网络安全知识:供应链攻击4个示例

admin 2024年4月12日11:10:52评论5 views字数 3459阅读11分31秒阅读模式

不断发展的攻击意味着组织应该确保他们也不断发展防御

本节概述了供应链攻击的示例,说明了组织面临的挑战。攻击在不断演变,您应该确保及时了解这些攻击。虽然这些主要是网络攻击,但重要的是还要考虑欺诈、盗窃和内部人员等威胁。

  1. 第三方软件提供商

  2. 网站建设者

  3. 第三方数据存储

  4. 水坑攻击

第三方软件提供商

了解通过第三方软件提供商进行供应链攻击的示例,其中合法的工业控制系统被“木马化”。

据称,自 2011 年以来,名为 Dragonfly(也称为 Energetic Bear、Havex 和 Crouching Yeti)的网络间谍组织一直将目标瞄准欧洲和北美的公司,主要是能源领域的公司。该组织有通过供应链瞄准公司的历史。

网络安全知识:供应链攻击4个示例

在最新的活动中,Dragonfly 成功“木马化”了合法的工业控制系统 (ICS) 软件。为此,他们首先入侵了 ICS 软件供应商的网站,并用自己的恶意软件感染版本替换了其存储库中的合法文件。

随后,当从供应商网站下载 ICS 软件时,它会在合法 ICS 软件的同时安装恶意软件。该恶意软件包含额外的远程访问功能,可用于控制安装该恶意软件的系统。

受感染的软件很难检测其是否在源头被更改,因为目标公司没有理由怀疑它不合法。这对供应商产生了很大的依赖,因为不可能深入检查每一个硬件或软件来发现这种类型的攻击。

网站建设者

了解供应链攻击的示例,其中合法网站通过创意和数字机构使用的网站构建器受到损害。

网络犯罪分子还以供应链为目标,以此作为利用恶意软件接触最广泛受众的手段。识别和损害一个具有战略意义的重要因素是对资源的有效利用,并可能导致大量感染。

网络安全知识:供应链攻击4个示例

夏洛克银行木马就是一个很好的例子。2014 年 7 月,执法机构和网络安全界开展联合行动,减少了该病毒背后组织的威胁,重点关注英国、意大利和美国的电子银行业务。

夏洛克攻击者通过创意和数字机构使用的网站构建器破坏了合法网站。他们使用了重定向脚本,将受害者发送到夏洛克作者拥有的恶意域。从那里,Shylock 恶意软件被下载并安装到那些浏览合法网站的系统上。

节省精力使这项工作非常成功。通过集成其他恶意软件采用的多种不同功能,Shylock 能够执行可定制的“浏览器中的人”攻击,避免检测并保护自身免受分析。

这次攻击没有单独损害多个合法网站,而是针对由一家英国创意数字机构设计的网站模板的核心脚本。

第三方数据存储

了解通过第三方数据存储进行的供应链攻击,其中属于大型数据聚合器的网络被报告为受到损害。

许多现代企业将数据外包给第三方公司,由第三方公司汇总、存储、处理和代理信息,有时代表彼此直接竞争的客户。

此类敏感数据不一定只涉及客户,还可能涵盖业务结构、财务健康状况、战略和风险敞口。过去,进行高调并购的公司一直是目标。2013 年 9 月,据报道属于大型数据聚合商的一些网络已遭到破坏。

网络安全知识:供应链攻击4个示例

据观察,一个小型僵尸网络通过加密通道将信息从众多数据存储的内部系统泄露到公共互联网上的僵尸网络控制器。最引人注目的受害者是一家数据聚合商,该数据聚合商许可企业和公司的信息用于信贷决策、企业对企业营销和供应链管理。虽然攻击者可能追求的是消费者和企业数据,但欺诈专家表示,有关消费者和企业习惯和做法的信息是最有价值的。

受害者是众多企业的信用局,为金融交易请求提供“基于知识的身份验证”。这种供应链妥协使攻击者能够访问通过第三方存储的有价值的信息,并可能实施大规模欺诈。

水坑攻击

了解什么是水坑攻击的供应链攻击、它们的工作原理以及此类攻击的真实示例。

水坑攻击的工作原理是识别目标组织甚至整个部门(例如国防、政府或医疗保健)内用户经常访问的网站。然后该网站就会遭到破坏,从而能够传播恶意软件。

攻击者识别主要目标网络安全中的弱点,然后操纵水坑站点来传播利用这些弱点的恶意软件。

网络安全知识:供应链攻击4个示例

恶意软件可能在目标没有意识到的情况下进行交付和安装(称为“路过”攻击),但考虑到目标可能对水坑站点具有信任,它也可能是用户有意识地下载的文件认识到它真正包含的内容。通常,恶意软件是远程访问木马 (RAT),使攻击者能够远程访问目标系统。

攻击者越来越多地利用“水坑”站点对各行业的大量目标进行间谍攻击。VOHO 活动就是一个很好的例子。

>>>错与罚<<<

湖南网安适用《数据安全法》对多个单位作出行政处罚
由上海政务系统数据泄露引发的一点点感慨
个人信息保护不当,宁夏6家物业公司被处罚
网络安全保护不是儿戏,违法违规必被查处
罚款8万!某科技公司因数据泄漏被依法处罚
近2万条学员信息泄露!该抓的抓,该罚的罚!
信息系统被入侵,单位主体也得担责!
警方打掉通过木马控制超1400万部“老年机”自动扣费的犯罪团伙
张家界警方全链条团灭非法侵入1600余台计算机系统终端案!
警方提醒!多名百万网红被抓,54人落网!
不履行数据安全保护义务,这些公司企业被罚!
“一案双查”!网络设备产品服务商这项义务要履行!
>>>等级保护<<<
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:什么是等级保护?
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:等级测评中的渗透测试应该如何做
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:信息技术服务过程一般要求
网络安全等级保护:浅谈物理位置选择测评项
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
信息安全服务与信息系统生命周期的对应关系
>>>工控安全<<<
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
业控制系统安全:DCS风险与脆弱性检测要求思维导图
>>>数据安全<<<
数据治理和数据安全
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
金融数据安全:数据安全分级指南思维导图
金融数据安全:数据生命周期安全规范思维导图
什么是数据安全态势管理 (DSPM)?
>>>供应链安全<<<
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图
英国的供应链网络安全评估
>>>其他<<<
网络安全十大安全漏洞
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
网络安全等级保护:应急响应计划规范思维导图
安全从组织内部人员开始
VMware 发布9.8分高危漏洞补丁
影响2022 年网络安全的五个故事
2023年的4大网络风险以及如何应对
网络安全知识:物流业的网络安全
网络安全知识:什么是AAA(认证、授权和记账)?
美国白宫发布国家网络安全战略
开源代码带来的 10 大安全和运营风险
不能放松警惕的勒索软件攻击
10种防网络钓鱼攻击的方法
5年后的IT职业可能会是什么样子?
累不死的IT加班人:网络安全倦怠可以预防吗?
网络风险评估是什么以及为什么需要
美国关于乌克兰战争计划的秘密文件泄露
五角大楼调查乌克兰绝密文件泄露事件
如何减少制造攻击面的暴露
来自不安全的经济、网络犯罪和内部威胁三重威胁
2023 年OWASP Top 10 API 安全风险
什么是渗透测试,能防止数据泄露吗?
SSH 与 Telnet 有何不同?
管理组织内使用的“未知资产”:影子IT
最新更新:全国网络安全等级测评与检测评估机构目录(9月15日更新)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月12日11:10:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全知识:供应链攻击4个示例https://cn-sec.com/archives/2650515.html

发表评论

匿名网友 填写信息