- 1、本文档共10页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
2024供应链安全态势报告
引言
供应链攻击事件及特点
供应链安全态势
供应链攻击防范措施
附录
目录
contents
P3
P4
P9
P11
P12
2021年2022年2023年2024年
图1重大供应链攻击事件趋势图
从趋势图可以看出,从2021年到2023年,供应链攻击事件稳步增加,可以预测到2024年,供应链攻击活动会更加频繁,数量将大幅提升。仅从2014年第一季度来看,就已经监测到了近20起有影响力的攻击案例,其中多起攻击活动通过冒充或修改流行PYPI软件包,进而利用软件供应链传播信息窃取软件或挖矿软件等进行攻击。
在过去的几年中,供应链攻击事件频繁曝光,并造成了显著的影响。下图展示了最近八年来,一系列标志性的供应链攻击事件:
2024供应链安全态势报告
02供应链攻击事件及特点
2.1供应链攻击事件走势
38
30
13
近年来,供应链攻击的发生频率呈明显增长趋势,攻击者利用供应链网络固有的复杂性和互联性,通过恶意软件
植入、代码篡改、供应链流程破坏等方式,实现了对目标组织的深度渗透和控制。下图为天际友盟监测记录的近年来重要的供应链安全事件的统计数据及趋势展示:
80
70
60
50
40
30
20
10
0
4
2024.03
2023.12
2023.10
●
XZ压缩库供应链
攻击事件
黑客团伙借助微软应用商店进行7ZIP软件供应链投毒
●
身份安全公司okta遭黑客攻击,市值蒸发20亿
2017.062017.092018.07
2020.072019.092019.04
2022.032022.012021.11
2018.10
廉价Android手机出厂被预安装 多款恶意程序
Darkside黑客组织对美国输油管道公司colonialpipeline的攻击
Tortoiseshell组织针对沙特阿拉伯IT提供商,使用木马syskit
shadowHammer攻击活动针对多家亚洲公司进行供应链攻击
2022.04
GitHubOAuth
令牌攻击
Lazarus组织
VMconnect供应链攻击活动
Notpetya勒索软件利用乌克兰会计软件MeDoc传播
PDF编辑器应用程序安装包被劫持传播挖矿代码
黑客针对NPM存储库,发布近800个恶意NPM包
勒索组织REvi利用。kaseyaoday发起
2021.022021.05
2022.072022.08
供应链攻击针对政府和银行领域
codecov供应链攻击影响数百家公司
Log4j漏洞影响全球多个服务供应商
MOVEitTransfer
漏洞供应链攻击
SolarWinds
供应链攻击
NPM供应链攻击IconBurst,
3CX企业级电话管理系统
ccleaner系统清理及优
供应商遭遇供应链攻击
化工具遭到供应链攻击
影响数百个网站和应用
针对okta公司的身份
题和插件被植入后门
93个wordpress主
wellMess网络渗透
和供应链攻击活动
大规模供应链攻击
Lazarus组织使用
2023.05
2023.03
2021.07
2020.12
2023.09
2020.11
凭证窃取活动
s
接下来我们将精选几个典型的供应链攻击案例来深入分析此类攻击的特点。
案例一:SolarWinds供应链攻击
事件
2020年12月13日,安全公司FireEye发布报告,声称全球知名IT管理及监控软件供应商SolarWinds遭受供应链攻击。攻击者篡改了
文档评论(0)