“供应链”这个概念对于不同的行业可以有不同的含义。在网络安全中可以解释为相互链接并实施到组织IT 网络的硬件或软件解决方案,目的是实现最高效率。但是这些不受控制、未定期修补或更新的来源会带来网络攻击的风险。
而供应链攻击正是面向软件开发人员和供应商的新兴威胁。其目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。
攻击者会搜寻不安全的网络协议、未受保护的服务器基础结构和不安全的编码做法。 然后闯入并更改源代码,在生成和更新过程中隐藏恶意软件。
由于软件由受信任的供应商发布,因此这些应用和更新已经进行过签名和认证。因此在软件供应链攻击中,供应商可能也无法察觉到他们的应用或更新在向公众发布时感染了恶意代码。于是,恶意代码就获得了与应用相同的信任和权限。
由此,受破坏的软件在实际应用时会危及企业的数据或商业安全。
软件供应链可划分为开发、交付、运行三个大的环节,每个环节都可能会引入供应链安全风险然后遭受攻击,同时,上游环节的安全问题会传递到下游环节。
由于恶意程序的隐蔽性大大增强,安全检测难度加大。当攻击者通过供应链攻击散播的恶意软件是以加密技术锁住系统资料,并藉此勒索企业,就构成了勒索软件攻击。通常当供应链攻击和勒索软件攻击被一起使用时,会造成更大的危害。
举两个例子,2022年3月,网络安全企业Okta透露,由于其一家供应商(Sitel)遭到攻击,其部分数据被窃取。后续调查显示,主要原因是一名供应商员工在其个人笔记本电脑上提供客户服务功能。尽管泄密程度有限,客户账户或配置也没有出现任何更改,但反映出分包商的设备和自带设备在供应链攻击者眼里是一条有效的攻击途径。
每当添加额外设备,网络上未受管理和未经批准的设备就会加大潜在的攻击面。许多企业不知道连接了哪些设备、在运行哪些软件以及采取了哪些预防措施来防范恶意软件。
另外,随着云基础设施的广泛使用,也会存在内部威胁,因为并非所有软件供应链攻击都来自黑产。一名亚马逊员工利用作为亚马逊网络服务(AWS)内部人员的便利,盗取了1亿用户的信用卡资料,结果使云上租户Capital One遭到了严重的数据泄密。这次攻击暴露了使用云基础设施带来的危险。此类攻击主要是利用客户对云服务供应商给与的信任,如果云服务提供商受到威胁,客户的数据也可能面临威胁。