软件供应链攻击风险激增:威胁类型与防御策略

本文深入分析软件供应链攻击的上升趋势,详细介绍了上游攻击、依赖混淆攻击等常见攻击类型,并结合Okta、Kaseya等真实案例,探讨了财务、运营和声誉三重影响,最后提供了供应商风险评估和持续监控等关键防御策略。

为什么不能忽视软件供应链攻击

最后更新:2025年5月5日

安全要点

  • 过去几年中,针对组织第三方软件供应链的威胁行为者数量迅速增加
  • 目前仅有三分之一组织准备好保护自己免受软件供应链威胁
  • 近期公开的软件供应链攻击案例对受影响组织及其客户造成了广泛的财务、运营和声誉损害
  • 企业必须与第三方供应商建立共同责任,并遵守严格的软件供应链网络安全最佳实践

Ivanti的2025年网络安全状况报告显示,仅有三分之一组织认为准备好保护自己免受软件供应链威胁。随着攻击者越来越多地针对第三方依赖项,如果组织继续忽视这些问题,供应链攻击可能成为网络安全的致命弱点。

软件供应链攻击风险上升

攻击面正在快速扩展,而组织软件供应链是这一扩展的关键载体。现代企业依赖其技术基础设施中的众多软件应用程序、工具和依赖项。根据BetterCloud 2024年报告,单个组织平均使用112个SaaS应用程序。而这个网络只会变得更加复杂。平均每个软件应用程序有150个依赖项,其中90%是间接依赖项,这些占据了绝大多数漏洞。

过去几年中,针对第三方依赖项的威胁行为者数量迅速增加,2024年有75%的软件供应链报告遭受攻击。软件供应链威胁也变得更加复杂,因为攻击者寻找供应商代码中的任何弱点进行利用。然而,安全团队往往难以正确审查所有软件组件。

Ivanti的网络安全研究发现,尽管84%的组织领导者表示监控软件供应链"非常重要",但近一半(48%)尚未识别其自身供应链中最脆弱的组件。这种尽职调查的缺乏使公司面临巨大的财务和声誉风险。

常见的软件供应链攻击类型

根据Gartner的数据,到2025年,45%的组织将经历软件供应链攻击。以下是攻击者针对的一些最常见软件供应链漏洞类型的简要概述:

上游服务器攻击是最常见的供应链攻击。当黑客入侵位于用户"上游"的系统(如代码仓库)并注入恶意负载/恶意软件时,就会发生这种情况。然后该负载通过软件更新等方式传播到"下游"用户。

中游攻击指攻击者入侵中间系统(如软件开发工具)而非原始代码库的事件。

依赖混淆攻击试图欺骗开发人员或系统从外部源下载受损的软件依赖项。一些常见的攻击方法包括使用与受信任内部库相似的恶意软件上传名称。恶意版本通常被集成到软件构建中,而不是合法的依赖项。

代码签名证书攻击发生在黑客将恶意软件注入旨在验证软件安全性和真实性的数字代码签名证书中。这些攻击发生在威胁行为者通过社会工程或其他策略入侵开发环境时。

CI/CD基础设施攻击通过引入恶意软件(如为恶意目的克隆真实的GitHub仓库)来针对自动化开发管道。

近期供应链攻击案例

您不需要深入挖掘新闻就能找到这些攻击类型的真实案例。以下是过去几年引起全球关注的一些供应链攻击事件:

Okta社会工程攻击

2023年10月,身份和访问管理服务提供商Okta在其四个不同客户成为针对其IT服务台的社会工程攻击受害者后,经历了严重的客户支持系统数据泄露。攻击者使用这些管理凭据发起多个下游攻击,导致未经授权访问数千个Okta客户的数据,包括1Password、BeyondTrust和Cloudflare。

Kaseya勒索软件攻击

在2021年7月的这个案例中,黑客利用了Kaseya远程管理工具中的六个零日漏洞,并使用这些漏洞通过软件更新分发恶意勒索软件负载,感染了数百个托管服务提供商(MSP)及其客户。这次攻击导致全球近2,000家企业运营中断,当攻击者要求支付惊人的7,000万美元赎金(最终未支付)时成为头条新闻。

Codecov CI/CD攻击

2021年1月,恶意行为者渗透了流行的代码测试工具Codecov,当时该工具被超过29,000名客户使用。攻击者获得了对Codecov的Bash Uploader脚本的未经授权访问,并引入了恶意代码,然后被Codecov客户在其CI/CD管道中使用。Codecov直到2021年4月才检测并报告此次攻击——这意味着这些恶意行为者可能数月来一直可以访问数千个客户系统中的敏感数据。

这些供应链违规事件中的每一个都对被利用的提供商、他们的数千名客户及其他方面造成了连锁性、广泛性的损害。

供应链攻击的严重影响

软件供应链攻击造成的损害规模不容低估。上述每次攻击都导致了重大的财务和声誉损害,并促使许多组织重新考虑其供应商安全方法。

财务影响

网络安全风险投资预测,到2031年,软件供应链攻击对企业的全球年度成本将达到惊人的1,380亿美元,高于2025年的600亿美元。这些损失包括从收入损失、补救成本和法律费用到不合规的潜在罚款等一切。在2023年数据泄露后,Okta股价下跌了11%。在2022年另一次重大数据泄露后,Okta随后受到受影响股东的起诉,并被要求支付6,000万美元。

运营影响

供应链攻击可能导致数千名客户遭受中断和系统关闭,停止关键运营并造成进一步影响其他供应商的延迟。让我们看看受Kaseya违规影响的一些机构。在瑞典,一家大型食品零售商被迫在周末关闭800家商店,国家铁路也遭受了中断。新西兰的11所学校和100多所托儿所也不得不停止所有在线运营,转而使用笔和纸,直到事件得到解决。

声誉损害

公开受损的声誉可能会使公司在与客户和股东的信任方面倒退。企业可能会失去花费数年建立的供应商和客户忠诚度。2023年3月,流行的商业通信软件3CX在黑客将恶意代码注入其应用程序时遭到破坏,可能暴露了超过600,000名客户的敏感数据,并为公司带来了数月的负面媒体关注和公众反弹。

责任止于何处?技术债务和共同责任

随着软件供应链威胁预计在频率和严重性上都会增加,企业必须建立明确的责任制,并遵守第三方供应商和软件供应链网络安全的严格安全最佳实践。

谁拥有软件安全?

目前,许多组织缺乏评估第三方供应商安全性的严格和标准化流程。此外,许多客户和供应商甚至对谁负责管理第三方软件安全没有达成一致。

网络安全趋势状况报告分析了具有不同网络安全能力水平的组织,以制定我们的网络安全成熟度量表。该量表范围从不太成熟的组织(第1级和第2级)到具有更先进网络安全能力的组织(第4级)。

通过这项研究,我们发现不太成熟的组织最常认为网络安全完全是供应商的责任。然而,那些具有最高水平网络安全准备的组织主张软件供应商和客户之间的共同责任。

如何防范软件供应链威胁

软件供应链安全是全面和主动网络安全战略的重要组成部分。

加强软件供应链并防御潜在攻击要求组织将所有第三方供应商和组件视为其整个攻击面的延伸部分。以下是我们对组织确保准备好更好地预防供应链攻击以及检测和响应任何潜在供应链威胁的关键建议。

1. 严格的供应商管理和风险评估

在与软件供应商合作之前做好尽职调查。寻找符合行业标准并已发布漏洞披露政策的供应商。来自供应商和客户的定期审计、代码审查和主动评估是降低风险的关键。

我们的研究发现,具有最先进网络安全水平的组织最有可能在评估其第三方供应商的网络安全时进行尽职调查,包括:

  • 在评估中纳入安全评估问卷(SAQ)
  • 考虑供应商的安全认证,如ISO 27001和SOC 2
  • 审查行业特定的合规标准
  • 确保供应商有事件响应计划和流程来处理潜在的安全漏洞
  • 要求软件材料清单(SBOM)以了解其软件中使用的开源和第三方组件

2. 对所有依赖项进行持续监控和主动修复

采用自动化威胁检测工具和流程来监控和评估所有软件组件是关键。依赖项,特别是在开源软件组件中,经常被忽视,如果不定期监控和更新,将是主要的漏洞风险。

人工智能和自动化工具可以提供设备、应用程序和网络性能的实时洞察,以检测潜在问题。自我修复和自动化修复解决方案提供了以最少或无需人工干预解决问题的高效方法。

3. 与第三方供应商的定期沟通

建立软件供应链安全共同责任的基石是客户和第三方供应商之间频繁、开放的沟通。安全和IT团队需要及时了解任何软件更新、修复已知漏洞的补丁以及任何新出现的安全威胁。

了解更多关于软件供应链安全的信息

想了解更多?阅读完整的网络安全趋势状况报告,深入了解当今最紧迫的网络安全威胁和主动风险管理策略。

常见问题解答

什么是软件供应链? 软件供应链包括组成组织系统和内部基础设施的任何外部供应商、服务提供商、应用程序、第三方代码、配置和依赖项。

什么是上游攻击? 上游攻击针对基础或开发环境,例如通过注入恶意代码来入侵服务器或代码仓库。上游攻击是最常见的软件供应链攻击类型。

什么是中游攻击? 中游攻击指攻击者入侵中间系统(如软件开发工具或CI/CD工具)而非入侵原始上游源代码库的事件。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次