当你想到网络安全攻击时，你会想到黑客探测网络漏洞的画面。或者是窃取员工登录凭据或安装在计算机上的恶意软件的网络钓鱼攻击。

这些都是有效和常见的攻击方法。但是，如果有另一种方式渗透到一个不涉及直接攻击目标的网络呢？

供应链攻击就是这样做的，利用与目标相关的组织并攻击目标的供应链。那么什么是供应链攻击，它们是如何工作的呢？

什么是供应链黑客(a supply chain hack)？

供应链攻击旨在通过精确定位供应网络的脆弱部分来破坏或渗透组织。攻击一个供应链为成功渗透提供了多种机会，尤其是在攻击一个拥有复杂供应链网络的组织时。

在几乎所有的供应链攻击中，最初的受害者并不是攻击者的唯一目标。相反，供应链元素是通向更大的鱼的垫脚石。攻击者利用较易攻击的目标中的漏洞，并利用这些漏洞达到最终目标。

尽管供应链攻击听起来很罕见，但BlueVoyant的Opinion Matters于2020年6月进行的一项研究（PDF，需要注册）发现，80%的组织“在过去12个月内遭遇了与第三方相关的违约”。此外，77%的受访者“对其第三方供应商的可见性有限”

有了这样的数字，你就明白了为什么供应链攻击不仅很流行，而且也明白了它们是如何成功地从最初的目标转移到主要组织的。

对于一家公司来说，发现第三方软件供应链攻击是极其困难的。攻击的本质意味着恶意文件不仅对主要目标隐藏，而且对供应链中易受攻击的环节隐藏。计算机甚至不需要在线就可以让攻击生效。

只有当目标组织的数据开始在其他地方销售或类似的东西触发警报时，目标组织才可能意识到存在问题。通过对内部网络的深入访问，可以在组织内部自由移动，甚至可以删除入侵者的信号。

供应链攻击类型

供应链攻击并非一刀切。一个主要组织的供应链可以包括多个不同的运动部件。攻击者必须考虑对目标使用哪种类型的供应链攻击。

这里有三个值得注意的供应链攻击。

1目标

2013年，美国零售商塔吉特（Target）遭到重大攻击，导致其门店使用的1.1亿张信用卡和借记卡信息丢失。被盗的数据总量只有11GB，但被盗的数据类型特别有价值。

攻击者在Target的公司网络中发现了一些第三方供应商。虽然最终的攻击次数不得而知，但脆弱的企业是制冷承包商法齐奥机械公司。

一旦承包商受到威胁，攻击者就在公司网络内等待，直到有可能使用被盗凭证升级到目标系统。最终，攻击者获得了对目标服务器的访问权，在公司网络中寻找其他易受攻击的系统。

从这里开始，攻击者利用Target的销售点（POS）系统，窃取了数百万客户的信用卡信息。

2太阳风

第三方软件供应链攻击的一个主要例子是SolarWinds，它的Orion远程管理软件在2020年遭到破坏。攻击者在软件更新过程中**恶意后门。

当更新被推送到SolarWinds的数十万客户手中时，攻击者的恶意软件也随之而去。由于更新的数字签名是正常的，一切都像往常一样。

相关：什么是代码签名恶意软件？

作为正常更新过程的一部分激活该软件后，攻击者可以访问大量关键目标，包括美国财政部、国土安全部、商务部、国务院、国防部和能源部以及国家核安全局。

太阳风攻击是有史以来规模最大、最成功的供应链攻击之一。

三。蠕虫病毒

你知道有史以来最臭名昭著的黑客攻击之一是供应链攻击吗？

Stuxnet是一种计算机蠕虫，它有一个极其特定的目标：运行特定软件类型的系统，来自伊朗核电站的特定**商。Stuxnet恶意软件导致离心机的速度急剧提高，破坏离心机中的材料和过程中的基础设施本身。

相关报道：网络攻击会造**身伤害吗？

据信，这种针对性强、极其复杂的蠕虫病毒是美国和以色列**共同努力消除伊朗核威胁的成果。

Stuxnet是使用一个受感染的USB闪存驱动器引入伊朗核电站供应链的。一旦安装在一台计算机上，Stuxnet就在网络中横向移动，在运行之前寻找正确的控制系统。

因为Stuxnet有一个精确的目标，它不会引起人们对自身的注意，只有当它碰到符合规格的计算机时才会激活。

如何在供应链攻击时代保持安全

供应链在最好的时候很难管理。许多公司使用第三方软件解决方案来管理其业务的各个方面。这些工具包括远程管理工具或会计软件，甚至包括像MicrosoftOffice365这样的平台。

公司不能把业务的方方面面都放在一个屋檐下。他们也不应该这样做。信任软件开发人员或云服务提供商不应该大大增加您或您的企业成为攻击受害者的机会。

提高企业和消费者的安全性也会引发供应链攻击。如果攻击者找不到进入组织的方法，那么向下攻击下一层是获得访问权限的最经济和实用的方法。它也不太可能被企业安全系统发现。

在许多情况下，供应链攻击是广泛的，研究充分，资金充足的行动。

例如，SolarWinds是一个民族国家黑客团队的作品，该团队花了数月的时间来研究和实施供应链黑客。无独有偶，Stuxnet将多起零日攻击合并成一个攻击伊朗核电站的一揽子计划，目标供应链黑客攻击花了一段时间才成功。

这些不是我们这里说的随机脚本业余爱好者，他们偶然发现了一个漏洞。他们是黑客团队，共同攻击特定目标。供应链恰好是阻力最小的路径。