• 一是供应链攻击的概念，之前我们总能看到各类供应链攻击，但要问到定义时不一定能讲清楚；
• 二是提出供应链攻击的分类系统，涉及到具体的攻击手法分类和攻击资产分类，对于分析一起供应链攻击时能够快速梳理出框架，似乎更容易被大脑接受；
• 三是提供了大量发生在2020.1–2021.7的知名供应链攻击案例及分析，更能帮助理解供应链攻击分类、以及攻击思路。

基本信息

该报告分七个章节围绕供应链攻击的定义、生命周期及分类进行介绍，最后用24个攻击案例进行进行剖析。此外还将供应链攻击与APT进行关联，认为供应链攻击的每个组成部分可看作APT攻击，其生命周期一般也遵循APT攻击的攻击阶段。但是供应链分析系统描述了供应链攻击本身的所有详情，因此有可能成为MITRE ATT&CK®知识库的补充。

What is a supply chain attack?   

• 供应商：提供服务或产品给另一个实体的实体（一个实体可以是个体、独立的团体，或组织）；
• 供应商资产：供应商用于生产或提供服务的有价值的元素（资产可以是人员，软件，文档，金钱，硬件或其他）；
• 客户：供应商提供服务或产品的实体；
• 客户资产：目标的有价值元素。

Taxonomy of supply chain attacks  

3.4 Customer assets targeted by a supply chain attack  

在该报告中，个人认为最有用的要数分类系统，可以把它用作指南模板，用于分析新型的潜在供应链攻击。用两个近期相对贴近的案例，进行简单分析以落地所学的方法论，如下所述：

4.2 今年实战演习风险分析示例  

• 在供应商视角下：增加了物理攻击、伪造攻击和对上游供应商的攻击分类，攻击资产减少了供应商，增加了产品云端公共服务，并将可能遭受到的攻击底色标黄；
• 站在客户视角下：增加了软件产品漏洞利用攻击分类，这实际上确实是防守方面临的最大实际风险之一。

• 报告地址：https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks

• 下载地址：https://www.enisa.europa.eu/publications/threat-landscape-for-supply-chain-attacks/@@download/fullReport

长按识别二维码，和我交流

More...

-- SDL 100问 --

• SDL100问：我与SDL的故事
• SDL 1/100问：SDL与DevSecOps有何异同？
• SDL 2/100问：如何在不同企业实施SDL？
• SDL 3/100问：SAST误报太高，如何解决？
• SDL 4/100问：SDL需要哪些人参与？
• SDL 5/100问：在devops中做开发安全，会遇到哪些问题？
• SDL 6/100问：如何实施安全需求？
• SDL 7/100问：安全需求，有哪些来源？
• SDL 8/100问：安全需求怎么实现自动化？
• SDL 9/100问：实施安全需求，会遇到哪些难题？
• SDL 10/100问：安全需求和安全设计有何异同及关联？
• SDL 11/100问：设计阶段应开展哪些安全活动？
• SDL 12/100问：有哪些不错的安全设计参考资料？
• SDL 13/100问：安全设计要求怎么做才能落地？
• SDL 14/100问：有哪些威胁建模方法论？
• SDL 15/100问：有哪些威胁建模工具？

-- 软件供应链对抗探索 --

• 1 软件供应商面临的攻防实战风险

• 2 软件供应商实战对抗十大安全举措

• 3 软件供应商攻防常规战之SDL

--------- 实战演习 ---------

• 1 何为多维度的视角

• 2 关于对演习的期望

• 3 公司层面统筹布局 

• 4 实战攻防演习下的产品安全保障 

• 5 产品安全事件定级评分方法

• 6 演习前红队暗泉涌动投毒

• 7 面向情报公司付费信息的应急

• 8 面向互联网侧情报信息的应急

• 9 客户侧产品推送样本事件处置

• 10 某邮箱被攻击情报的自我检查

• 11 办公网出口地址攻击客户蜜罐

• 12 SRC白帽子突破边界进业务网

• 13 某部门下发零日漏洞确认函处置

• 14 公司溯源团队查到团队内部成员

• 15 演习后对工作技能的复盘总结

• 16 演习后认知外的见微知著

--------- 安全运营 ---------

• 安全事件运营SOP：软件供应链投毒事件

• 安全事件运营SOP：接收漏洞事件

• 安全事件运营SOP：webshell事件

• 安全事件运营SOP：蜜罐告警

• 安全事件运营SOP：网络攻击

• 安全事件运营SOP：钓鱼邮件

• 安全事件运营SOP：基于实践的安全事件简述

• 企业级供应链投毒应急安全能力建设

• 应急能力提升：实战应急困境与突破

• 应急能力提升：挖矿权限维持攻击模拟

• 应急能力提升：内网横向移动攻击模拟

• 应急能力提升：实战应急响应经验

• 应急能力提升：应急响应报告点评

• 应急能力提升：应急响应专题总结会

• 应急响应：redis挖矿（防御篇）

• 应急响应：redis挖矿（攻击篇）

• 应急响应：redis挖矿（完结篇）

--------- 软件安全 --------- 

• 开篇

• 安全培训

• 安全需求

• 安全设计

• 安全开发

• 安全测试

• 安全审核

• 安全响应

• 完结篇（全系列paper下载）

• 浅谈安全产品的hvv安全之道

• Shift Left在开发安全中的应用

--------- 企业安全 ---------

• 企业安全建设需求

• 企业安全威胁简述

• 企业安全架构建设

• 企业安全项目-测试环境内网化

• 企业安全项目-Github信息泄露

• 企业安全项目-短信验证码安全

• 企业安全项目-前端绕过专项整改

• 业务安全之另类隐患

• 应用发布之安全隐患

• 甲方眼里的安全测试

• 基于堡垒机的自动化功能实践1

• 基于堡垒机的自动化功能实践2

• 基于堡垒机的自动化功能实践3

• 基于堡垒机的自动化功能实践4

• Nmap操作系统探测技术浅析

• 漏洞情报调研

• 漏洞调研报告（非完整版）

• 从漏洞视角看敏捷安全

--------- 渗透测试 ---------

• 安全运维那些洞

• 安全业务那些洞

• 那个简单的威胁情报

• Android APP数据存储安全

• 搜集SRC信息中的“技术活儿”

• 常规渗透瓶颈，发散思维突破

--------- 安全开发 ---------

• python武器库

• 漏洞扫描器资产处理

• python代码审计武器I

• python代码审计武器II

• Nodejs代码审计武器

• fortify漏洞的学习途径

--------- 个人体验 ---------

• 如何学习这么多的安全文章（实践篇）

• 如何学习这么多的安全文章（理论篇）

• 漫谈在安全公司做内部安全的体验

• C3安全峰会参后感

• 提高认知效率秘籍

• 向上型技术人的职业素养

• 关于勇气的一次突破

原文始发于微信公众号（我的安全视界观）：从供应链攻击报告研读，到近期热议事件浅析