曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        分析供應鏈攻擊的四種常見攻擊方式
        發布時間:2021-02-22 11:10:32   閱讀次數:

        分析供應鏈攻擊的四種常見攻擊方式(圖1)

        網絡罪犯采用多種不同的策略來訪問企業網絡和數據。一種這樣的策略是將惡意軟件注入到企業使用的軟件產品中,然后使用該惡意軟件來破壞使用該軟件的設備。這是供應鏈攻擊的一個例子。


        為了確保軟件供應鏈的安全,了解潛在漏洞的位置很重要。這篇文章將分析用于將惡意代碼注入合法軟件或固件的四種最常見的攻擊媒介。


        典型構建過程概述

        在了解攻擊媒介之前,重要的一點是要涵蓋有關軟件構建過程的一些基礎知識。盡管一個組織之間的構建過程略有不同,但是它們通常遵循相同的總體結構。


        首先,開發人員將代碼更改提交到源代碼存儲庫。這會觸發所謂的“構建”。生成服務器檢索該項目的源代碼并開始生成過程。


        下載源代碼后,構建服務器通常會在將代碼編譯(或“構建”)為二進制格式之前對其進行一些測試,例如靜態分析和樣式檢查。構建完成后,對代碼進行簽名,然后執行進一步的測試(例如單元測試和集成測試以及模糊測試)。


        由于此過程涉及多個步驟,因此在嘗試注入惡意軟件時,攻擊者可以使用多種選擇。讓我們看一下四種最常見的攻擊媒介。

        分析供應鏈攻擊的四種常見攻擊方式(圖2)


        • 攻擊方式1:代碼簽名密鑰

          如果惡意軟件未通過企業的生產代碼簽名密鑰進行簽名,則將無法取得很大的成就。因此,第一個攻擊向量是代碼簽名密鑰。如果將這些密鑰簡單地存儲在端點設備或構建服務器上的軟件中,則攻擊者相對容易竊取密鑰。一旦密鑰被泄露,攻擊者便可以隨意注入并簽名惡意代碼。


        • 攻擊方式2:構建服務器

          第二個攻擊媒介是構建服務器本身。如果攻擊者破壞了構建服務器,則他們有可能在未經檢測的情況下注入惡意軟件,因為許多構建過程都假定源代碼存儲庫中的代碼與構建服務器正在編譯和簽名的代碼完全匹配。因此,構建服務器實際上可以自由地進行簽名。


        • 攻擊方式3:源代碼存儲庫

          難以妥協(未被發現)的目標是源代碼存儲庫。如果網絡罪犯能夠訪問該存儲庫,則他們可以像授權開發人員一樣提交代碼更改。這提供了將惡意代碼添加到產品核心的機會。


        • 攻擊方式4:內部威脅

          惡意軟件注入的第四個攻擊媒介是內部威脅。在這種情況下,攻擊者可能正在從一個或多個授權企業雇員那里獲得幫助,或者更糟的是,該授權雇員實際上是攻擊者。


        約束條件

        盡管其中一些攻擊媒介本身似乎是可管理的,但現實情況是安全性并非憑空執行的。防范這些攻擊一定不能妨礙業務流程或排除使用行業標準工具。解決這些問題的任何方法都必須:

        • 與現有的軟件開發工具(例如源代碼存儲庫和IDE)集成;


        • 與現有的構建工具集成,例如編譯器和代碼簽名實用程序;


        • 在不減慢CI / CD管道運行的情況下運行;


        • 功能無需維護大量開銷。


        保護軟件供應鏈

        要了解有關防止惡意軟件注入,并保護您用于生產的軟件的更多信息,請聯系攬閣信息。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精