软件供应链攻击 - Part 2

您是不是想找：供应链供应链采购平台供应链是什么意思供应链管理系统供应链管理供应链管理包括哪些内容供应链管理师证书供应链网站供应链金融的三种融资模式供应链公司的经营范围有哪些

供应链是一个复杂的环境，它深入到企业内部，涉及到企业的大部分基础设施、操作、人员和外部关系(供应商、合作伙伴和客户)。保护这个矩阵是极其困难的，因为安全团队必须照顾许多敏感节点、线和进程:软件和硬件资源、云、混合和本地环境、平台和web应用程序。

供应链的复杂性也是它们的弱点，也是它们对网络罪犯如此有吸引力的原因。最近我们已经经历了供应链攻击，统计数据显示，未来很可能会出现上升趋势。

供应链攻击基本原理

供应链攻击主要针对两个或两个以上的目标，中间目标和最终目标。网络犯罪分子在成功渗透一个中介目标(如小型供应商)的网络后，利用恶意代码(malicious code)破坏(compromise)供应商的软件，并将其作为他们最终目标(高价值供应商、客户和企业的软件)的门户(gateway)。

与物理系统不同的是，软件在离开制造商后会通过更新(updates)和补丁(patches)不断修改，容易(is prone to)出现许多无意的和恶意的缺陷(numerous unintentional and malevolent flaws)。由于供应链适合更大的信息和通信技术(ICT: information and communications technology)供应链框架，安全团队意识到网络犯罪可以潜伏(lurk)和攻击ICT供应链生命周期的每个阶段是至关重要的。

供应链生命周期

供应链生命周期覆盖Design, Development and Production, Distribution, Acquisition and Deployment, Maintenance, Disposal，它们各自对应的案例如下图所示：

ICT Supply Chain Lifecycle and Examples of Threats (cisa.gov)

供应链攻击是如何运作的

阶段1: 狩猎和感染(Hunt & Infect)
在供应链攻击的第一阶段，网络犯罪分子识别与存储或使用敏感数据的企业合作的供应商。这里的目标是打开一扇通向更多机会的门。

网络罪犯可以通过不同的方式攻击供应商，利用公司软件中缺乏电子邮件安全性和未知或未解决的漏洞等方面。一旦进入系统，他们可以在公司源代码中添加有缺陷的代码或插入恶意软件。通过这种方式，他们可以确保下次安装更新时，恶意代码就会被发送到该公司的所有合作伙伴和联系人。

The three stages of a supply chain attack

第二阶段: 展开并等待(Spread & Wait)
在下一阶段，一旦恶意软件被传播，恶意行为者只需等待。软件开发人员和供应商并不知道他们的应用程序已被感染，并将按计划发布更新。由于新代码来自可信的来源，业务合作伙伴和客户将承认并接受它。恶意行为者可以利用该代码作为后门，在受感染的网络上安装勒索软件，或者利用该代码收集信用卡号码或登录信息等敏感信息。

阶段3: 攻击&收集(Attack & Collect)
在受到国家支持的攻击的情况下，网络罪犯希望不让人知道他们的存在，以便收集情报。但是，如果攻击者的重点是赎金，他们将使用第三方供应商提供的后门渗透其他网络，并最终获得对电子邮件地址、登录凭据和其他形式的PII(个人身份信息personally identifiable information)的访问权限。一旦他们这样做了，他们通常会威胁受害者，他们可以获取并加密他们找到的敏感数据，或者他们可以泄露这些数据。在这两种情况下，对于没有可靠备份策略的公司来说，潜在的影响可能是毁灭性的。