网易首页 > 网易号 > 正文 申请入驻

从真实事件看软件供应链攻击的常见手法与防护

0
分享至

软件供应链攻击正成为一种越来越常见的非法获取商业信息的犯罪方法。据研究机构Gartner预测,到2025年有45%的企业将会遭受供应链攻击。

美国网络安全和基础设施安全局(CISA)将软件供应链攻击定义为一种网络犯罪行为:“当网络威胁分子渗入到组织第三方软件供应商的系统,并在供应商将软件发送给客户之前使用恶意代码来破坏软件时,就代表着这种攻击开始发生。受破坏的软件在实际应用时会危及企业的数据或商业安全。”

软件供应链包括业务软件研发与销售的任何环节,还涉及企业开发人员用来编写或引用代码的开源软件平台和公共存储库,还包括有权访问企业数据的任何服务组织。以上这些环节共同构成了软件供应链的潜在攻击覆盖面。软件供应链攻击之所以危险,是由于正规软件供应商在无意中充当了黑客的攻击推手。例如某一家供应商受到影响后,黑客可能会接触到该供应商的所有客户,覆盖面比他们攻击某一家目标企业更加广泛。

据CISA声称,造成软件供应链安全危险的主要原因有两个:

1►第三方软件产品通常需要特权访问。

2►第三方软件产品常常需要通过供应商自己的网络和客户网络上的业务软件进行频繁交互。

软件供应链攻击有多种方式,为了降低这种风险,企业组织必须尽快了解用于执行攻击的方法和自身存在的安全弱点。以下梳理了近两年发生的五起真实软件供应链攻击事件,通过案例分析给出应对建议,以便组织更好防范供应链攻击威胁,以免造成严重后果。

系统后门攻击

2020年12月13日,SUNBURST后门首次披露。这种攻击利用流行的SolarWinds Orion IT监控和管理套件来开发混入木马的更新版。

后门瞄准运行Orion软件的服务,多家《财富》500强、电信企业以及政府机构和大学都受到了该攻击影响。就该事件而言,企业的主要防护弱点是应用程序服务器及其软件更新路径缺乏保护,针对这类攻击的最佳对策就是进行更完善的设备监控。

报告显示,指挥控制(C&C)域avsvmcloud[.]com早在2020年2月26日就注册了。与其他类型的供应链攻击一样,SUNBURST后门潜伏了很长一段时期,以避免安全人员将软件更新与异常攻击行为联系起来。

SUNBURST后门中特别值得关注的还有专用服务器沦为了攻击目标。这种类型的服务器通常很少受到监控。防止SUNBURST后门式的攻击需要在企业网络的所有层面进行主动监控。

开源软件漏洞

另一种令人担忧的攻击方式是开源软件中的漏洞利用。去年底爆发Log4Shell/Log4j漏洞正是利用了基于Java的Apache实用程序Log4j。该漏洞允许黑客执行远程代码,包括能够完全控制服务器。Log4Shell漏洞是一个零日漏洞,这意味着它在软件供应商察觉之前就被攻击者发现并利用。由于该漏洞是开源库的一部分,因此运行Java的数亿台设备都可能受到影响。

堵住Log4Shell漏洞和类似漏洞需要全面清点企业网络中的所有联网设备。这意味着组织需要利用系统来发现设备、监控留意Log4Shell活动,并尽快修补受影响的设备。

托管服务及勒索软件攻击

利用供应链攻击的主要目的是,钻供应商漏洞的空子,并攻击下游目标。这也正是勒索软件团伙REvil在劫持Kaseya VSA后采取的手法,Kaseya VSA是一个用于IT系统及其客户的远程监控和托管服务平台。

通过攻击Kaseya VSA中的漏洞,REvil得以将勒索软件发送给下游的多达1500家企业,他们都是Kaseya VSA的客户。

就该事件而言,安全防护弱点是面向互联网的设备、远程管理的设备以及托管服务提供商的通信路径。通常安全隐患问题是由供应商访问内部IT系统引起的。避免此类情形的有效做法是,监控托管服务提供商使用的通信网络。此外,通过行为分析跟踪和发现任何可疑的行为,以阻止勒索软件。

云基础设施安全漏洞

并非所有软件供应链攻击都是由精英黑客团伙策划并发起的。一名亚马逊员工利用作为亚马逊网络服务(AWS)内部人员的便利,盗取了1亿用户的信用卡资料,结果使云上租户Capital One遭到了严重的数据泄密。这次攻击暴露了使用云基础设施带来的危险。

这种攻击的主要特点是,利用客户对云服务供应商给与的信任:如果云服务提供商受到威胁,客户的数据也可能受到威胁。为了对付这种类型的攻击,同样是需要对服务中的访问行为进行监控,并确保网络边缘的安全。

供应商自有设备(BYOD)漏洞

2022年3月,网络安全企业Okta透露,由于其一家供应商(Sitel)遭到攻击,其部分数据被窃取。后续的调查显示,其原因归咎于一名供应商员工在其个人笔记本电脑上提供客户服务功能。虽然泄密程度有限:只有两个Okta身份验证系统被访问,客户账户或配置也没有出现任何更改,但事件仍然反映出分包商设备和自带设备策略在供应链攻击者眼里是另一条有效的攻击途径。

每当添加额外设备,网络上未受管理和未经批准的设备就会加大潜在的攻击面。许多企业不知道连接了哪些设备、在运行哪些软件以及采取了哪些预防措施来防范恶意软件。若要尽量减小这方面的风险,就需要清点资产,限制对这些非授权设备的访问。最后,应利用网络监控和行为分析来阻止攻击。

https://www.cybersecurity-insiders.com/5-common-blind-spots-that-make-you-vulnerable-to-supply-chain-attacks/?utm_source=rss

合作电话:18311333376

合作微信:aqniu001

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
切尔西4700万镑敲定意大利国脚后卫

切尔西4700万镑敲定意大利国脚后卫

元气满分吖
2026-07-02 00:16:29
CCTV5+直播,中国男篮再战日本,12人基本确定,郭士强欲双杀对手

CCTV5+直播,中国男篮再战日本,12人基本确定,郭士强欲双杀对手

中国篮坛快讯
2026-07-02 14:11:44
C罗与莫德里奇,将迎生死对决!

C罗与莫德里奇,将迎生死对决!

环球网资讯
2026-07-02 21:41:16
ESPN记者:湖人队内部人士暗示詹姆斯父子可能一起转投新球队

ESPN记者:湖人队内部人士暗示詹姆斯父子可能一起转投新球队

好火子
2026-07-02 22:11:51
知名女演员旅法3年,曾在餐厅洗碗谋生,遭遇法国酷暑热到扛不住

知名女演员旅法3年,曾在餐厅洗碗谋生,遭遇法国酷暑热到扛不住

悦君兮君不知
2026-07-01 15:17:10
霸气,中国U18女排两连胜,3-0横扫香港,05后小将们未来可期!

霸气,中国U18女排两连胜,3-0横扫香港,05后小将们未来可期!

体坛侃排球
2026-07-03 00:05:15
又一个前中超外援离开世界杯!海港前任1米90阿瑙还能进球吗

又一个前中超外援离开世界杯!海港前任1米90阿瑙还能进球吗

80后体育大蜀黍
2026-07-02 15:18:14
英媒:英格兰战墨西哥1/8决赛球票已被炒至27300英镑

英媒:英格兰战墨西哥1/8决赛球票已被炒至27300英镑

懂球帝
2026-07-02 16:01:11
气温升高,提醒糖尿病患者:早上宁可吃包子,也不要轻易吃这4物

气温升高,提醒糖尿病患者:早上宁可吃包子,也不要轻易吃这4物

老马健康讲坛
2026-07-01 14:27:10
哈梅内伊葬礼,上百个国家参加,覆盖半个地球,特朗普捅了马蜂窝

哈梅内伊葬礼,上百个国家参加,覆盖半个地球,特朗普捅了马蜂窝

阿离家居
2026-07-02 15:38:33
男子怀疑小16岁妻子出轨击打妻子致残,其间以为妻子死亡返家报警 犯故意杀人罪获刑8年

男子怀疑小16岁妻子出轨击打妻子致残,其间以为妻子死亡返家报警 犯故意杀人罪获刑8年

红星新闻
2026-07-02 21:42:58
1950 年,四川地主拿出朱德欠条,朱总司令:马上把他接到北京来

1950 年,四川地主拿出朱德欠条,朱总司令:马上把他接到北京来

纪实文录
2025-06-21 14:47:10
“大鱼”必须杀死!斩首北约雇佣兵,炸五星大酒店,俄军报仇雪恨

“大鱼”必须杀死!斩首北约雇佣兵,炸五星大酒店,俄军报仇雪恨

共工之锚
2026-07-03 00:06:56
丽江一“狗咖”数十只哈士奇疑遭遗弃饥病交加,店主曾被法院列为被执行人,当地政府已介入处置

丽江一“狗咖”数十只哈士奇疑遭遗弃饥病交加,店主曾被法院列为被执行人,当地政府已介入处置

封面新闻
2026-07-01 23:04:08
贝克汉姆14岁的女儿小七怎么如此成熟了,好像少妇

贝克汉姆14岁的女儿小七怎么如此成熟了,好像少妇

西楼知趣杂谈
2026-06-13 19:52:21
超级富二代的自我毁灭:玩游戏、追网红,两年败光3个亿

超级富二代的自我毁灭:玩游戏、追网红,两年败光3个亿

记录生活日常阿蜴
2026-06-26 14:42:24
广西彩民50元竞猜世界杯喜中182万,当事体彩门店:老顾客购彩,第二天发现前三场结果全对,才来店里取票

广西彩民50元竞猜世界杯喜中182万,当事体彩门店:老顾客购彩,第二天发现前三场结果全对,才来店里取票

极目新闻
2026-07-02 20:09:22
又一个好手加盟马刺!五星阵容诞生!别说雷霆 连尼克斯也要头疼了

又一个好手加盟马刺!五星阵容诞生!别说雷霆 连尼克斯也要头疼了

宝哥精彩赛事
2026-07-02 12:32:26
中东深夜剧变,以色列斩首行动提前打响,特朗普为何“放手”?

中东深夜剧变,以色列斩首行动提前打响,特朗普为何“放手”?

面包夹知识
2026-07-02 23:15:58
主角:那不是站位,是终于敢站在自己生命的中央

主角:那不是站位,是终于敢站在自己生命的中央

疾跑的小蜗牛
2026-07-02 20:05:01
2026-07-03 00:39:00
安全牛 incentive-icons
安全牛
信息安全新媒体
4672文章数 5976关注度
往期回顾 全部

科技要闻

马斯克不承认,但SpaceX就该造AI手机

头条要闻

多国元首和高官将参加哈梅内伊葬礼 莫迪受邀无法出席

头条要闻

多国元首和高官将参加哈梅内伊葬礼 莫迪受邀无法出席

体育要闻

韩国人,为什么恨透了洪明甫?

娱乐要闻

众星祝福祖国,曾沛慈原形毕露?

财经要闻

千亿茶市场无赢家:澜沧巨亏 八马停"蹄"

汽车要闻

有纯电有增程 还有二代VLA支持 小鹏MONA L03预售价14.38万起

态度原创

本地
家居
手机
教育
公开课

本地新闻

这场穿越酉阳的光影之旅,张张都是壁纸!

家居要闻

传奇筑 日常诗

手机要闻

消息称折叠屏iPhone备货量上调,售价预计2500美元起

教育要闻

独家探秘!海淀这所人附系热门校,高中新楼长啥样?

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版