什么是软供应链攻击？

愈演愈烈的软供应链攻击

目前，供应链攻击的频率和成熟度在不断提高。根据行业估计，供应链攻击现在占所有网络攻击的50％，去年同比激增了 78％。多达三分之二的公司经历了至少一次供应链攻击事件。同时，80%的IT专业人士认为软件供应链攻击将是他们的企业在未来三年面临的最大网络威胁之一。

以下是供应链攻击的常用攻击方式：

• 损害软件更新服务器。黑客通过入侵公司用来分发软件更新的服务器，窃取或伪造证书签名的软件更新，将恶意软件带进攻击目标。一旦应用程序自动更新，就会迅速感染大量系统。
  

• 获得对软件基础结构的访问权限。黑客使用社会工程学技术渗透到开发基础架构中，破坏构建环境和服务器，从而在软件编译和签名之前将恶意代码注入软件。而一旦软件进行了数字签名，就很难检测出恶意代码。

• 攻击第三方代码库。恶意软件还通过第三方代码（例如源代码存储库、软件开发工具包和开发人员在其应用程序中使用的框架）传递。如果网络罪犯访问该存储库，则他们可以像授权开发人员一样更改代码，这提供了将恶意代码添加到产品核心的机会。

其中，源代码存储库成为下一代软件供应链攻击的主要媒介。Synopsys在《2020软件供应链报告》中指出，当前超过90%的现代应用融入了开源组件，其中11%OSS组件中存在已知漏洞。而同时，针对开源项目的网络攻击数量同比增加了430%。下一代软供应链攻击方式正在兴起。

供应链攻击，已经成为APT攻击中的常用攻击手段，该攻击方法存在以下特点：

1、攻击面广，危害极大。由于软件供应链是一个完整的流动过程,因此在软件供应链上发生的攻击具有扩散性。一旦突破供应链的上游一环，便会“伤及一片”，对大量的软件供应商和最终用户造成影响。

2、潜伏周期长，检测困难。因为恶意代码是跟随”可信任”的软件更新进入到内网环境中，所以具有高度隐藏性。它可以欺骗并绕过外部防护，然后在目标网络环境中建立高权限账户，不断地访问并攻击新的目标。而且,不少软件供应链攻击者不直接攻击供应商,而是利用供应商来规避公司的网络安全机制检测风险。因此,想要从根源上就检测出攻击行为十分困难。

面对越来愈频繁的供应链攻击，需要上下游企业的共同努力，通过共同建立联防联控体系，提升遭受供应链攻击时的响应处置和恢复能力。