日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Web供應(yīng)鏈?zhǔn)呛诳蛧?guó)家隊(duì)的下一個(gè)攻擊目標(biāo)嗎?

攻擊者首選薄弱環(huán)節(jié)下手,而Web供應(yīng)鏈渾身都是薄弱環(huán)節(jié)。

創(chuàng)新互聯(lián)是專業(yè)的木壘哈薩克網(wǎng)站建設(shè)公司,木壘哈薩克接單;提供成都網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行木壘哈薩克網(wǎng)站開發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

SolarWinds后門感染成千上萬(wàn)公司企業(yè)和至少250家聯(lián)邦機(jī)構(gòu),越南政府認(rèn)證機(jī)構(gòu)遭遇新型復(fù)雜攻擊,年復(fù)一年層出不窮的網(wǎng)絡(luò)安全事件讓公司和高管認(rèn)清了自身系統(tǒng)面對(duì)供應(yīng)鏈攻擊的脆弱不堪。

正如行業(yè)專家指出的,SolarWinds事件清晰呈現(xiàn)了某些網(wǎng)絡(luò)攻擊是幾乎無(wú)法檢測(cè)的。此外,SolarWinds事件也暴露出政府和私營(yíng)產(chǎn)業(yè)網(wǎng)絡(luò)總體上的脆弱性,促使國(guó)家安全委員會(huì)成立了網(wǎng)絡(luò)統(tǒng)一協(xié)調(diào)特別工作組,旨在協(xié)調(diào)調(diào)查和緩解這一事件。

與大多數(shù)供應(yīng)鏈攻擊類似,SolarWinds事件中,惡意代碼是在合法軟件更新過(guò)程中插入的(插入到SolarWinds的Orion平臺(tái)),并且隱藏在經(jīng)數(shù)字簽名的代碼組件當(dāng)中。

談到供應(yīng)鏈攻擊,就不得不提造成災(zāi)難的兩大關(guān)鍵因素:盲目信任和冗長(zhǎng)復(fù)雜的鏈條。然而,這兩個(gè)因素近乎存在于當(dāng)前上線的每一個(gè)Web應(yīng)用和網(wǎng)站里。

Web供應(yīng)鏈就是大堆第三方代碼與成千上萬(wàn)衍生物的大雜燴。時(shí)至今日,Web應(yīng)用普遍包含上千個(gè)模塊(也稱為代碼依賴)。每個(gè)模塊又有其自身的依賴,因而每個(gè)Web應(yīng)用可能迅速積累起成千上萬(wàn)的第三方代碼。別忘了,這每個(gè)代碼還代表著攻擊界面的擴(kuò)大,尤其是考慮到第三方往往沒有多少資源投入安全維護(hù)的情況下。我們已經(jīng)多次見證了什么叫僅僅一名惡意用戶就能發(fā)起一場(chǎng)嚴(yán)重的Web供應(yīng)鏈攻擊。

2019年的一份研究報(bào)告探討了依賴Web上第三方代碼的潛在副作用。作者指出的一個(gè)關(guān)鍵問題就是Web上缺乏權(quán)限隔離,所有第三方代碼都擁有作為內(nèi)部開發(fā)代碼的相同權(quán)限。一段被黑第三方代碼就能悄悄將惡意代碼貫通整個(gè)供應(yīng)鏈,直至進(jìn)入合法軟件更新,就像SolarWinds事件中發(fā)生的那樣。但事涉Web供應(yīng)鏈,情況變得更加糟糕。這組研究人員發(fā)現(xiàn),僅僅20個(gè)維護(hù)者賬戶就能觸及整個(gè)Web生態(tài)系統(tǒng)的半壁江山,也就是說(shuō),這些賬戶中但凡有一個(gè)被黑,就能引發(fā)一次全球性Web供應(yīng)鏈攻擊,影響數(shù)百萬(wàn)家公司。

名為Magecart或Web刮取的另一種Web供應(yīng)鏈攻擊方法也甚囂塵上。這種方法會(huì)在第三方腳本中注入惡意代碼,比如聊天窗口小部件,在用戶訪問特定網(wǎng)頁(yè)時(shí)加載受感染的代碼。在Magecart Web刮取攻擊中,惡意代碼會(huì)收集支付表單提交的所有信用卡數(shù)據(jù),并秘密發(fā)到攻擊者的服務(wù)器上。

這些方法會(huì)導(dǎo)致黑客國(guó)家隊(duì)大肆發(fā)動(dòng)Web攻擊嗎?研究人員明確指出了多起事件中Web供應(yīng)鏈攻擊和黑客國(guó)家隊(duì)之間的明顯關(guān)聯(lián)。我們知道,攻擊者總是首選薄弱環(huán)節(jié)下手,而Web供應(yīng)鏈渾身都是薄弱環(huán)節(jié),簡(jiǎn)直就是明晃晃的靶子。

正如SolarWinds事件顯示的,公司企業(yè)承擔(dān)不起供應(yīng)鏈攻擊的嚴(yán)重風(fēng)險(xiǎn)。解決Web供應(yīng)鏈攻擊需要立即采取行動(dòng),了解這一安全弱點(diǎn),積極尋找減小攻擊界面的方法。

事實(shí)上,企業(yè)和機(jī)構(gòu)必須盡可能降低對(duì)第三方代碼的依賴,增強(qiáng)自身代碼審查,并采用各種機(jī)制檢測(cè)運(yùn)行時(shí)惡意客戶側(cè)行為。惡意客戶側(cè)行為檢測(cè)策略逐漸獲得關(guān)注,因?yàn)檫@種策略能夠幫助公司企業(yè)不依賴特征碼就能實(shí)時(shí)檢測(cè)惡意行為。因此,運(yùn)行時(shí)監(jiān)控能夠大幅減少檢測(cè)和封鎖攻擊源所需的時(shí)間。

Web供應(yīng)鏈攻擊的復(fù)雜度持續(xù)上升,頻頻利用客戶側(cè)代碼混亂不堪的現(xiàn)狀。公司企業(yè)打贏這場(chǎng)Web供應(yīng)鏈阻擊戰(zhàn)最強(qiáng)有力的武器就是堅(jiān)定改善應(yīng)用安全。


本文名稱:Web供應(yīng)鏈?zhǔn)呛诳蛧?guó)家隊(duì)的下一個(gè)攻擊目標(biāo)嗎?
網(wǎng)站鏈接:http://m.5511xx.com/article/dhphdsi.html