什么是供应链攻击(a supply chain attack)？

供应链攻击是一种网络攻击，试图利用供应链网络中的漏洞对公司造成损害。供应链攻击需要持续的网络黑客攻击或渗透过程，以获取对公司网络的访问，从而导致中断或中断，最终损害目标公司。

供应链的互联性正在增加风险。2020年，埃森哲指出，40%的网络攻击源自延伸的供应链。

关键要点

• 供应链攻击旨在渗透和破坏公司供应链的计算机系统，以损害目标公司。
• 这种想法是，公司的关键供应商或供应商可能比主要目标更容易受到攻击，使他们成为目标整体网络中的薄弱环节。
• 供应链攻击可能比对主要目标的攻击更为常见，并且源于黑客企图或**恶意软件。

了解供应链攻击

供应链网络是网络犯罪的频发目标，因为供应链中的一个薄弱环节可以让网络犯罪分子获得较大组织保管的数据追捧。供应链攻击暴露了公司供应网络中的一个难题，即一个组织的网络安全控制只与供应链上最弱的一方的网络安全控制一样强大。

各种形式的应急技术的采用，带来了各种形式的海量数据。通过互联网、**和云计算等资源，公司现在可以以电子方式获取数据，并与合作伙伴和第三方供应商共享。个人、企业和**等实体认为，可以从数据集中挖掘的相关信息可以用来更好地改进其运营和流程，从而提高客户参与度。但是，不同公司之间进行的数据交换带来了一定程度的风险，这意味着网络盗窃。老练的网络犯罪分子也意识到公司所持有的数据和设备策略对于获取敏感数据的重要性。

通过技术进步将运营成本降到最低的驱动力带来了对供应网络的需求。公司的供应网络通常由第三方实体组成，如**商、供应商、经办人、托运人和购买者，所有这些实体都参与了向最终消费者提**品的过程。因为目标公司可能有一个安全系统，即使是老练的网络犯罪分子也可能无法穿透，因此供应链攻击是对供应链上被认为拥有最薄弱的内部措施和流程的第三方企业实施的。一旦发现某个成员的安全协议薄弱，该成员的漏洞就会成为目标公司的风险。

供应链受到攻击的另一种方式是通过恶意软件，俗称恶意软件。通过嵌入蠕虫、病毒、间谍软件、特洛伊木马等恶意软件，以及修改**商软件源代码的假冒组件，网络攻击者可以进入目标公司的文件并窃取其专有信息。

供应链攻击示例

有几种方法可以攻击供应链。盗取供应商的证书会导致与供应商有关联的公司渗透。例如，Target是2013年供应链攻击的受害者。当其第三方的一个安全凭据被泄露时，其安全措施被违反。凭据通常包括登录、密码和对目标计算机的网络访问。该公司可疑的安全措施让黑客得以进入目标公司的系统，导致7000万客户的个人身份信息被盗。 违约事件的后果导致首席执行官辞职，公司的巨额成本超过2亿美元。