當近年來發(fā)生的幾起重大供應(yīng)鏈安全事件，深刻揭示了供應(yīng)鏈攻擊的巨大破壞力和深遠影響：
· SolarWinds 事件（2020年）：史上最嚴重的供應(yīng)鏈攻擊
2020年12月，F(xiàn)ireEye 發(fā)現(xiàn)了一起被命名為 UNC2452 的攻擊活動，攻擊者成功入侵了 SolarWinds 公司的 Orion 網(wǎng)絡(luò)管理軟件。攻擊者在2020年3-6月期間，將惡意代碼植入到 SolarWinds Orion 軟件的更新包中，形成了一個名為 SUNBURST 的后門。由于 SolarWinds 是一家為眾多政府機構(gòu)和大型企業(yè)提供網(wǎng)絡(luò)管理軟件的公司，這次攻擊影響了全球18000多個組織，包括美國財政部、商務(wù)部、國土安全部等多個政府部門，以及微軟、思科、英特爾等知名企業(yè)。
攻擊者通過合法的軟件更新渠道分發(fā)惡意代碼，使得這次攻擊具有極強的隱蔽性。一旦用戶安裝了被篡改的更新，惡意軟件就會在受害者系統(tǒng)中建立持久化訪問，允許攻擊者竊取敏感信息、橫向移動到其他系統(tǒng)，甚至植入更多的惡意工具。這起事件被認為是”史上最嚴重”的供應(yīng)鏈攻擊，不僅造成了巨大的經(jīng)濟損失，更對全球網(wǎng)絡(luò)安全防御體系產(chǎn)生了深遠影響。

·?Log4j 漏洞事件（2021年）：影響全球的”核彈級”漏洞
2021年11月，Apache Log4j 日志記錄庫被發(fā)現(xiàn)存在一個嚴重的遠程代碼執(zhí)行漏洞（CVE-2021-44228），被安全研究人員稱為”Log4Shell”。Log4j 是Java生態(tài)系統(tǒng)中使用最廣泛的日志記錄庫之一，被集成到數(shù)百萬個應(yīng)用和服務(wù)中。這個漏洞允許攻擊者通過發(fā)送特制的日志消息，遠程執(zhí)行任意代碼，完全控制受影響的系統(tǒng)。
由于 Log4j 的廣泛使用，這個漏洞的影響范圍極其龐大，幾乎涵蓋了所有使用Java技術(shù)棧的應(yīng)用和服務(wù)，包括云服務(wù)、企業(yè)應(yīng)用、游戲服務(wù)器、物聯(lián)網(wǎng)設(shè)備等。全球數(shù)百萬個應(yīng)用受到影響，修復(fù)工作持續(xù)了數(shù)月之久。更為嚴重的是，由于 Log4j 作為底層依賴被深度集成到各種軟件中，許多組織甚至不知道自己的系統(tǒng)中使用了這個組件，導(dǎo)致漏洞修復(fù)工作異常困難。

·?CCleaner 供應(yīng)鏈攻擊（2017年）：合法軟件的惡意篡改
2017年，知名系統(tǒng)清理軟件 CCleaner 的官方版本被發(fā)現(xiàn)植入了惡意代碼。攻擊者成功入侵了 CCleaner 的開發(fā)環(huán)境，在軟件的編譯過程中植入了后門代碼。在一個多月的時間里，超過230萬用戶下載并安裝了被篡改的 CCleaner 版本。惡意代碼會收集用戶的系統(tǒng)信息并發(fā)送到攻擊者控制的服務(wù)器，同時為進一步的攻擊做準備。
這起事件特別值得關(guān)注的是，攻擊者針對特定的高價值目標（包括多家知名科技公司）部署了第二階段的惡意載荷，顯示出供應(yīng)鏈攻擊的精準性和針對性。由于CCleaner具有官方數(shù)字簽名，大多數(shù)安全軟件都將其視為可信軟件而放行，這進一步凸顯了供應(yīng)鏈攻擊的隱蔽性。
這些真實案例共同揭示了供應(yīng)鏈攻擊的幾個關(guān)鍵特征：攻擊者越來越傾向于攻擊上游供應(yīng)商，通過”一點突破，全面開花”的方式擴大影響；攻擊具有極強的隱蔽性，往往利用合法渠道和可信軟件進行傳播；影響范圍廣泛，一旦成功可能影響數(shù)百萬用戶；修復(fù)難度大，需要全行業(yè)的協(xié)同努力。這些特征使得供應(yīng)鏈安全成為當前網(wǎng)絡(luò)安全領(lǐng)域最具挑戰(zhàn)性的問題之一。

?

?

?

?

構(gòu)筑全鏈路防線：

聽云的應(yīng)用安全產(chǎn)品全景圖

?

?

?

面對日益嚴峻的軟件供應(yīng)鏈安全挑戰(zhàn)和應(yīng)用安全現(xiàn)狀，企業(yè)需要一套能夠覆蓋軟件全生命周期、從開發(fā)到運行、從代碼到業(yè)務(wù)邏輯的綜合性安全解決方案。聽云憑借其在應(yīng)用性能管理和應(yīng)用安全領(lǐng)域的深厚積累，構(gòu)建了一套完善的應(yīng)用安全產(chǎn)品全景圖，旨在為企業(yè)提供全鏈路、全方位的安全防護能力。

聽云應(yīng)用安全產(chǎn)品體系以ASPM（應(yīng)用安全態(tài)勢管理）IAST（交互式應(yīng)用安全測試系統(tǒng)）為核心，輔以其他能力，共同構(gòu)筑起一道堅不可摧的數(shù)字防線。
通過聽云應(yīng)用安全產(chǎn)品全景圖，企業(yè)能夠：
? 全面掌握供應(yīng)鏈風(fēng)險：?動態(tài)構(gòu)建組件譜系畫像，自動關(guān)聯(lián) CVE 漏洞庫，實現(xiàn)第三方組件已知/潛在漏洞的全量覆蓋與實時預(yù)警，解決傳統(tǒng)方案漏報率高、更新滯后問題。
? 實現(xiàn)安全能力內(nèi)建：基于運行時深度洞察，精準識別高風(fēng)險組件漏洞與攻擊面暴露點，賦能安全團隊將關(guān)鍵風(fēng)險信息高效同步至開發(fā)側(cè)，并提供修復(fù)優(yōu)先級建議，顯著提升漏洞治理效率與跨團隊協(xié)同效能
? 未知威脅實時免疫：基于應(yīng)用內(nèi)存指令流監(jiān)控與異常行為分析的運行時防護引擎，無需依賴預(yù)置規(guī)則庫即可有效攔截 Log4j2、Fastjson 等 0day 漏洞利用攻擊，防御效果顯著優(yōu)于傳統(tǒng)流量層方案。
? 快速響應(yīng)安全事件：基于運行時攻擊鏈追蹤與漏洞利用路徑精準還原，實現(xiàn)組件級漏洞的代碼級溯源與根因分析，大幅壓縮安全事件應(yīng)急響應(yīng)周期。
在軟件定義一切的時代，軟件供應(yīng)鏈安全是企業(yè)不可忽視的生命線。聽云致力于成為企業(yè)最值得信賴的安全伙伴，共同筑牢數(shù)字防線，賦能業(yè)務(wù)安全發(fā)展。

?

文章數(shù)據(jù)來源：

[1] Synopsys. (2023). Open Source Security and Risk Analysis (OSSRA) Report 2023.

[2] FireEye. (2020). Highly Evasive Attacker Leverages SolarWinds Supply Chain to Compromise Global Victims With SUNBURST Backdoor.

[3] Apache Software Foundation. (2021). Apache Log4j Security Vulnerabilities.?

[4] Cisco Talos. (2017). CCleaner Command and Control Infrastructure Seized.?