碼組件當(dāng)中。

談到供應(yīng)鏈攻擊，就不得不提造成災(zāi)難的兩大關(guān)鍵因素：盲目信任和冗長復(fù)雜的鏈條。然而，這兩個(gè)因素近乎存在于當(dāng)前上線的每一個(gè)Web應(yīng)用和網(wǎng)站里。

Web供應(yīng)鏈就是大堆第三方代碼與成千上萬衍生物的大雜燴。時(shí)至今日，Web應(yīng)用普遍包含上千個(gè)模塊(也稱為代碼依賴)。每個(gè)模塊又有其自身的依賴，因而每個(gè)Web應(yīng)用可能迅速積累起成千上萬的第三方代碼。別忘了，這每個(gè)代碼還代表著攻擊界面的擴(kuò)大，尤其是考慮到第三方往往沒有多少資源投入安全維護(hù)的情況下。我們已經(jīng)多次見證了什么叫僅僅一名惡意用戶就能發(fā)起一場嚴(yán)重的Web供應(yīng)鏈攻擊。

2019年的一份研究報(bào)告探討了依賴Web上第三方代碼的潛在副作用。作者指出的一個(gè)關(guān)鍵問題就是Web上缺乏權(quán)限隔離，所有第三方代碼都擁有作為內(nèi)部開發(fā)代碼的相同權(quán)限。一段被黑第三方代碼就能悄悄將惡意代碼貫通整個(gè)供應(yīng)鏈，直至進(jìn)入合法軟件更新，就像SolarWinds事件中發(fā)生的那樣。但事涉Web供應(yīng)鏈，情況變得更加糟糕。這組研究人員發(fā)現(xiàn)，僅僅20個(gè)維護(hù)者賬戶就能觸及整個(gè)Web生態(tài)系統(tǒng)的半壁江山，也就是說，這些賬戶中但凡有一個(gè)被黑，就能引發(fā)一次全球性Web供應(yīng)鏈攻擊，影響數(shù)百萬家公司。

名為Magecart或Web刮取的另一種Web供應(yīng)鏈攻擊方法也甚囂塵上。這種方法會(huì)在第三方腳本中注入惡意代碼，比如聊天窗口小部件，在用戶訪問特定網(wǎng)頁時(shí)加載受感染的代碼。在Magecart Web刮取攻擊中，惡意代碼會(huì)收集支付表單提交的所有信用卡數(shù)據(jù)，并秘密發(fā)到攻擊者的服務(wù)器上。

這些方法會(huì)導(dǎo)致黑客國家隊(duì)大肆發(fā)動(dòng)Web攻擊嗎?研究人員明確指出了多起事件中Web供應(yīng)鏈攻擊和黑客國家隊(duì)之間的明顯關(guān)聯(lián)。我們知道，攻擊者總是首選薄弱環(huán)節(jié)下手，而Web供應(yīng)鏈渾身都是薄弱環(huán)節(jié)，簡直就是明晃晃的靶子。

正如SolarWinds事件顯示的，公司企業(yè)承擔(dān)不起供應(yīng)鏈攻擊的嚴(yán)重風(fēng)險(xiǎn)。解決Web供應(yīng)鏈攻擊需要立即采取行動(dòng)，了解這一安全弱點(diǎn)，積極尋找減小攻擊界面的方法。

事實(shí)上，企業(yè)和機(jī)構(gòu)必須盡可能降低對(duì)第三方代碼的依賴，增強(qiáng)自身代碼審查，并采用各種機(jī)制檢測(cè)運(yùn)行時(shí)惡意客戶側(cè)行為。惡意客戶側(cè)行為檢測(cè)策略逐漸獲得關(guān)注，因?yàn)檫@種策略能夠幫助公司企業(yè)不依賴特征碼就能實(shí)時(shí)檢測(cè)惡意行為。因此，運(yùn)行時(shí)監(jiān)控能夠大幅減少檢測(cè)和封鎖攻擊源所需的時(shí)間。

Web供應(yīng)鏈攻擊的復(fù)雜度持續(xù)上升，頻頻利用客戶側(cè)代碼混亂不堪的現(xiàn)狀。公司企業(yè)打贏這場Web供應(yīng)鏈阻擊戰(zhàn)最強(qiáng)有力的武器就是堅(jiān)定改善應(yīng)用安全。