[太阳]黑客悄悄污染软件源头大范围投放恶意代码实施供应链投毒攻击,企业经营系统与普通人手机电脑全都暗藏安全隐患,牢记靠谱防护办法,下载各类软件时千万不能随意点击不明渠道安装包
国家网络安全通报中心持续跟踪线上网络威胁。
近期监测到多起集中出现的软件供应链投毒攻击事件,风险覆盖开源软件仓库以及各类商用工具两大主要使用场景。
这类网络威胁和大家平时听说的普通黑客侵扰完全不是一个层级。
一旦恶意程序扩散开来,能够实现大批量全域终端同步感染,造成的连锁破坏很难快速止损。
不少人分不清供应链投毒和常见电脑病毒之间的差别。
中国信息通信研究院DCCI互联网研究院院长刘兴亮用生活里常见的瓶装矿泉水做出通俗易懂的解释。
如果把各类手机、电脑软件比作市面上售卖的矿泉水。
传统病毒只会单独污染某一瓶已经送到消费者手中的饮品,供应链投毒却直接渗透到生产流水线,整批次产出的产品都会携带有害物质。
发动攻击的网络不法分子不会直接针对普通人手中的电子设备下手。
他们会提前潜入软件研发的上游生产环节,靠盗取开发人员账号、私自改写开源代码、篡改软件更新安装包几种方式植入恶意代码。
这些藏有隐患的程序会跟随软件新版本推送、常规升级操作流转,短时间内扩散到成千上万台终端设备,形成连锁式安全事故。
这种攻击模式属于牵一发而动全身的系统性风险,和直接瞄准单一设备的入侵手段有着本质区别,整套传播逻辑依托上游污染、向下层层传导的路径运转。
只要某一款核心代码组件被不法分子篡改污染,所有调用这款组件的软件都会连带出现安全漏洞,危险顺着代码依赖关系持续向外蔓延。
业内从业者整理出三类日常使用中风险偏高的场景,不管是经营企业的从业者还是普通上网民众,平时使用电子设备都需要多一份警惕之心。
第一类面向程序开发人群,大家日常频繁调取的开源仓库存在漏洞风险,Python、JavaScript生态下大量第三方组件都有可能被恶意篡改。
第二类面向企业办公场景,公司内部自研工具、API接口程序、后台运维平台都是黑客重点瞄准的目标。
第三类场景和每一个普通人息息相关,日常软件版本更新、浏览器插件安装、手机应用下载这三类操作,恰恰是供应链投毒入侵个人设备的主要入口。
企业一旦不幸中招,内部员工账号密码、接口访问密钥、客户隐私资料与核心商业资料都有可能被黑客盗取,严重时后台服务器会被远程操控,整套经营业务直接陷入瘫痪状态。
普通网民遭受这类攻击后,个人隐私信息会全部泄露,各类平台登录账号存在被盗刷风险。
电子设备控制权会被黑客夺走,还有很大概率染上勒索病毒。
部分被控制的终端还会被归入黑客搭建的僵尸网络,在使用者不知情的前提下,转而成为攻击其他网络用户的工具。
企业单位想要规避供应链投毒带来的损失,需要划定专门负责网络安全的部门与工作人员。
把开源组件选用、第三方软件采购、新系统上线检测、安全漏洞更新处置全部纳入常态化管理制度。
企业向外采购商用软件、外包开发线上系统、对接外部技术服务的过程中,合作合同里必须写清安全检测标准、漏洞修复时效、程序组件来源核验、用户数据保护以及突发事件应急处理相关责任条款。
采购筛选软件不能只看重功能是否满足需求,忽略潜藏的安全隐患。
普通民众不用记忆复杂的防护流程。
日常上网守住三条简单准则就能大幅降低中招概率,下载软件只认准软件官方网站和手机自带正规应用商店,网上流传的各类破解程序一律不要安装。
网页弹窗、陌生短信、不明邮件里附带的软件更新链接不能随意点开。
来路说不清的脚本文件、浏览器插件也不要轻易添加到设备当中。
过去大家做网络安全防护,注意力大多放在阻拦黑客直接入侵手中电子设备。
如今潜藏在软件研发源头的供应链投毒,变成难以察觉的幕后网络威胁。
软件早已成为人们生产生活离不开的数字基础设施,供应链安全不再只是企业需要操心的内部事务。
属于覆盖全体社会民众的公共安全事项,所有人都不能抱着无所谓的心态忽视相关风险。

