什麼是供應鏈駭客,你如何才能保持安全?
當你想到網路安全攻擊時,你會想到駭客探測網路漏洞的畫面。或者是竊取員工登入憑據或安裝在計算機上的惡意軟體的網路釣魚攻擊。
這些都是有效和常見的攻擊方法。但是,如果有另一種方式滲透到一個不涉及直接攻擊目標的網路呢?
供應鏈攻擊就是這樣做的,利用與目標相關的組織並攻擊目標的供應鏈。那麼什麼是供應鏈攻擊,它們是如何工作的呢?
什麼是供應鏈駭客(a supply chain hack)?
供應鏈攻擊旨在透過精確定位供應網路的脆弱部分來破壞或滲透組織。攻擊一個供應鏈為成功滲透提供了多種機會,尤其是在攻擊一個擁有複雜供應鏈網路的組織時。
在幾乎所有的供應鏈攻擊中,最初的受害者並不是攻擊者的唯一目標。相反,供應鏈元素是通向更大的魚的墊腳石。攻擊者利用較易攻擊的目標中的漏洞,並利用這些漏洞達到最終目標。
儘管供應鏈攻擊聽起來很罕見,但BlueVoyant的Opinion Matters於2020年6月進行的一項研究(PDF,需要註冊)發現,80%的組織“在過去12個月內遭遇了與第三方相關的違約”。此外,77%的受訪者“對其第三方供應商的可見性有限”
有了這樣的數字,你就明白了為什麼供應鏈攻擊不僅很流行,而且也明白了它們是如何成功地從最初的目標轉移到主要組織的。
對於一家公司來說,發現第三方軟體供應鏈攻擊是極其困難的。攻擊的本質意味著惡意檔案不僅對主要目標隱藏,而且對供應鏈中易受攻擊的環節隱藏。計算機甚至不需要線上就可以讓攻擊生效。
只有當目標組織的資料開始在其他地方銷售或類似的東西觸發警報時,目標組織才可能意識到存在問題。透過對內部網路的深入訪問,可以在組織內部自由移動,甚至可以刪除入侵者的訊號。
供應鏈攻擊型別
供應鏈攻擊並非一刀切。一個主要組織的供應鏈可以包括多個不同的運動部件。攻擊者必須考慮對目標使用哪種型別的供應鏈攻擊。
這裡有三個值得注意的供應鏈攻擊。
1目標
2013年,美國零售商塔吉特(Target)遭到重大攻擊,導致其門店使用的1.1億張信用卡和借記卡資訊丟失。被盜的資料總量只有11GB,但被盜的資料型別特別有價值。
攻擊者在Target的公司網路中發現了一些第三方供應商。雖然最終的攻擊次數不得而知,但脆弱的企業是製冷承包商法齊奧機械公司。
一旦承包商受到威脅,攻擊者就在公司網路內等待,直到有可能使用被盜憑證升級到目標系統。最終,攻擊者獲得了對目標伺服器的訪問權,在公司網路中尋找其他易受攻擊的系統。
從這裡開始,攻擊者利用Target的銷售點(POS)系統,竊取了數百萬客戶的信用卡資訊。
2太陽風
第三方軟體供應鏈攻擊的一個主要例子是SolarWinds,它的Orion遠端管理軟體在2020年遭到破壞。攻擊者在軟體更新過程中**惡意後門。
當更新被推送到SolarWinds的數十萬客戶手中時,攻擊者的惡意軟體也隨之而去。由於更新的數字簽名是正常的,一切都像往常一樣。
相關:什麼是程式碼簽名惡意軟體?
作為正常更新過程的一部分啟用該軟體後,攻擊者可以訪問大量關鍵目標,包括美國財政部、國土安全部、商務部、國務院、國防部和能源部以及國家核安全域性。
太陽風攻擊是有史以來規模最大、最成功的供應鏈攻擊之一。
三。蠕蟲病毒
你知道有史以來最臭名昭著的駭客攻擊之一是供應鏈攻擊嗎?
Stuxnet是一種計算機蠕蟲,它有一個極其特定的目標:執行特定軟體型別的系統,來自伊朗核電站的特定**商。Stuxnet惡意軟體導致離心機的速度急劇提高,破壞離心機中的材料和過程中的基礎設施本身。
相關報道:網路攻擊會造**身傷害嗎?
據信,這種針對性強、極其複雜的蠕蟲病毒是美國和以色列**共同努力消除伊朗核威脅的成果。
Stuxnet是使用一個受感染的USB快閃記憶體驅動器引入伊朗核電站供應鏈的。一旦安裝在一臺計算機上,Stuxnet就在網路中橫向移動,在執行之前尋找正確的控制系統。
因為Stuxnet有一個精確的目標,它不會引起人們對自身的注意,只有當它碰到符合規格的計算機時才會啟用。
如何在供應鏈攻擊時代保持安全
供應鏈在最好的時候很難管理。許多公司使用第三方軟體解決方案來管理其業務的各個方面。這些工具包括遠端管理工具或會計軟體,甚至包括像MicrosoftOffice365這樣的平臺。
公司不能把業務的方方面面都放在一個屋簷下。他們也不應該這樣做。信任軟體開發人員或雲服務提供商不應該大大增加您或您的企業成為攻擊受害者的機會。
提高企業和消費者的安全性也會引發供應鏈攻擊。如果攻擊者找不到進入組織的方法,那麼向下攻擊下一層是獲得訪問許可權的最經濟和實用的方法。它也不太可能被企業安全系統發現。
在許多情況下,供應鏈攻擊是廣泛的,研究充分,資金充足的行動。
例如,SolarWinds是一個民族國家駭客團隊的作品,該團隊花了數月的時間來研究和實施供應鏈駭客。無獨有偶,Stuxnet將多起零日攻擊合併成一個攻擊伊朗核電站的一攬子計劃,目標供應鏈駭客攻擊花了一段時間才成功。
這些不是我們這裡說的隨機指令碼業餘愛好者,他們偶然發現了一個漏洞。他們是駭客團隊,共同攻擊特定目標。供應鏈恰好是阻力最小的路徑。
- 發表於 2021-03-28 17:06
- 閱讀 ( 42 )
- 分類:安全
你可能感興趣的文章
供應商(supplier)和經銷商(distributor)的區別
...儲存起來,然後再轉售給零售商的任何組織。但是,無論是供應商還是分銷商都不能孤立經營。兩者都需要共同努力,以實現他們的目標,並使產品可供客戶使用。供應商和分銷商是相互關聯的供應鏈的一部分。 供應商和分銷...
microsoft向defender for office 365新增國家威脅警報
... 什麼是民族國家的攻擊(a nation-state attack)? ...
微軟在solarwinds駭客攻擊的根源上阻止了sunburst惡意軟體
... 什麼是太陽風網路攻擊(the solarwinds cyberattack)? ...
ibm發現,駭客正在瞄準covid-19疫苗供應鏈
...歐洲和臺灣。 這場運動的重點似乎是“冷鏈”,即疫苗供應鏈的一部分,在疫苗的儲存和運輸過程中保持冷量。有些疫苗需要在極低的溫度下才能保持效力。例如,輝瑞公司建議將他們的COVID-19疫苗儲存在負70攝氏度(比南極洲...
google的projectzero現在更關心如何披露安全漏洞
...協議”,而ProjectZero也可能會將最後期限延長14天,前提是供應商需要更長時間才能完成修補程式。在野外被利用的漏洞的7天期限將保持不變。 除了給補丁更多的時間被採用外,零號專案還表示,希望新政策能提高一致性,讓供...
蘋果聲稱在未成年就業和衝突材料方面取得了進展
...蘋果公司進行的審計比前一年多了51%:451家工廠,其中40%是供應鏈的新工廠。該公司還加強了對其認為的核心違規行為的指導。這個名稱現在包括了以前認為不太嚴重的事情,例如不經處理就將工藝廢水排放到下水道或周圍環境...
我們能阻止聯網的小玩意破壞網際網路嗎?
... 研究人員看到了這一點 最大的安全挑戰可能是供應鏈的複雜性。大多數人都可以使用不同**商提供的元件和軟體構建一個連線到網際網路的小工具。例如,看看亞馬遜上提供的3000個網路攝像頭。複雜的供應鏈導致網...
小販(vendor)和分包商(subcontractor)的區別
...者都可以被歸類為供應商,但它們有各種不同之處。 什麼是賣主(a vendor)? 這些人向包括個人和大公司在內的廣大客戶銷售和供應產品。供應商在一個競爭激烈的環境中運作,消費者在這個環境中比較產品特性,包括質量和...
小販(vendor)和經銷商(distributor)的區別
...向**商和其他參與者傳遞市場動態資訊時非常有用。他們是供應鏈中的最後一個成員,有著企業對消費者(B2C)的關係。 經銷商 這是供應鏈中**商和供應商之間的中介。他們的角色要複雜得多,包括開展演示、售前培訓和路...
供應商名稱(vendor name)和公司名稱(company name)的區別
...能無法區分供應商名稱和公司名稱,但兩者有區別。 什麼是供應商名稱(a vendor name)? 這是一個用來描述一個公司或個人提供的產品或服務轉售到供應鏈的下一個環節。供應商名稱可以是註冊的企業名稱或供應商名稱。供應...
0 篇文章
