為了最大化損害和利潤，黑客擴(kuò)大了他們的目標(biāo)群體。他們將目光投向了 B2B（企業(yè)對企業(yè)）公司，而不是僅僅關(guān)注最終用戶。不誠實(shí)的行為者希望讓大企業(yè)措手不及，并利用公司關(guān)系保護(hù)傘下的所有數(shù)據(jù)。?雖然每個(gè)人都應(yīng)該警惕網(wǎng)絡(luò)犯罪分子，但企業(yè)面臨著大幅提升網(wǎng)絡(luò)安全游戲的壓力。

這些威脅，恰如其分地命名為軟件供應(yīng)鏈攻擊，可以出人意料地讓公司一舉陷入困境。作為托管 IT 服務(wù)提供商，我們意識(shí)到供應(yīng)鏈攻擊的危險(xiǎn)及其對我們客戶的可能影響。您需要準(zhǔn)備好保護(hù)您的企業(yè)免受此類攻擊，并且應(yīng)該知道您是否處于危險(xiǎn)之中——無論您是蓬勃發(fā)展的零售商還是狂熱的客戶。

所以，我們將討論：??

• 什么是軟件供應(yīng)鏈攻擊？??
• 什么樣的企業(yè)容易受到它的影響？??
• 供應(yīng)鏈攻擊如何影響您？??
• 如何保護(hù)自己免受供應(yīng)鏈攻擊？?

完整閱讀后，您應(yīng)該能夠確定保護(hù)公司所需采取的步驟。?

什么是軟件供應(yīng)鏈攻擊？?

軟件供應(yīng)鏈攻擊是一種網(wǎng)絡(luò)威脅，黑客通過感染客戶使用的合法應(yīng)用程序來破壞客戶的數(shù)據(jù)或系統(tǒng)。攻擊者尋找不安全的網(wǎng)絡(luò)協(xié)議或不受保護(hù)的服務(wù)器基礎(chǔ)設(shè)施來滲透軟件供應(yīng)商的網(wǎng)絡(luò)。一旦進(jìn)入，他們將通過更改源代碼并在其構(gòu)建和更新過程中隱藏惡意軟件來感染供應(yīng)商的應(yīng)用程序。?

然后，該軟件將充當(dāng)惡意軟件的特洛伊木馬，而供應(yīng)商并未意識(shí)到這一點(diǎn)。由于病毒嵌入在應(yīng)用程序中，因此它將在客戶設(shè)備上運(yùn)行，并具有與它所植根的應(yīng)用程序相同的權(quán)限。黑客獲得了二合一的交易，軟件創(chuàng)建者和客戶在一個(gè)可能需要數(shù)月才能解開的網(wǎng)絡(luò)中受到損害。?

哪些企業(yè)受到軟件供應(yīng)鏈攻擊的影響？?

他們的一些常見目標(biāo)應(yīng)用程序和業(yè)務(wù)是：??

• 電子郵件服務(wù)器?
• 托管 IT 提供商?
• 數(shù)據(jù)庫管理軟件?
• 安全軟件提供商?

電子郵件服務(wù)?

所有云服務(wù)——尤其是電子郵件服務(wù)——都是供應(yīng)鏈攻擊的誘人目標(biāo)。如果黑客通過這些程序獲得訪問權(quán)限，他們將可以訪問您的幾乎所有信息和數(shù)據(jù)。此外，幾乎所有使用互聯(lián)網(wǎng)進(jìn)行商業(yè)交易的人都擁有電子郵件和云服務(wù)，從而導(dǎo)致網(wǎng)絡(luò)犯罪分子的受害者群體擴(kuò)大。??

甚至FBI 也無法免受供應(yīng)鏈攻擊。去年 11 月，他們的電子郵件服務(wù)器發(fā)出了多封電子郵件，試圖抹黑 Vinny Troia（暗網(wǎng)情報(bào)公司 NightLion 和 Shadowbyte 的安全研究負(fù)責(zé)人）。如果聯(lián)邦調(diào)查局本身是受害者，你也可能是。??

托管 IT 提供商?

在供應(yīng)鏈攻擊中，黑客以托管 IT 服務(wù)提供商(MSP)等上游供應(yīng)商為目標(biāo)，以增加受害者人數(shù)。攻擊 MSP 會(huì)使損害沿著供應(yīng)鏈向下傳遞到另一個(gè)供應(yīng)商——這種結(jié)果有時(shí)被稱為“瀑布效應(yīng)”——這會(huì)增加對許多目標(biāo)的附帶損害。黑客還知道，來自受信任供應(yīng)商的更新可以讓他們繞過安全措施并感染所有安裝它們的用戶。例如，REvil 勒索軟件在去年針對幾個(gè) MSP 后感染了超過 1000 家公司。所有八個(gè)受影響的 MSP 都在使用 Kaseya VSA。

數(shù)據(jù)庫管理軟件?

數(shù)據(jù)庫是信息的金礦，因?yàn)樗鼈兊娜抗δ苁菫槟鎯?chǔ)數(shù)據(jù)。當(dāng)您的數(shù)據(jù)庫（無論是本地?cái)?shù)據(jù)庫還是基于云的數(shù)據(jù)庫）成為供應(yīng)鏈攻擊的受害者時(shí)，您必須將其視為泄露數(shù)據(jù)并立即采取行動(dòng)。

安全軟件提供商

有什么比通過安全軟件潛入攻擊多家公司更好的方法呢？消費(fèi)者和企業(yè)依靠安全軟件并信任第三方來保證其 IT 系統(tǒng)的安全。通過將安全軟件用作特洛伊木馬，黑客可以在系統(tǒng)中停留很長時(shí)間，然后才被發(fā)現(xiàn)。

供應(yīng)鏈攻擊如何影響您？???

首先，問問自己：你在供應(yīng)鏈的哪個(gè)位置？您是最終用戶、B2C（企業(yè)對客戶）公司還是 B2B（企業(yè)對企業(yè)）供應(yīng)商？根據(jù)您的用戶類型，供應(yīng)鏈攻擊的影響看起來會(huì)大不相同。??

您是最終用戶（客戶）

如果您的任何軟件遭到入侵，那么您允許該軟件收集的所有數(shù)據(jù)也會(huì)遭到破壞。您需要立即采取措施減輕對網(wǎng)絡(luò)的損害，并努力從系統(tǒng)中刪除所有受感染軟件的痕跡。?根據(jù)您使用受感染軟件的方式，您可能需要停用密碼、用戶名和電子郵件地址以重新獲得安全網(wǎng)絡(luò)。

您是軟件創(chuàng)建者（公司所有者）?

無論您的企業(yè)是直接與消費(fèi)者 (B2C) 還是與其他企業(yè) (B2B) 打交道，如果您創(chuàng)建或管理軟件并受到供應(yīng)鏈攻擊的感染 – 您已經(jīng)有效地將您和您客戶的所有數(shù)據(jù)集中到網(wǎng)絡(luò)犯罪分子手中。??

您將迫切需要：??

• 評估您的網(wǎng)絡(luò)?
• 通知客戶數(shù)據(jù)泄露??
• 發(fā)送修復(fù)問題的補(bǔ)丁?
• 重新建立與客戶的信任?
• 支付任何合規(guī)罰款?

如何阻止供應(yīng)鏈攻擊？?

那么，您如何才能避免遇到供應(yīng)鏈攻擊帶來的頭痛呢？?無論作為客戶還是 CEO，您都可以使用以下提示和技巧來防止軟件供應(yīng)鏈攻擊。

1. 向每個(gè)企業(yè)詢問一組安全問題?

在去年 2022 年 2 月的 Room安全會(huì)議上，F(xiàn)1 Solutions 總裁兼首席信息安全官 Jennifer VanderWier 列出了您需要向軟件供應(yīng)商詢問的十個(gè)安全問題，以確保客戶的安全。他們是：?

• 你評估過你的工具嗎？按照什么標(biāo)準(zhǔn)？?
• 您是否有可以滿足時(shí)間表的補(bǔ)救計(jì)劃？?
• 你的產(chǎn)品曾經(jīng)被破壞過嗎？?
• 多因素身份驗(yàn)證 (MFA)是否適合您的工具？?
• 您可以訪問我們客戶的數(shù)據(jù)嗎？有哪些控制措施？您是否有一個(gè)可以與我分享的共同責(zé)任矩陣？?
• 有哪些保護(hù)措施來保護(hù)您的代碼？?
• 你的安全團(tuán)隊(duì)有多少人？?
• 你的責(zé)任范圍是多少？?
• 我可以通過哪些方式限制供應(yīng)商對敏感數(shù)據(jù)的訪問？?
• 您是否有災(zāi)難恢復(fù)計(jì)劃，何時(shí)進(jìn)行測試？?

作為軟件提供商，您還可以使用此列表來評估自己并建立對安全系統(tǒng)的信心。??

2. 進(jìn)行頻繁的安全意識(shí)培訓(xùn)?

提高員工的安全意識(shí)是阻止攻擊的關(guān)鍵步驟。但是，即使您不經(jīng)營企業(yè)，您也將從跟上最新的網(wǎng)絡(luò)安全新聞中受益。??

3. 進(jìn)行滲透測試?

滲透測試是一種道德黑客行為，用于測試組織的防御能力。它模擬現(xiàn)實(shí)生活中的網(wǎng)絡(luò)攻擊，以發(fā)現(xiàn)公司防御的弱點(diǎn)。這種方法使您可以識(shí)別防御中的故障并在黑客發(fā)現(xiàn)它們之前對其進(jìn)行處理。作為客戶，您需要詢問您的軟件和安全提供商是否在他們的系統(tǒng)上進(jìn)行此類測試。?

4. 主動(dòng)系統(tǒng)掃描

主動(dòng)系統(tǒng)掃描可幫助您及早發(fā)現(xiàn)網(wǎng)絡(luò)中的問題——無論是作為客戶還是企業(yè)。問題和攻擊可以立即處理并在它們對您構(gòu)成嚴(yán)重威脅之前得到解決。

5. 安裝軟件更新

零日漏洞在供應(yīng)鏈感染的傳播中起著至關(guān)重要的作用。縮小這些差距將減少對您的業(yè)務(wù)和 IT 網(wǎng)絡(luò)的潛在損害。此外，它甚至可以在攻擊發(fā)生之前阻止它。

6. 部署多層網(wǎng)絡(luò)安全防御

一些供應(yīng)鏈攻擊通過搭載軟件更新進(jìn)入您的網(wǎng)絡(luò)。多層網(wǎng)絡(luò)安全可以通過阻止與已知惡意 IP 地址的通信來阻止這種情況。??

您準(zhǔn)備好阻止軟件供應(yīng)鏈攻擊了嗎？?

軟件供應(yīng)鏈攻擊感染合法應(yīng)用程序以分發(fā)惡意軟件。它滲透到軟件提供商的網(wǎng)絡(luò)并感染其應(yīng)用程序。就像特洛伊木馬一樣，攻擊在應(yīng)用程序安裝到您或您客戶的網(wǎng)絡(luò)或設(shè)備后開始。?

軟件供應(yīng)鏈攻擊是毀滅性的，可能會(huì)影響您的信譽(yù)和安全。像這樣的托管 IT 公司依靠客戶對我們的信任來保持公司的蓬勃發(fā)展，我們知道防止企業(yè)失去信譽(yù)是多么重要。如果在維護(hù)業(yè)務(wù)的日常功能之上執(zhí)行所有這些提示和技巧似乎令人生畏，您可能希望讓專業(yè)的 IT 管理公司來處理您的 IT 部門。