软件供应链攻击的崛起

关键要点

对手正将软件供应链视为强大的攻击媒介，显示出其针对构建环境、软件与云供应商的风险日益增加。随着AI技术在攻击者手中的快速应用，我们正步入“黄金供应链攻击时代”。最近的调查显示，每个受访的应用安全专业人士都有过软件供应链攻击的经历。组织必须仔细管理其第三方依赖风险，采取避免重大损失的必要措施。

软件供应链正成为攻击者的首选目标，针对构建环境、软件和云供应商等企业生态系统中的各个环节进行攻击，使得在提供商的系统中植入恶意软件的潜在影响指数级增长。

随着威胁行为者快速采用AI技术，我们见证了“黄金供应链攻击时代”的到来。

攻击环境已满是供应链攻击的受害者。一项新研究显示，全球100的应用安全专业人士曾遭遇过软件供应链攻击，其中三分之二的人在过去两年内受到过影响。

尽管在自然环境中很难检测到AI工具的使用，但越来越多的供应链攻击显示，这些工具会加快攻击者的行动速度并扩大其开展攻击活动的能力。以下是一些最近的例子：

clash下载官网在6月，攻击者开始利用MOVEit管理文件传输软件中的一个新漏洞，这发生在一家勒索软件组织利用早期MOVEit漏洞影响2700家组织和9500万人之后一年。4月，研究者表示3CX电话管理的安全漏洞使数千客户面临受损软件更新的风险，可能源于一名3CX员工下载了一年前的XTrader软件版本，该版本包含后门漏洞，使攻击者能够横向移动并在构建环境中注入恶意代码。同样在4月，CISA警告分析软件Sisense的客户，称