2024供應(yīng)鏈安全態(tài)勢(shì)報(bào)告

2024-04雙子座實(shí)驗(yàn)室contents品牌形象以及經(jīng)濟(jì)效益。然而，近年來(lái)供應(yīng)鏈攻擊事件頻發(fā)，不僅對(duì)單個(gè)企業(yè)造成嚴(yán)重沖擊，也對(duì)全球經(jīng)濟(jì)安了顯著威脅。本次報(bào)告通過(guò)分析近幾年供應(yīng)鏈攻擊走勢(shì)及重大事件，旨在探討當(dāng)前供應(yīng)鏈安全的發(fā)全風(fēng)險(xiǎn)、供應(yīng)鏈攻擊的典型特征及其對(duì)整個(gè)網(wǎng)絡(luò)安全行業(yè)造成的影響，報(bào)告同時(shí)給出了相應(yīng)的防范建34供應(yīng)鏈攻擊事件及特點(diǎn)近年來(lái)，供應(yīng)鏈攻擊的發(fā)生頻率呈明顯增長(zhǎng)趨勢(shì)，攻擊者利用供應(yīng)鏈網(wǎng)絡(luò)固有的復(fù)雜性植入、代碼篡改、供應(yīng)鏈流程破壞等方式，實(shí)現(xiàn)了對(duì)目標(biāo)組織的深度滲透和控制。下圖為天際友盟監(jiān)測(cè)記錄的0從趨勢(shì)圖可以看出，從2021年到2023年，供應(yīng)鏈攻擊事件穩(wěn)步增加，可以預(yù)測(cè)到2024年，供應(yīng)鏈攻擊活動(dòng)會(huì)更加頻繁，數(shù)量將大幅提升。僅從2014年第一季度來(lái)看，就已經(jīng)監(jiān)測(cè)到了近20起有影響力的攻擊案例，其中多在過(guò)去的幾年中，供應(yīng)鏈攻擊事件頻繁曝光，并造成了顯著的影響。下圖展示了最近八年來(lái)，一系列標(biāo)志性的供52017.062017.092018.072017.062017.09Notpetya勒索軟件利用烏克蘭會(huì)計(jì)軟件Notpetya勒索軟件利用烏克蘭會(huì)計(jì)軟件MeDoc傳播ccleaner系統(tǒng)清理及優(yōu)化工具遭到供應(yīng)鏈攻擊包被劫持傳播挖礦代碼2018.10廉價(jià)Android手機(jī)出廠被預(yù)安裝多款惡意程序2020.072019.092019.042020.072019.09wellMess網(wǎng)絡(luò)滲透和供應(yīng)鏈攻擊活動(dòng)wellMess網(wǎng)絡(luò)滲透和供應(yīng)鏈攻擊活動(dòng)shadowHammer攻擊活動(dòng)針對(duì)多家亞洲公司進(jìn)行供應(yīng)鏈攻擊拉伯IT提供商,使用木馬syskit2020.11Lazarus組織使用供應(yīng)鏈攻擊針對(duì)政府和銀行領(lǐng)域2020.122021.022021.052020.12codecov供應(yīng)鏈攻codecov供應(yīng)鏈攻擊影響數(shù)百家公司Darkside黑客組織對(duì)美國(guó)輸油管供應(yīng)鏈攻擊道公司colonialpipeline的攻擊供應(yīng)鏈攻擊2021.07勒索組織REvil利用kaseyaoday發(fā)起大規(guī)模供應(yīng)鏈攻擊2022.032022.012021.112022.032022.01Log4j漏洞影響全球多個(gè)服務(wù)供應(yīng)商93個(gè)wordpressLog4j漏洞影響全球多個(gè)服務(wù)供應(yīng)商93個(gè)wordpress主題和插件被植入后門布近800個(gè)惡意NPM包2022.04●GitHubOAuth令牌攻擊2022.082022.072023.052023.032022.082022.072023.05針對(duì)。kta公司的身份憑證竊取活動(dòng)針對(duì)。kta公司的身份憑證竊取活動(dòng)NPM供應(yīng)鏈攻擊IconBurst,影響數(shù)百個(gè)網(wǎng)站和應(yīng)用3CX企業(yè)級(jí)電話管理系統(tǒng)供應(yīng)商遭遇供應(yīng)鏈攻擊漏洞供應(yīng)鏈攻擊2023.09Lazarus組織VMconnect供應(yīng)鏈攻擊活動(dòng)2023.122024.032023.102023.122024.03身份安全公司。kta遭黑客身份安全公司。kta遭黑客攻擊，市值蒸發(fā)20億XZ壓縮庫(kù)供應(yīng)鏈攻擊事件7ZIP軟件供應(yīng)鏈投毒6_則是一個(gè)極其復(fù)雜且隱蔽的后門，在被植入SolarWindsOrion平臺(tái)軟件更新包后，通過(guò)供應(yīng)鏈傳播至SolarWinds效負(fù)載，其中RAINDROP還具備在網(wǎng)絡(luò)中橫向傳播的功能。完成環(huán)境檢測(cè)后，SUNBURST惡意軟件將向自定義的的后門，通過(guò)模擬系統(tǒng)管理軟件上的計(jì)劃任務(wù)來(lái)保持持久性。Sibot則是一個(gè)由VBScript編寫的惡意組件，功能包針對(duì)SolarWinds供應(yīng)鏈攻擊，研究人員認(rèn)為其幕后組織針對(duì)性很強(qiáng)，并且有著的由于SolarWinds的客戶群體十分龐大，給全球許MOVEitTransferWeb應(yīng)用程序中存在一個(gè)SQL注入漏洞，該漏洞可允許未經(jīng)身份驗(yàn)證的攻擊者訪問(wèn)MOVEit7日則是美國(guó)"陣亡將士紀(jì)念日"，攻擊者似乎利用了美國(guó)聯(lián)邦假日無(wú)人值守或防御松懈的特點(diǎn)對(duì)目標(biāo)系統(tǒng)進(jìn)行攻擊。情況，進(jìn)一步定位到SSHD中調(diào)用的xz/liblzma模塊疑似被安插后門，并最終確認(rèn)該事件為一次非常嚴(yán)重的供應(yīng)鏈corrput_lzma2.xz和good-large_compressed.lzma兩個(gè)惡意測(cè)試文件。其中，XZ壓縮庫(kù)的編譯腳本會(huì)在特定條件下從文件中讀取惡意載荷以對(duì)編譯結(jié)果進(jìn)行修改，且攻擊者會(huì)利用glibc的IFUNC特性針對(duì)編譯的二進(jìn)制文件植入后門代碼，該后門代碼又會(huì)在特定條件下HOOK系統(tǒng)OpenSSH服務(wù)的RSA_public_decrypt函數(shù)，從而致使攻供應(yīng)鏈攻擊通常發(fā)生在供應(yīng)鏈的某個(gè)隱秘環(huán)節(jié)，如第三方軟件供應(yīng)商、硬件制造商、中間服務(wù)等環(huán)節(jié)，攻擊者_(dá)一旦攻擊者成功突破供應(yīng)鏈某一環(huán)節(jié)的防線，他們能夠深入到目標(biāo)網(wǎng)絡(luò)的核心區(qū)域，甚至可體系中的眾多組織。這種攻擊可能導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)泄露、服務(wù)中斷等嚴(yán)重后果。從以上三個(gè)案例的嚴(yán)重社交工程等方式，欺騙供應(yīng)鏈成員獲得訪問(wèn)權(quán)限，或者在供應(yīng)鏈產(chǎn)品中植入惡意軟件，或者利用供應(yīng)鏈環(huán)節(jié)中件的漏洞等。由于供應(yīng)鏈的復(fù)雜性和動(dòng)態(tài)性，預(yù)防供應(yīng)鏈攻擊頗具挑戰(zhàn)。攻擊者可能利用供應(yīng)鏈中的薄弱環(huán)節(jié)及時(shí)更新的軟件、缺乏安全意識(shí)的員工等，進(jìn)行滲透，且單個(gè)組織的努力往往不足以抵御此類攻擊，所以供應(yīng)這些都需要攻擊者具備全面的攻擊能力和躲避檢測(cè)的技巧。供應(yīng)鏈攻擊相較于普通的惡意攻擊，其攻擊鏈要瞄準(zhǔn)某一薄弱環(huán)節(jié)進(jìn)行精準(zhǔn)攻擊，并配以完善的攻擊產(chǎn)業(yè)鏈，其獲取的回報(bào)往往是超出預(yù)期的，但也對(duì)。9不論是軟件還是硬件供應(yīng)商，若其安全措施不到位，都有可能成為攻擊者進(jìn)入目標(biāo)網(wǎng)開源軟件和通用組件的廣泛應(yīng)用帶來(lái)了便利，但也增加了供應(yīng)鏈攻擊的由于企業(yè)的供應(yīng)鏈條相對(duì)較長(zhǎng)，面臨了上述提到的諸多風(fēng)供應(yīng)鏈攻擊能夠通過(guò)第三方供應(yīng)商或合作伙伴潛入目標(biāo)網(wǎng)絡(luò)，這意味著攻擊者可以繞過(guò)傳統(tǒng)邊界防滲透。一旦成功植入惡意軟件或取得控制權(quán)，攻擊者可以長(zhǎng)時(shí)間在受害者的網(wǎng)絡(luò)中保持隱形，收集敏感信因供應(yīng)鏈網(wǎng)絡(luò)的連通性和輻射效應(yīng)，一次攻擊可能會(huì)影響眾多下游企業(yè)甚至消費(fèi)者。例如，通過(guò)篡改某一軟件供應(yīng)商的產(chǎn)品，攻擊者可以影響到數(shù)千乃至數(shù)萬(wàn)家使用該軟件的企業(yè)和個(gè)人，從而造成大面積的數(shù)據(jù)泄受害企業(yè)不僅要應(yīng)對(duì)內(nèi)部系統(tǒng)安全問(wèn)題，還可能因?yàn)楣?yīng)鏈攻擊事件導(dǎo)致公眾信任度下降，品牌形象受損，客當(dāng)供應(yīng)鏈攻擊瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施（如能源、通信、交通、金融等領(lǐng)域）時(shí)，其影響遠(yuǎn)超商業(yè)范疇，可能觸及國(guó)_供應(yīng)鏈攻擊通常意味著修復(fù)成本極高，企業(yè)需要投入大量人力、財(cái)力和時(shí)間去排查安全隱患，修復(fù)受損系統(tǒng)，）：通過(guò)以上多維度的策略和措施，企業(yè)可以顯著降低供應(yīng)鏈攻擊的風(fēng)險(xiǎn)，并建立起_供應(yīng)鏈安全已成為當(dāng)今企業(yè)及全社會(huì)亟待關(guān)注和解決的重要課題。只有通過(guò)深入了解供應(yīng)鏈安全鏈攻擊的特點(diǎn)，構(gòu)建全面立體的防御體系，并積極推動(dòng)供應(yīng)鏈安全