本報告摘要:
自從資訊安全研究人員在 2020 年 12 月發現攻擊者在 Solar Winds 應用程式的軟體更新中遭植入木馬程式事故後,這對於超過 18,000 家企業和政府機構而言,無非是在對於軟體供應鏈安全管理最粗暴,也是最重大的攻擊。儘管 Solar Winds 事故是迄今為止最巨大且最著名的軟體供應鏈攻擊,但遺憾的是,這並不是一個個別事件。事實上,軟體供應鏈攻擊已是企業需面臨到的普遍威脅,僅僅在過去的一年內,攻擊者就發動了近 7,000 次軟體供應鏈攻擊。不法分子不斷透過滲透、植入惡意程式攻擊的方式來竊取數據、損害目標受害組織系統並透過上、下游串連的特性,進入供應鏈網路的其他途徑攻擊。
由於軟體供應鏈攻擊是惡意行為者滲透軟體供應商的網絡,並利用惡意代碼來破壞軟體元件,而後再透過供應商系統發送到客戶端;而被破壞的軟體程式會接續威脅客戶的數據或系統。對於下游客戶來說,新啟用的軟體可能從一開始就受到威脅,或者威脅也可能透過安全修復版本或緊急修復發生。供應鏈攻擊透過以上方式進而滲透到所有使用到遭受惡意程式竄改軟體的用戶,對於政府、關鍵基礎設施和民營企業客戶都有可能產生大規模的連鎖效應。
您將會從本白皮書學到:
請留下資料免費取得白皮書!