供應鏈攻擊是已知多年的網(wǎng)絡攻擊類型之一，利用多渠道和高度脆弱的服務進行攻擊。這使得供應鏈攻擊難以控制，并導致數(shù)十家不同的組織遭受數(shù)百萬美元的財務損失，并遭受品牌形象喪失的負面影響。為了創(chuàng)建一個完美的網(wǎng)絡安全網(wǎng)絡，您需要了解一些重要的細節(jié)。在這篇博客中，我們將通過示例以及可以采取的預防供應攻擊的措施來研究供應鏈攻擊的范圍。

什么是供應鏈？

“供應鏈”這個概念對于不同的行業(yè)可以有不同的含義。但這里的概念可以描述為相互鏈接并實施到組織 IT 網(wǎng)絡的硬件或軟件解決方案，目的是實現(xiàn)最高效率。這些不受控制、未定期修補或更新的來源會帶來網(wǎng)絡攻擊的風險，而這些風險本應確保最終生產力的安全。

什么是供應鏈攻擊？

供應鏈攻擊也是一種網(wǎng)絡攻擊，它試圖通過濫用網(wǎng)絡漏洞滲透到組織或企業(yè)的數(shù)據(jù)庫中。這些網(wǎng)絡攻擊利用硬件或軟件中的漏洞來獲取政府機構或企業(yè)的敏感數(shù)據(jù)。供應鏈攻擊通常發(fā)生在惡意代碼片段中，類似于軟件更新中包含的惡意程序。另一方面，供應鏈攻擊也可以由第 3 方供應商提供的物理組件進行。

供應鏈攻擊的類型

可以將供應鏈攻擊分為通過硬件、軟件和固件發(fā)生的三種類型。以下是您需要了解的有關網(wǎng)絡攻擊者偏愛的供應鏈攻擊方法的信息。

硬件供應鏈攻擊

硬件攻擊方式是最簡單、成本最低的供應鏈攻擊；跟蹤不同的硬件，如主板、USB 驅動程序或以太網(wǎng)電纜，從而能夠捕獲傳輸?shù)臄?shù)據(jù)。由于這些行為很容易被注意到，因此攻擊者不喜歡硬件供應鏈攻擊。

軟件供應鏈攻擊

由于公司、政府機構或非營利組織需要重組其 IT 網(wǎng)絡的快速數(shù)字化步伐，并且自轉型開始以來，組織的攻擊面開始擴大。這使網(wǎng)絡攻擊者有機會通過具有惡意代碼的供應商的易受攻擊的軟件工具或服務闖入網(wǎng)絡。這些在 IT 網(wǎng)絡中實施并相互鏈接的惡意工具，尤其是在安全措施不足或漏洞百出的環(huán)境中，為網(wǎng)絡威脅留下了漏洞，并增加了數(shù)據(jù)泄露的風險。最終，源自對供應鏈實施的軟件的攻擊稱為軟件供應鏈攻擊。

固件供應鏈攻擊

固件滲透是網(wǎng)絡攻擊者最喜歡的供應鏈攻擊形式之一，它可以像基于軟件的攻擊一樣傳播非常迅速并且規(guī)模非常大。另一方面，基于軟件和固件的攻擊比基于硬件的攻擊需要更多的知識和技能。

供應鏈攻擊案例  

情況1

過去幾年中的一次重要網(wǎng)絡攻擊影響了數(shù)十個不同的政府機構，包括美國財政部和財富 500 強名單中的最大公司。紅隊工具被盜使網(wǎng)絡攻擊者能夠濫用這些工具來控制目標系統(tǒng)，并有機會增加網(wǎng)絡攻擊的影響。

案例 #2

在另一種情況下，這些供應鏈攻擊的基礎是依靠后臺的滲透和靜默監(jiān)控，而不是立即下載或泄漏數(shù)據(jù)，這是基于第三方供應商完成的軟件和固件更新。惡意代碼泄漏到無數(shù)組織的系統(tǒng)中，使得跟蹤通過服務器的數(shù)據(jù)長達數(shù)月之久。

在關于這次大規(guī)模供應鏈攻擊的聲明中，相關公司提到他們面臨著與他們之前所面臨的完全不同的國家支持的事件。并表示這種情況一直持續(xù)到 2020 年 12 月，從 2020 年 3 月提供的更新開始。此外，該公司建議緊急切換到 2020.2.1 HF 1 版本以抵御這些攻擊，其中包括 2019.4 和易受攻擊軟件的2020.2.1版本。

由于它們需要高級別的安全性，供應鏈攻擊需要采取重要措施，例如零信任。因此，在所有商業(yè)模式日益數(shù)字化的當今世界，企業(yè)緊急采取這些和類似措施以確保其網(wǎng)絡安全非常重要。