攻擊者首選薄弱環節下手，而Web供應鏈渾身都是薄弱環節。

SolarWinds后門感染成千上萬公司企業和至少250家聯邦機構，越南政府認證機構遭遇新型復雜攻擊，年復一年層出不窮的網絡安全事件讓公司和高管認清了自身系統面對供應鏈攻擊的脆弱不堪。

[[384174]]

正如行業專家指出的，SolarWinds事件清晰呈現了某些網絡攻擊是幾乎無法檢測的。此外，SolarWinds事件也暴露出政府和私營產業網絡總體上的脆弱性，促使國家安全委員會成立了網絡統一協調特別工作組，旨在協調調查和緩解這一事件。

與大多數供應鏈攻擊類似，SolarWinds事件中，惡意代碼是在合法軟件更新過程中插入的(插入到SolarWinds的Orion平臺)，并且隱藏在經數字簽名的代碼組件當中。

談到供應鏈攻擊，就不得不提造成災難的兩大關鍵因素：盲目信任和冗長復雜的鏈條。然而，這兩個因素近乎存在于當前上線的每一個Web應用和網站里。

Web供應鏈就是大堆第三方代碼與成千上萬衍生物的大雜燴。時至今日，Web應用普遍包含上千個模塊(也稱為代碼依賴)。每個模塊又有其自身的依賴，因而每個Web應用可能迅速積累起成千上萬的第三方代碼。別忘了，這每個代碼還代表著攻擊界面的擴大，尤其是考慮到第三方往往沒有多少資源投入安全維護的情況下。我們已經多次見證了什么叫僅僅一名惡意用戶就能發起一場嚴重的Web供應鏈攻擊。

2019年的一份研究報告探討了依賴Web上第三方代碼的潛在副作用。作者指出的一個關鍵問題就是Web上缺乏權限隔離，所有第三方代碼都擁有作為內部開發代碼的相同權限。一段被黑第三方代碼就能悄悄將惡意代碼貫通整個供應鏈，直至進入合法軟件更新，就像SolarWinds事件中發生的那樣。但事涉Web供應鏈，情況變得更加糟糕。這組研究人員發現，僅僅20個維護者賬戶就能觸及整個Web生態系統的半壁江山，也就是說，這些賬戶中但凡有一個被黑，就能引發一次全球性Web供應鏈攻擊，影響數百萬家公司。

名為Magecart或Web刮取的另一種Web供應鏈攻擊方法也甚囂塵上。這種方法會在第三方腳本中注入惡意代碼，比如聊天窗口小部件，在用戶訪問特定網頁時加載受感染的代碼。在Magecart Web刮取攻擊中，惡意代碼會收集支付表單提交的所有信用卡數據，并秘密發到攻擊者的服務器上。

這些方法會導致黑客國家隊大肆發動Web攻擊嗎?研究人員明確指出了多起事件中Web供應鏈攻擊和黑客國家隊之間的明顯關聯。我們知道，攻擊者總是首選薄弱環節下手，而Web供應鏈渾身都是薄弱環節，簡直就是明晃晃的靶子。

正如SolarWinds事件顯示的，公司企業承擔不起供應鏈攻擊的嚴重風險。解決Web供應鏈攻擊需要立即采取行動，了解這一安全弱點，積極尋找減小攻擊界面的方法。

事實上，企業和機構必須盡可能降低對第三方代碼的依賴，增強自身代碼審查，并采用各種機制檢測運行時惡意客戶側行為。惡意客戶側行為檢測策略逐漸獲得關注，因為這種策略能夠幫助公司企業不依賴特征碼就能實時檢測惡意行為。因此，運行時監控能夠大幅減少檢測和封鎖攻擊源所需的時間。

Web供應鏈攻擊的復雜度持續上升，頻頻利用客戶側代碼混亂不堪的現狀。公司企業打贏這場Web供應鏈阻擊戰最強有力的武器就是堅定改善應用安全。