供應鏈攻擊是已知多年的網絡攻擊類型之一，利用多渠道和高度脆弱的服務進行攻擊。這使得供應鏈攻擊難以控制，并導致數十家不同的組織遭受數百萬美元的財務損失，并遭受品牌形象喪失的負面影響。為了創建一個完美的網絡安全網絡，您需要了解一些重要的細節。在這篇博客中，我們將通過示例以及可以采取的預防供應攻擊的措施來研究供應鏈攻擊的范圍。

什么是供應鏈？

“供應鏈”這個概念對于不同的行業可以有不同的含義。但這里的概念可以描述為相互鏈接并實施到組織 IT 網絡的硬件或軟件解決方案，目的是實現最高效率。這些不受控制、未定期修補或更新的來源會帶來網絡攻擊的風險，而這些風險本應確保最終生產力的安全。

什么是供應鏈攻擊？

供應鏈攻擊也是一種網絡攻擊，它試圖通過濫用網絡漏洞滲透到組織或企業的數據庫中。這些網絡攻擊利用硬件或軟件中的漏洞來獲取政府機構或企業的敏感數據。供應鏈攻擊通常發生在惡意代碼片段中，類似于軟件更新中包含的惡意程序。另一方面，供應鏈攻擊也可以由第 3 方供應商提供的物理組件進行。

供應鏈攻擊的類型

可以將供應鏈攻擊分為通過硬件、軟件和固件發生的三種類型。以下是您需要了解的有關網絡攻擊者偏愛的供應鏈攻擊方法的信息。

硬件供應鏈攻擊

硬件攻擊方式是最簡單、成本最低的供應鏈攻擊；跟蹤不同的硬件，如主板、USB 驅動程序或以太網電纜，從而能夠捕獲傳輸的數據。由于這些行為很容易被注意到，因此攻擊者不喜歡硬件供應鏈攻擊。

軟件供應鏈攻擊

由于公司、政府機構或非營利組織需要重組其 IT 網絡的快速數字化步伐，并且自轉型開始以來，組織的攻擊面開始擴大。這使網絡攻擊者有機會通過具有惡意代碼的供應商的易受攻擊的軟件工具或服務闖入網絡。這些在 IT 網絡中實施并相互鏈接的惡意工具，尤其是在安全措施不足或漏洞百出的環境中，為網絡威脅留下了漏洞，并增加了數據泄露的風險。最終，源自對供應鏈實施的軟件的攻擊稱為軟件供應鏈攻擊。

固件供應鏈攻擊

固件滲透是網絡攻擊者最喜歡的供應鏈攻擊形式之一，它可以像基于軟件的攻擊一樣傳播非常迅速并且規模非常大。另一方面，基于軟件和固件的攻擊比基于硬件的攻擊需要更多的知識和技能。

供應鏈攻擊案例  

情況1

過去幾年中的一次重要網絡攻擊影響了數十個不同的政府機構，包括美國財政部和財富 500 強名單中的最大公司。紅隊工具被盜使網絡攻擊者能夠濫用這些工具來控制目標系統，并有機會增加網絡攻擊的影響。

案例 #2

在另一種情況下，這些供應鏈攻擊的基礎是依靠后臺的滲透和靜默監控，而不是立即下載或泄漏數據，這是基于第三方供應商完成的軟件和固件更新。惡意代碼泄漏到無數組織的系統中，使得跟蹤通過服務器的數據長達數月之久。

在關于這次大規模供應鏈攻擊的聲明中，相關公司提到他們面臨著與他們之前所面臨的完全不同的國家支持的事件。并表示這種情況一直持續到 2020 年 12 月，從 2020 年 3 月提供的更新開始。此外，該公司建議緊急切換到 2020.2.1 HF 1 版本以抵御這些攻擊，其中包括 2019.4 和易受攻擊軟件的2020.2.1版本。

由于它們需要高級別的安全性，供應鏈攻擊需要采取重要措施，例如零信任。因此，在所有商業模式日益數字化的當今世界，企業緊急采取這些和類似措施以確保其網絡安全非常重要。