常見的供應鏈攻擊有哪些

常見的供應鏈攻擊有以下這些：

• 上游服務器妥協攻擊：對于大多數軟件供應鏈攻擊，攻擊者會破壞上游服務器或代碼存儲庫并注入惡意負載（例如，惡意代碼行或木馬更新），然后將該有效載荷向下游分發給眾多用戶。

• 中游妥協以傳播惡意更新攻擊：術語“中游”在這里主要指攻擊者破壞中間軟件升級功能或 CI/CD工具而非原始上游源代碼庫的實例。這種供應鏈攻擊還具備社會工程學因素，攻擊者可以設法更改用戶手冊、幫助文件和PowerShell構建腳本。

• 依賴項混淆攻擊：如果您的軟件構建使用私有的、內部創建的依賴項，而該依賴項在公共開源存儲庫中不存在，那么依賴項混淆（或命名空間混淆）就會起作用。攻擊者能夠在公共存儲庫上以相同的名稱注冊具有更高版本號的依賴項。然后，很大的可能是，攻擊者創建的具有更高版本號的（公共）依賴項——而非您的內部依賴項——將被拉入您的軟件構建中。

• 被盜的SSL和代碼簽名證書：雖然受損的SSL證書存在影響，但被盜的代碼簽名證書（即受損的私鑰）會對軟件安全產生更廣泛的影響。獲得私有代碼簽名密鑰的攻擊者可能會將他們的惡意軟件簽名為由信譽良好的公司提供的真實軟件程序或更新。

• 使用社會工程學來引入惡意代碼：任何安全專業人員都知道，安全性取決于其最薄弱的環節。由于人為因素仍然是最薄弱的環節，因此泄露往往來自最意想不到的地方。最近，明尼蘇達大學的研究人員被踢出了 Linux 貢獻群體，Linux 內核社區也撤銷了他們之前提交的所有Linux內核代碼，原因在于他們故意提出有缺陷的“補丁”，而這些“補丁”又會在 Linux 內核源代碼中引入漏洞。

預防供應鏈攻擊的方法有以下這些：

• 評估當前戰略：更好的供應鏈安全始于當前戰略，評估戰略它們在減輕供應鏈威脅方面是否有效，它們是否符合合規性要求，他們能否適應不斷變化的風險現實。

• 測試、測試、再測試：定期滲透測試和漏洞掃描可以幫助識別潛在的供應鏈安全弱點。從那里，可以關閉潛在的攻擊途徑。

• 識別和加密：通過識別和加密其環境中的高度敏感數據，企業可以減少確實發生的供應鏈攻擊的范圍。即使惡意行為者獲得訪問權限，他們也無法利用受保護的資產。

• 第三方風險管理：如今的供應鏈軟件格局比以往任何時候都更加復雜。因此，企業必須對供應商安全實踐進行深入分析。他們需要打破內部運營孤島，以確保所有部門在保護方面都在同一頁面上。

• 零信任框架：通過轉向“始終驗證，從不信任”框架，企業可以創建功能性前線防御。零信任甚至需要熟悉的應用程序和服務在獲得網絡訪問權限之前通過身份驗證檢查。

回答所涉及的環境：聯想天逸510S、Windows 10。