人人妻人人爽人人做夜欢视频九色,亚洲欧洲日产国码久在线,亚洲av日韩av无码黑人,久久国产avjust麻豆

      軟件供應(yīng)鏈攻擊，一般是指在軟件的設(shè)計、開發(fā)、集成、部署、升級、修復(fù)等過程中，植入惡意程序或代碼（攻擊者可能利用漏洞或管理上的安全缺失進(jìn)行代碼植入），對計算機(jī)系統(tǒng)造成損害。從在更新過程中替換相關(guān)補(bǔ)丁文件的簡單攻擊，到入侵代碼庫插入惡意代碼的復(fù)雜攻擊，軟件供應(yīng)鏈攻擊在網(wǎng)絡(luò)攻擊中所表現(xiàn)的形式呈多樣化。軟件供應(yīng)鏈攻擊可輕易繞過傳統(tǒng)的防御壁壘，并且可長期潛伏在目標(biāo)系統(tǒng)中，對系統(tǒng)安全構(gòu)成嚴(yán)重威脅。近幾年，軟件供應(yīng)鏈安全問題越來越突顯，對其進(jìn)行研究并加以防范，對維護(hù)網(wǎng)絡(luò)空間安全的意義重大。

一、軟件供應(yīng)鏈攻擊事件數(shù)量持續(xù)增加

      根據(jù)360威脅情報中心的《軟件供應(yīng)鏈來源攻擊報告》，近幾年發(fā)生的軟件供應(yīng)鏈攻擊事件達(dá)30多起。從這些攻擊事件可以看出，軟件供應(yīng)鏈攻擊呈現(xiàn)出的特點(diǎn)包括隱蔽性較強(qiáng)、影響范圍較廣、攻擊門檻相對較低等。

      1．軟件供應(yīng)鏈攻擊影響范圍更大

      從影響范圍看，軟件供應(yīng)鏈攻擊往往發(fā)生在軟件生態(tài)環(huán)境的根源和傳輸環(huán)節(jié)，具有天然的擴(kuò)散屬性，一次攻擊足以引發(fā)大規(guī)模的攻擊事件。針對生產(chǎn)環(huán)節(jié)的軟件供應(yīng)鏈攻擊所造成的影響比針對運(yùn)營環(huán)節(jié)的攻擊大得多，因?yàn)樯a(chǎn)環(huán)節(jié)處于軟件供應(yīng)鏈的上游，一旦遭到攻擊，即可波及更多下游環(huán)節(jié)。在2015年的XcodeGhost事件中，Xcode編譯器被惡意篡改，導(dǎo)致蘋果應(yīng)用商店（AppStore）中下載量最高的5000個應(yīng)用程序（App）中有76款被感染，其中包括多家大公司的知名App。安全漏洞攻擊一般發(fā)生在單點(diǎn)上，通用軟件的漏洞攻擊無疑也會導(dǎo)致較大規(guī)模的影響，但是，由于其較弱的傳播能力，在影響范圍上不及軟件供應(yīng)鏈攻擊。

       2．軟件供應(yīng)鏈攻擊的檢測難度較高

      軟件供應(yīng)鏈攻擊的隱蔽性較強(qiáng)，多數(shù)軟件供應(yīng)鏈攻擊發(fā)生在軟件的生產(chǎn)、傳輸過程中，在傳統(tǒng)觀念中，這些環(huán)節(jié)被默認(rèn)是安全的（尤其是生產(chǎn)環(huán)節(jié)，幾乎所有人都認(rèn)為編譯器是可信的），終端防護(hù)也很少對這些環(huán)節(jié)進(jìn)行檢測。軟件供應(yīng)鏈的檢測需要聯(lián)動的合作機(jī)制，難以從單點(diǎn)上發(fā)現(xiàn)。2017年6月發(fā)生的NotPetya勒索病毒事件，攻擊根源來自于M.E.Doc公司的更新服務(wù)器，而該公司安全能力較低，在這種情況下，要從根源上去檢測并根除這種攻擊的難度非常大。

      3．軟件供應(yīng)鏈攻擊的數(shù)量呈上升趨勢

      在越來越復(fù)雜的互聯(lián)網(wǎng)環(huán)境下，軟件供應(yīng)鏈暴露給攻擊者的攻擊面也越來越多。攻擊者利用軟件供應(yīng)鏈各個環(huán)節(jié)中的脆弱點(diǎn)實(shí)施攻擊，攻擊門檻相對較低，安全漏洞并不是必需條件，管理中的安全問題或相關(guān)人員的薄弱安全意識被利用，也足以導(dǎo)致遭受軟件供應(yīng)鏈攻擊。近些年，越來越多的攻擊者利用這種特點(diǎn)實(shí)施攻擊，例如“Putty后門事件”，攻擊者僅需向某個常用工具中注入惡意代碼，并將其發(fā)布在網(wǎng)絡(luò)上，便會不斷有人下載使用。

二、軟件供應(yīng)鏈攻擊主要體現(xiàn)在生產(chǎn)和運(yùn)營兩環(huán)節(jié)

      軟件供應(yīng)鏈攻擊的成因主要在于在軟件生命周期內(nèi)被植入惡意代碼所導(dǎo)致，從被攻擊環(huán)節(jié)的角度考慮，軟件供應(yīng)鏈攻擊主要在生產(chǎn)和運(yùn)營兩大環(huán)節(jié)產(chǎn)生。

      在生產(chǎn)環(huán)節(jié)，編譯器是被攻擊的重要目標(biāo)。編譯器的正確性要求編譯前后的源碼與目標(biāo)代碼須在語義上保持一致。在某些場景下，編譯器廠商出于某種目的可能會插入與源碼無關(guān)的代碼，如為滿足安全性和測試需求，微軟的開發(fā)集成環(huán)境Visual Studio默認(rèn)會在編譯鏈接過程中加入棧保護(hù)（GS）、動態(tài)基址（DynamicBase）和遙測（Telemetry）等功能。一般情況下，這些額外的代碼并不會產(chǎn)生惡意后果。若編譯器是可信可靠的前提條件被推翻，編譯器被植入惡意代碼，那么，其編譯生成的目標(biāo)代碼也將被感染。編譯器的迭代編譯又使新編譯器被老舊編譯器污染，最終導(dǎo)致惡意代碼的繁衍和擴(kuò)散。Unix系統(tǒng)的創(chuàng)始人之一肯·湯普森（Ken Thompson），曾提出在編譯器自身編譯的過程中加入后門代碼，使其在編譯任意源碼時都可將后門插入到目標(biāo)代碼中。

       軟件集成過程同樣容易遭受攻擊。Github、SourceForge等源代碼管理網(wǎng)站為開發(fā)人員代碼共享提供了便利平臺。據(jù)統(tǒng)計，Github上存儲了9千多萬個項(xiàng)目，用戶量達(dá)到3100萬；SourceForge的用戶量達(dá)到3300萬。在這些網(wǎng)站上，所有人都可參與源代碼的開發(fā)與維護(hù)，提交自己的代碼分支，這就使惡意代碼的植入有機(jī)可乘。項(xiàng)目集成和代碼復(fù)用帶來額外的風(fēng)險，未對第三方代碼與軟件進(jìn)行安全檢測與審查，是導(dǎo)致供應(yīng)鏈問題出現(xiàn)的主要原因。系統(tǒng)中，任一組件被植入惡意代碼，便可破壞整個系統(tǒng)的安全性。

      在軟件運(yùn)營環(huán)節(jié)，尤其是在更新或升級過程中，多數(shù)軟件并未對升級過程進(jìn)行嚴(yán)格檢查，從而使攻擊者有機(jī)可乘。在用戶升級或更新過程中，攻擊者可能通過中間人攻擊替換升級軟件或補(bǔ)丁包，或誘騙用戶從非官方渠道下載，以達(dá)到網(wǎng)絡(luò)攻擊的目的。攻擊者還可通過捆綁攻擊的形式，即在常用軟件中捆綁額外的軟件并發(fā)布，用戶在下載安裝該軟件的同時，也將其他軟件一并安裝到本地。

三、軟件供應(yīng)鏈安全的研究與推進(jìn)工作

       軟件供應(yīng)鏈安全越來越受到關(guān)注，安全研究團(tuán)隊(duì)、安全公司，甚至在國家層面，都開展了軟件供應(yīng)鏈安全的研究與推進(jìn)工作。

      在軟件供應(yīng)鏈安全研究方面，國內(nèi)外研究所、安全公司重點(diǎn)圍繞軟件供應(yīng)鏈攻擊事件進(jìn)行跟蹤分析，以尋求技術(shù)解決方案。例如，360威脅情報中心發(fā)布的《軟件供應(yīng)鏈來源攻擊報告》，研究近幾年發(fā)生的軟件供應(yīng)鏈攻擊事件，從用戶、生產(chǎn)廠商、安全廠商的角度分別提出相應(yīng)的解決方案。在理論研究方面，吳世忠等人編著的《信息通信技術(shù)供應(yīng)鏈安全》，主要探討了軟硬件供應(yīng)鏈的安全風(fēng)險，并提出了相應(yīng)的對策建議。在實(shí)踐活動方面，2018年3月，阿里安全正式啟動“功守道”軟件供應(yīng)鏈安全大賽。該比賽通過模擬真實(shí)軟件供應(yīng)鏈攻擊案例，利用攻守方的技術(shù)博弈，以期促使更多人關(guān)注軟件供應(yīng)鏈安全技術(shù)的發(fā)展，這是國內(nèi)首次以軟件供應(yīng)鏈攻防技術(shù)為主題的比賽活動，也是產(chǎn)業(yè)界在軟件供應(yīng)鏈安全技術(shù)研究領(lǐng)域的一次有意義的探索。

       在軟件供應(yīng)鏈安全標(biāo)準(zhǔn)制訂方面，2018年10月，由中科院軟件所、華為、聯(lián)想、螞蟻金服等公司起草的國家標(biāo)準(zhǔn)《信息安全技術(shù) ICT供應(yīng)鏈安全風(fēng)險管理指南》發(fā)布。該標(biāo)準(zhǔn)規(guī)定了信息通信技術(shù)（ICT）供應(yīng)鏈安全風(fēng)險管理的過程和控制措施。2013年8月，美國國家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）制定了《聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險管理指南草案》，并于2015年2月發(fā)布了更新版本的《聯(lián)邦信息系統(tǒng)供應(yīng)鏈風(fēng)險管理指南》，指導(dǎo)聯(lián)邦政府采取相應(yīng)措施，以減少ICT供應(yīng)鏈風(fēng)險。

      在軟件供應(yīng)鏈安全政策方面，美國在2009年發(fā)布《美國網(wǎng)絡(luò)安全空間安全政策評估報告》，將ICT供應(yīng)鏈安全提高到國家戰(zhàn)略層面。

      總體來說，目前我國在軟件供應(yīng)鏈安全技術(shù)方面的發(fā)展還處于起步階段。雖然軟件供應(yīng)鏈安全的問題在我國較早被提出，但是推行力度還遠(yuǎn)遠(yuǎn)不夠。在國家層面，缺少體系化的制度和相關(guān)政策予以支持。在行業(yè)層面，對軟件供應(yīng)鏈安全技術(shù)研發(fā)的投入不夠。在社會層面，對軟件供應(yīng)鏈安全問題缺乏重視，未建立起相關(guān)工作機(jī)制。

四、應(yīng)對建議

      軟件供應(yīng)鏈的攻擊事件持續(xù)增加，這種攻擊所帶來的風(fēng)險不只局限于經(jīng)濟(jì)利益、知識產(chǎn)權(quán)、數(shù)據(jù)隱私的破壞與竊取，還可能對國家安全構(gòu)成威脅?；诖?，本文提出如下幾點(diǎn)應(yīng)對建議。

      在國家層面，強(qiáng)化軟件供應(yīng)鏈安全體系建設(shè)，把軟件供應(yīng)鏈安全擺在突出位置，繼續(xù)推進(jìn)核心技術(shù)軟件的可靠自主可控。目前，我們國家在關(guān)鍵軟件技術(shù)方面還無法實(shí)現(xiàn)完全自主可控。操作系統(tǒng)、辦公軟件、中間件等方面均需采購使用國外生產(chǎn)的軟件，這將是我國推進(jìn)軟件供應(yīng)鏈安全進(jìn)程的不利因素。建設(shè)可信軟件供應(yīng)鏈安全體系，出臺相關(guān)政策制度，推行相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范，建設(shè)全方位、多層次、立體化的聯(lián)動工作機(jī)制，督促多行業(yè)共同努力，維護(hù)軟件供應(yīng)鏈安全。

      在行業(yè)層面，強(qiáng)化安全意識，把安全落實(shí)到軟件開發(fā)運(yùn)營的整個流程。建立可信軟件生產(chǎn)運(yùn)營環(huán)境，確保軟件生命周期的可靠安全。規(guī)范第三方開發(fā)商、第三方軟件的安全集成，對必須要引進(jìn)的第三方開發(fā)商及其軟件進(jìn)行安全審查與測評。加強(qiáng)軟件供應(yīng)鏈安全技術(shù)研究與創(chuàng)新，著力發(fā)展和完善軟件供應(yīng)鏈安全檢測與防御技術(shù)。加強(qiáng)軟件安全測評與漏洞分析，避免安全漏洞被攻擊者所利用進(jìn)行攻擊。建立高效應(yīng)急管理和保障機(jī)制，在攻擊事件發(fā)生后，應(yīng)盡快控制態(tài)勢，縮小影響范圍，降低危害程度。

      在社會層面，強(qiáng)化協(xié)調(diào)配合，形成多方參與的軟件供應(yīng)鏈安全保障格局。在國家科技重點(diǎn)專項(xiàng)中，加大對軟件供應(yīng)鏈等技術(shù)研發(fā)的投入。鼓勵和支持安全檢測機(jī)構(gòu)和社會力量圍繞關(guān)鍵基礎(chǔ)設(shè)施的軟件供應(yīng)鏈開展漏洞分析與安全測試。培養(yǎng)全民網(wǎng)絡(luò)安全意識，避免使用不可信來源的軟件，通過官方途徑進(jìn)行軟件的更新、升級、使用。借助安全檢測防護(hù)相關(guān)產(chǎn)品與服務(wù)進(jìn)行安全托管，加強(qiáng)安全防御能力。

      總之，軟件供應(yīng)鏈安全維系著整個國家、行業(yè)、社會的安全，解決軟件供應(yīng)鏈的安全問題，需要國家的鼓勵與支持，需要各行各業(yè)的共同努力。維護(hù)軟件供應(yīng)鏈安全，是網(wǎng)絡(luò)空間安全不可或缺的關(guān)鍵因素，也是國家安全保障的必然要求。

本文摘自中國信息安全，如涉侵權(quán)，請聯(lián)系公司相關(guān)人員進(jìn)行刪除