近日，美國網絡安全和基礎設施安全局(CISA)和美國國家標準技術研究院(NIST)聯合發布了網絡供應鏈風險管理(C-SCRM)框架和安全軟件開發框架(SSDF)指南項目，為網絡防御者提供了與供應鏈攻擊相關的趨勢和最佳實踐。

供應鏈攻擊的最常見技術是：

• 劫持更新
• 破壞代碼簽名
• 破壞開源代碼

在某些情況下，攻擊可能會混合使用上述技術來提高其效率。

這些攻擊大多數歸因于資源豐富的攻擊者和APT團體，它們具有很高的技術能力。

報告指出：“軟件供應鏈攻擊通常需要強大的技術才能和長期投入，因此通常很難執行。總的來說，高級持續威脅(APT)參與者更有可能、同時有意愿和能力來進行可能危害國家安全的高度技術性和長期性的軟件供應鏈攻擊活動。”

報告指出，組織容易受到此類攻擊的原因有兩個：

• 許多第三方軟件產品需要特權訪問
• 許多第三方軟件產品需要賣方網絡與位于客戶網絡上的賣方軟件產品之間的頻繁通信

該指南包含一系列建議，內容涉及組織如何預防供應鏈攻擊以及在使用此技術交付惡意軟件或易受攻擊的軟件的情況下如何緩解這些攻擊。

項目地址：https://csrc.nist.gov/projects/cyber-supply-chain-risk-management

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文