网络安全知识:什么是供应链攻击?

admin 2023年1月11日01:07:45安全百科评论10 views2474字阅读8分14秒阅读模式

网络安全知识:什么是供应链攻击?

供应链攻击是已知多年的网络攻击类型之一,利用多渠道和高度脆弱的服务进行攻击。这使得供应链攻击难以控制,并导致数十家不同的组织遭受数百万美元的财务损失,并遭受品牌形象丧失的负面影响。为了创建一个完美的网络安全网络,您需要了解一些重要的细节。在这篇博客中,我们将通过示例以及可以采取的预防供应攻击的措施来研究供应链攻击的范围。

什么是供应链?

“供应链”这个概念对于不同的行业可以有不同的含义。但这里的概念可以描述为相互链接并实施到组织 IT 网络的硬件或软件解决方案,目的是实现最高效率。这些不受控制、未定期修补或更新的来源会带来网络攻击的风险,而这些风险本应确保最终生产力的安全。

什么是供应链攻击?

供应链攻击也是一种网络攻击,它试图通过滥用网络漏洞渗透到组织或企业的数据库中。这些网络攻击利用硬件或软件中的漏洞来获取政府机构或企业的敏感数据。供应链攻击通常发生在恶意代码片段中,类似于软件更新中包含的恶意程序。另一方面,供应链攻击也可以由第 3 方供应商提供的物理组件进行

供应链攻击的类型

可以将供应链攻击分为通过硬件、软件和固件发生的三种类型。以下是您需要了解的有关网络攻击者偏爱的供应链攻击方法的信息。

  • 硬件供应链攻击

硬件攻击方式是最简单、成本最低的供应链攻击;跟踪不同的硬件,如主板、USB 驱动程序或以太网电缆,从而能够捕获传输的数据。由于这些行为很容易被注意到,因此攻击者不喜欢硬件供应链攻击。

  • 软件供应链攻击

由于公司、政府机构或非营利组织需要重组其 IT 网络的快速数字化步伐,并且自转型开始以来,组织的攻击面开始扩大。这使网络攻击者有机会通过具有恶意代码的供应商的易受攻击的软件工具或服务闯入网络。这些在 IT 网络中实施并相互链接的恶意工具,尤其是在安全措施不足或漏洞百出的环境中,为网络威胁留下了漏洞,并增加了数据泄露的风险。最终,源自对供应链实施的软件的攻击称为软件供应链攻击。

  • 固件供应链攻击

固件渗透是网络攻击者最喜欢的供应链攻击形式之一,它可以像基于软件的攻击一样传播非常迅速并且规模非常大。另一方面,基于软件和固件的攻击比基于硬件的攻击需要更多的知识和技能。

供应链攻击案例  

情况1

过去几年中的一次重要网络攻击影响了数十个不同的政府机构,包括美国财政部和财富 500 强名单中的最大公司。红队工具被盗使网络攻击者能够滥用这些工具来控制目标系统,并有机会增加网络攻击的影响。

案例 #2

在另一种情况下,这些供应链攻击的基础是依靠后台的渗透和静默监控,而不是立即下载或泄漏数据,这是基于第三方供应商完成的软件和固件更新恶意代码泄漏到无数组织的系统中,使得跟踪通过服务器的数据长达数月之久。

在关于这次大规模供应链攻击的声明中,相关公司提到他们面临着与他们之前所面临的完全不同的国家支持的事件。并表示这种情况一直持续到 2020 年 12 月,从 2020 年 3 月提供的更新开始。此外,该公司建议紧急切换到 2020.2.1 HF 1 版本以抵御这些攻击,其中包括 2019.4 和易受攻击软件的2020.2.1版本。

由于它们需要高级别的安全性,供应链攻击需要采取重要措施,例如零信任因此,在所有商业模式日益数字化的当今世界,企业紧急采取这些和类似措施以确保其网络安全非常重要。

  1. >>>等级保护<<<
  2. 开启等级保护之路:GB 17859网络安全等级保护上位标准
  3. 网络安全等级保护:等级保护测评过程及各方责任
  4. 网络安全等级保护:政务计算机终端核心配置规范思维导图
  5. 网络安全等级保护:什么是等级保护?
  6. 网络安全等级保护:信息技术服务过程一般要求
  7. 网络安全等级保护:等级保护测评过程要求PPT
  8. 等级保护测评之安全物理环境测评PPT
  9. 闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
  10. 闲话等级保护:什么是网络安全等级保护工作的内涵?
  11. 闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
  12. 闲话等级保护:测评师能力要求思维导图
  13. 闲话等级保护:应急响应计划规范思维导图
  14. 闲话等级保护:浅谈应急响应与保障
  15. 闲话等级保护:如何做好网络总体安全规划
  16. 闲话等级保护:如何做好网络安全设计与实施
  17. 闲话等级保护:要做好网络安全运行与维护
  18. 闲话等级保护:人员离岗管理的参考实践
  19. 网络安全等级保护:浅谈物理位置选择测评项

  20. 信息安全服务与信息系统生命周期的对应关系
  21. >>>工控安全<<<
  22. 工业控制系统安全:信息安全防护指南
  23. 工业控制系统安全:工控系统信息安全分级规范思维导图
  24. 工业控制系统安全:DCS防护要求思维导图
  25. 工业控制系统安全:DCS管理要求思维导图
  26. 工业控制系统安全:DCS评估指南思维导图
  27. 工业控制安全:工业控制系统风险评估实施指南思维导图
  28. 工业控制系统安全:安全检查指南思维导图(内附下载链接)
  29. 工业控制系统安全:DCS风险与脆弱性检测要求思维导图
  30. >>>数据安全<<<
  31. 数据安全风险评估清单

  32. 成功执行数据安全风险评估的3个步骤

  33. 美国关键信息基础设施数据泄露的成本

  34. VMware 发布9.8分高危漏洞补丁

  35. 备份:网络和数据安全的最后一道防线

  36. 数据安全:数据安全能力成熟度模型

  37. 数据安全知识:什么是数据保护以及数据保护为何重要?

  38. 信息安全技术:健康医疗数据安全指南思维导图

  39. >>>供应链安全<<<

  40. 美国政府为客户发布软件供应链安全指南

  41. OpenSSF 采用微软内置的供应链安全框架

  42. 供应链安全指南:了解组织为何应关注供应链网络安全

  43. 供应链安全指南:确定组织中的关键参与者和评估风险

  44. 供应链安全指南:了解关心的内容并确定其优先级

  45. 供应链安全指南:为方法创建关键组件

  46. 供应链安全指南:将方法整合到现有供应商合同中

  47. 供应链安全指南:将方法应用于新的供应商关系

  48. 供应链安全指南:建立基础,持续改进。
  49. 思维导图:ICT供应链安全风险管理指南思维导图

  50. 英国的供应链网络安全评估
  51. >>>其他<<<

  52. 网络安全十大安全漏洞

  53. 网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图

  54. 网络安全等级保护:应急响应计划规范思维导图

  55. 安全从组织内部人员开始

  56. 影响2022 年网络安全的五个故事

  57. 2023年的4大网络风险以及如何应对

  58. 网络安全知识:物流业的网络安全


原文始发于微信公众号(祺印说信安):网络安全知识:什么是供应链攻击?

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月11日01:07:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全知识:什么是供应链攻击? https://cn-sec.com/archives/1512026.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: