近日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院(NIST)聯(lián)合發(fā)布了網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)管理(C-SCRM)框架和安全軟件開(kāi)發(fā)框架(SSDF)指南項(xiàng)目，為網(wǎng)絡(luò)防御者提供了與供應(yīng)鏈攻擊相關(guān)的趨勢(shì)和最佳實(shí)踐。

供應(yīng)鏈攻擊的最常見(jiàn)技術(shù)是：

• 劫持更新
• 破壞代碼簽名
• 破壞開(kāi)源代碼

在某些情況下，攻擊可能會(huì)混合使用上述技術(shù)來(lái)提高其效率。

這些攻擊大多數(shù)歸因于資源豐富的攻擊者和APT團(tuán)體，它們具有很高的技術(shù)能力。

報(bào)告指出：“軟件供應(yīng)鏈攻擊通常需要強(qiáng)大的技術(shù)才能和長(zhǎng)期投入，因此通常很難執(zhí)行?？偟膩?lái)說(shuō)，高級(jí)持續(xù)威脅(APT)參與者更有可能、同時(shí)有意愿和能力來(lái)進(jìn)行可能危害國(guó)家安全的高度技術(shù)性和長(zhǎng)期性的軟件供應(yīng)鏈攻擊活動(dòng)。”

報(bào)告指出，組織容易受到此類(lèi)攻擊的原因有兩個(gè)：

• 許多第三方軟件產(chǎn)品需要特權(quán)訪問(wèn)
• 許多第三方軟件產(chǎn)品需要賣(mài)方網(wǎng)絡(luò)與位于客戶網(wǎng)絡(luò)上的賣(mài)方軟件產(chǎn)品之間的頻繁通信

該指南包含一系列建議，內(nèi)容涉及組織如何預(yù)防供應(yīng)鏈攻擊以及在使用此技術(shù)交付惡意軟件或易受攻擊的軟件的情況下如何緩解這些攻擊。

項(xiàng)目地址：https://csrc.nist.gov/projects/cyber-supply-chain-risk-management

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文