软件供应链攻击的崛起

关键要点

• 对手正将软件供应链视为强大的攻击媒介，显示出其针对构建环境、软件与云供应商的风险日益增加。
• 随着AI技术在攻击者手中的快速应用，我们正步入“黄金供应链攻击时代”。
• 最近的调查显示，每个受访的应用安全专业人士都有过软件供应链攻击的经历。
• 组织必须仔细管理其第三方依赖风险，采取避免重大损失的必要措施。

软件供应链正成为攻击者的首选目标，针对构建环境、软件和云供应商等企业生态系统中的各个环节进行攻击，使得在提供商的系统中植入恶意软件的潜在影响指数级增长。

随着威胁行为者快速采用，我们见证了“黄金供应链攻击时代”的到来。

攻击环境已满是供应链攻击的受害者。一项显示，全球100%的应用安全专业人士曾遭遇过软件供应链攻击，其中三分之二的人在过去两年内受到过影响。

尽管在自然环境中很难检测到AI工具的使用，但越来越多的供应链攻击显示，这些工具会加快攻击者的行动速度并扩大其开展攻击活动的能力。以下是一些最近的例子：

• 在6月，攻击者开始管理文件传输软件中的一个新漏洞，这发生在一家勒索软件组织利用早期MOVEit漏洞影响之后一年。
• 4月，研究者表示3CX电话管理的安全漏洞使数千客户面临受损软件更新的风险，可能源于一名，使攻击者能够横向移动并在构建环境中注入恶意代码。
• 同样在4月，，称